WSMAN Win8 szerver, Linux kliens Basic authentication fail

+1 vote
asked Apr 9, 2013 in IRF tantárgy by anonymous  
edited Apr 9, 2013 by micskeiz

Üdv!

OpenSUSE kliensről kell WS-Management protokollon keresztül egy Windows-os gép adatait lekérnem.

Win8-on beállítottam a kiszolgálót:

  1. Készítettem egy meres felhasználót a LaborImage jelszóval,
  2. WinRM működik, Basic authentication-re állítva
  3. titkosítatlan csatornán való működés beállítva

Azonban hozzá kapcsolódva ezzel az utasítással:

 wsman identify -h 192.168.227.132 --auth basic -u meres -p LaborImage

Ezt a hibaüzenetet kapom:

  Authentication failed, please retry

Debug módban úgy látom, hogy a felhasználó azonosítás nem tetszik neki valamiét, de jól adtam meg mindent, egy másik felhasználóval is próbáltam, azzal is ugyanez. Ping-elni tudom a kiszolgálót, tűzfalat kikapcsoltam.

Mit lehetne ilyenkor tenni? Esetleg milyen beállítást hagyhattam ki?

Köszönöm szépen előre is a választ.

Apr  9 13:23:25  cl->authentication.verify_peer: 1
Apr  9 13:23:25  *****set post buf len = 238******
* About to connect() to 192.168.227.132 port 5985 (#0)
*   Trying 192.168.227.132...
* connected
* Connected to 192.168.227.132 (192.168.227.132) port 5985 (#0)
> POST /wsman HTTP/1.1
Host: 192.168.227.132:5985
Accept: */*
Content-Type: application/soap+xml;charset=UTF-8
User-Agent: WS-Management for all
Content-Length: 238

* upload completely sent off: 238 out of 238 bytes
< HTTP/1.1 401 
< Server: Microsoft-HTTPAPI/2.0
< WWW-Authenticate: Negotiate
< WWW-Authenticate: Basic realm="WSMAN"
< Date: Tue, 09 Apr 2013 11:22:42 GMT
< Connection: close
< Content-Length: 0
< 
* Closing connection #0
Apr  9 13:23:27  Basic authentication is used
* About to connect() to 192.168.227.132 port 5985 (#0)
*   Trying 192.168.227.132...
* connected
* Connected to 192.168.227.132 (192.168.227.132) port 5985 (#0)
* Server auth using Basic with user 'meres'
> POST /wsman HTTP/1.1
Authorization: Basic bWVyZXM6TGFib3JJbWFnZQ==
Host: 192.168.227.132:5985
Accept: */*
Content-Type: application/soap+xml;charset=UTF-8
User-Agent: WS-Management for all
Content-Length: 238

* upload completely sent off: 238 out of 238 bytes
< HTTP/1.1 401 
< Server: Microsoft-HTTPAPI/2.0
< WWW-Authenticate: Negotiate
* Authentication problem. Ignoring this.
< WWW-Authenticate: Basic realm="WSMAN"
< Date: Tue, 09 Apr 2013 11:22:42 GMT
< Connection: close
< Content-Length: 0
< 
* Closing connection #0
Apr  9 13:23:27  Basic authentication is used
Apr  9 13:23:27  Invoking Auth request callback
Authentication failed, please retry

1 Answer

0 votes
answered Apr 9, 2013 by micskeiz (2,565 points)  
 
Best answer

Alapesetben nem tud bárki csatlakozni egy WinRM kiszolgálóhoz, csak az Administrators vagy újabban a Remote Management Users csoport tagjai.

Rakd be például a létrehozott új felhasználót az Administrators csoportba, és úgy elvileg mennie kell. (Később éles környezetben természetesen érdemes finomabb jogosultságkiosztást végezni.)

Azt, hogy ki tud csaltakozni a WinRM kiszolgálóhoz a beállításainál tudod megnézni:

Get-Item WSMan:\localhost\Service\RootSDDL

Ezt egy SDDL sztringet ad vissza, amibe elvileg a Windows biztonsági leírója van belekódolva. Bővebben a WinRM jogosultságairól pl. itt, az SDDL-ről meg itt.

commented Apr 13, 2013 by anonymous  
Sziaszotk,
azt hiszem az én problémám is hasonló.
Mivel a windowson volt public hálózati kapcsolat. Ezért a
Set-WSManQuickConfig -SkipNetworkProfileCheck parancsot adtam ki, ez le is futott.
Most amikor OpenSUSE-ről próbálom elérni a windows-t ezt a hibát kapom:
meres@irfserver_2:~> wsman -h 192.168.1.5  -u xxx -p LaborImage --auth basic -d 6 identify
Apr 13 15:27:20  cl->authentication.verify_peer: 1
Apr 13 15:27:20  *****set post buf len = 238******
* About to connect() to 192.168.1.5 port 5985 (#0)
*   Trying 192.168.1.5...
* connected
* Connected to 192.168.1.5 (192.168.1.5) port 5985 (#0)
> POST /wsman HTTP/1.1
Host: 192.168.1.5:5985
Accept: */*
Content-Type: application/soap+xml;charset=UTF-8
User-Agent: WS-Management for all
Content-Length: 238

* upload completely sent off: 238 out of 238 bytes
< HTTP/1.1 401
< Server: Microsoft-HTTPAPI/2.0
< WWW-Authenticate: Negotiate
< Date: Sat, 13 Apr 2013 13:27:20 GMT
< Connection: close
< Content-Length: 0
<
* Closing connection #0
Apr 13 15:27:20  Client does not support authentication type 0x0004 acceptable by server

Apr 13 15:27:20  Error = 67 (Login denied); user/password wrong or empty.
Apr 13 15:27:20  curl error code: 67.
Apr 13 15:27:20  cl->response_code: 401.
Apr 13 15:27:20  cl->last_error code: 26.
Connection failed. response code = 401


 Nem találtam meg,hogy hogyan kellene hozzáadni az említett csoportokhoz a userem(név/kód heleyes), ami egyébként Admin a helyi gépen ezért nem értem,hogy miért nem enged neki lekérdezni.
Esetleg valaki tud megoldást.
Köszönöm.
commented May 23, 2014 by aratod (22 points)  
Ugyanúgy konfiguráltam a WinRM-et, ahogy a kérdező. A felhasználóm adminisztrátor. A Test-WSMan cmdlet nem jelez hibát.

Ugyanazt a hibát kapom, mint a kérdező. Sőt, ha magán a szerveren adok ki identify kérést, arra is ugyanazt mondja:
> winrm identify -r:localhost:5985 -auth:basic -u:meres -p:LaborImage
WSManFault
  Message = A hozzáférés megtagadva.

Hogy fordulhat ez elő?
...