Troubleshooting : Double-Saut

Bonjour à tous les lecteurs,
Voici un nouvel article concernant un soucis que j’ai rencontré au cours de l’implémentation d’un RunBook sur System Center Orchestrator. En effet, j’ai rencontré ce qu’on nomme joliment un problème de « double-saut » ou « double-hop » pour les anglophones. Derrière ce nom peu explicite ce cache un problème de transmission des identifiants.

Symptômes

En étant connecté à la Machine A j’ai ouvert une « Remote session » en PowerShell sur la Machine B.
Depuis la Machine B j’ai voulu exécuter un script qui utilisait des ressources sur la Machine C.
L’accès aux ressources de la Machine C est refusé.

Après analyse, il s’est avéré que les identifiants utilisés sur la machine B n’étaient pas transmis à la machine C.

Dans les faits, depuis Orchestrator dans mon RunBook j’ai fait un appel d’un script situé sur une machine distantes. Lorsque ce script s’exécutait les appels aux ressources distante renvoyaient un accès refusé. Afin de résoudre ce soucis il a fallu activer la délégation d’identifiants via CredSSP.

Solution

Sur la Machine C :

Il a fallu activer le WSManCredSSP avec le rôle serveur, afin d’autoriser le client à lui envoyer les identifiants dynamiquement avec la commande PowerShell suivante :

Enable-WSManCredSSP -Role Server -force

Pour vérifier, exécutez la commande :

Get-WSManCredSSP

Résulta attendu

Sur la Machine B :

Il faut activer le rôle client en indiquant le domaine afin de communiquer les identifiants à la Machine C. De plus la création d’une clé registre est nécessaire :

Enable-WSManCredSSP -Role client -DelegateComputer *.Domaine.com
$allowed = @('WSMAN/*.Domaine.com') 
$key = 'hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation'
if (!(Test-Path $key))
 {
    md $key
 }
New-ItemProperty -Path $key -Name AllowFreshCredentials -Value 1 -PropertyType Dword -Force           
$key = Join-Path $key 'AllowFreshCredentials'
if (!(Test-Path $key))
 {
    md $key
 }
$i = 1
$allowed |%
{
    New-ItemProperty -Path $key -Name $i -Value $_ -PropertyType String -Force
    $i++
}

Pour vérifier, exécutez la commande :

Get-WSManCredSSP

Résulta attendu

Voila maintenant il vous est possible d’avoir accès aux ressources de la Machine C depuis la Machine A en passant par la Machine B.

Cookie	Durée	Description
cf_ob_info	Aucun	Cookie généré par Cloudflare pour délivrer des informations sur le statut HTTP retourné et corriger les éventuelles erreurs liées à celui-ci.
cf_use_ob	Aucune	Cookie généré par Cloudflare afin d'améliorer le temps de chargement du site et gérer les restrictions de sécurité de l'adresse IP du visiteur.
cookielawinfo-checkbox-advertisement	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Publicitaire".
cookielawinfo-checkbox-analytics	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Analytique".
cookielawinfo-checkbox-necessary	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Essentiel".
cookielawinfo-checkbox-others	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Performance".
PHPSESSID	Session	Cookie natif aux applications PHP. Il sert à stocker l'identifiant unique de session d'un utilisateur afin de proposer la meilleure expérience possible sur le site. Celui-ci est ensuite supprimé une fois que l'utilisateur ferme son navigateur.
viewed_cookie_policy	1 an	Cookie généré par le plugin "GDPR Cookie Consent" permettant de stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies sur ce site. Aucune donnée personnelle n'est stockée à l'issue de cette opération.
__cfruid	Session	Cookie généré par Cloudflare dans le but de répartir la charge sur le site web et d'identifier le traffic web.

Cookie	Durée	Description
cluid	9 heures	Cookie utilisé dans le cadre de multiples domaines existants pour identifier un seul et même visiteurs sur plusieurs domaines.
CONSENT	16 ans 5 mois 15 jours 7 heures	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le site Metsys. Ils récupèrent de façon anonyme des informations statistiques sur le nombre de fois où la vidéo est affichée et les paramètres de lecture de celle-ci. Aucune donnée personnelle n'est récupérée lors de cette opération, sauf si vous êtes connecté à votre compte Google. Dans ce cas vos choix se trouvent liés à votre compte, comme par exemple si vous likez cette vidéo.
_ga	2 ans	Cookie installé par Google Analytics pour récupérer des données sur le visiteur, sa session, les campagnes de données mais aussi analyser le parcours de l'utilisateur afin de générer des graphiques sur l'interface administrateur. Ces cookies emmagasinent les informations de manière anonyme et attribuent un chiffre au hasard pour identifier chaque visiteur unique.
_ga_CBJ47W3093	2 ans	Cookie installé par Google Analytics pour s'assurer de son bon fonctionnement.

Cookie	Durée	Description
IDE	1 an 24 jours	Cookie utilisé par Google DoubleClick qui emmagasine les informations sur l'utilisation du site web par les visiteurs sur les publicités consultées avant l'arrivée sur le site. Celui-ci permet d'afficher à l'utilisateur des publicités personnalisées en fonction de leur profil.
test_cookie	15 minutes	Cookie généré par doubleclick.net pour déterminer si le navigateur internet du visiteur du site supporte les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le blog Metsys.
YSC	Session	Cookie généré par Youtube pour récupérer le nombre de vues sur les vidéos ajoutées sur le site Metsys.

Cookie	Durée	Description
cookielawinfo-checkbox-functional	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Fonctionnel".
eqy_sessionid	Session	Cookie généré par la solution Get Quanty permettant l'analyse de l'utilisateur sur le site Metsys.
eqy_siteid	Aucune	Cookie généré par la solution Get Quanty permettant d'identifier le site Metsys pour pouvoir l'analyser.
yt-remote-connected-devices	Aucune	Cookie à analyser
yt-remote-device-id	Aucune	Cookie à analyser

Troubleshooting : Double-Saut

Troubleshooting : Double-Saut

Symptômes

Solution

A propos de l'auteur

Laisser un commentaire Annuler la réponse