Was ist LDAP und was ist OAuth 2.0

LDAP und Open Authorization

In diesem Dokument beschreibe ich was LDAP und OAuth ist und wofür es eingesetzt wird.

Ein kurzer Einblick…

LDAP ist ein offenes und plattformübergreifendes Protokoll für die Verzeichnis-Dienste-Authentifizierung. LDAP stellt eine Kommunikationssprache bereit, die Anwendungen verwenden, um mit Verzeichnisdiensten zu kommunizieren.

OAuth ist ebenfalls ein offenes aber Token basiertes standarisiertes Protokoll. OAuth erlaubt eine sichere Autorisierung und Authentifizierung beim Einsatz von Desktop-, Web- und API- basierten Anwendungen.

Authentisierung = Ist der Nachweis einer Identität
Authentifizierung = Bestätigung der Identität
Autorisierung = ist eine Berechtigung

LDAP & OAuth 2.0


WinRM Powershell Remoting in einer Workgroup konfigurieren

WinRM Powershell Remoting

Außerhalb einer Domäne lässt sich das Remoting wie folgt konfigurieren:

WinRMServer = SRV01
WinRMClient = Client01

Auf dem Zielsystem “WinRM Server” muss das Private Netzwerk konfiguriert sein.

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

Danach aktivieren wir das Windows Remote Management. Es sollte eine positive Rückmeldung erfolgen. Die Aktivierung startet und konfiguriert den notwendigen Service und setzt eine Ausnahme in der Firewall.

Enable-PSRemoting -Force

Überprüfen lässt sich das Ganze mit

Get-NetTCPConnection | Where-Object -Property LocalPort -eq 5985

Jetzt konfigurieren wir den “WinRM Client“, der Zugriff auf den “WinRM Server ” haben möchte. Dazu muss der Server auf dem Client als vertrauenswürdiger Partner hinzugefügt werden.

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “SRV01” -Force

Möchte man allen WinRM Servern vertrauen, dann muss der Client wie folgt konfiguriert werden.

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “*” -Force

Zum Abschluss bauen wir eine Verbindung zum WinRM Server auf.

$Credential = Get-Credential
Enter-PSSession -Computername SRV01 -Credential $Credential

WINRM WINRS Windows Remote Management Windows Remote Shell


GPUpdate Force als Verknüpfung verteilen

Gruppenrichtlinien mit einer Verknüpfung aktualisieren

Das Ziel ist die Verteilung einer Verknüpfung um die Gruppenrichtlinien einfach und schnell zu aktualisieren.

Als erstes erstellen wir ein neues GPO mit folgenden Einstellungen und verknüpfen dieses im Anschluss mit der Computer OU.

GPUpdate Force als Verknüpfung verteilen

Eine fertige Gruppenrichtlinien Vorlage zum importieren findet ihr hier:

GPUpdate Force als Verknüpfung verteilen


Zertifikate importieren und exportieren mit der Powershell

Für den Import und Export eines Öffentlichen Zertifikats (Public-Key) benötigen wir kein Passwort. Für den Import und Export von Privaten Zertifikaten (Private-Keys) benötigen wir auf jeden Fall ein Passwort.

Wie das Ganze funktioniert, seht ihr hier…

# Zertifikat importieren (Öffentlich)
Import-Certificate -FilePath “C:\Certs\NDS.cer” -CertStoreLocation ‘Cert:\LocalMachine\My’ -Verbose

# Zertifikat importieren (Privat)
$pwd = ConvertTo-SecureString -String ‘TEST’ -Force –AsPlainText
Import-PfxCertificate –FilePath C:\Certs\NDS.pfx -CertStoreLocation cert:\localMachine\my -Password $pwd

# Zertifikat exportieren (Privat)
$Password = ConvertTo-SecureString -String “TEST” -Force –AsPlainText
Export-PfxCertificate -Cert cert:\LocalMachine\My\ABF6BE65FFAC0002DE8BAF994D965C6E8C7EF520 -FilePath C:\Certs\NDS.pfx -Password $Password

# Zertifikat exportieren (Öffentlich)
Export-Certificate -Cert Cert:\LocalMachine\My\ABF6BE65FFAC0002DE8BAF994D965C6E8C7EF520 -FilePath C:\Certs\NDS.cer


Powershell – Create Self Signed SAN Certificate

In diesem Dokument beschreibe ich kurz den Weg zur Erstellung eines selbst signierten SAN Zertifikats für die Clientauthentifizierung und Serverauthentifizierung.

Export, Gültigkeitsdauer, KeyLength

# 1 Jahr SAN

New-SelfSignedCertificate -DnsName www.ndsedv.de, www.nds-edv.de, www.der-windows-papst.de -CertStoreLocation cert:\LocalMachine\My

# 3 Jahre SAN

$heute = Get-Date
$3years = $heute.AddYears(3)

New-SelfSignedCertificate -DnsName www.ndsedv.de, www.nds-edv.de -notafter $3years -CertStoreLocation cert:\LocalMachine\My

# Zugriff Zertifikatsspeicher
Get-ChildItem -Path Cert:\LocalMachine\My\

# Zertifikat exportieren (Privat)
$Password = ConvertTo-SecureString -String “TEST” -Force –AsPlainText
Export-PfxCertificate -Cert cert:\LocalMachine\My\ABF6BE65FFAC0002DE8BAF994D965C6E8C7EF520 -FilePath C:\Certs\NDS.pfx -Password $Password

# Zertifikat exportieren (Öffentlich)
Export-Certificate -Cert Cert:\LocalMachine\My\ABF6BE65FFAC0002DE8BAF994D965C6E8C7EF520 -FilePath C:\Certs\NDS.cer

# Code Signing Zertifikat für Powershell Skripte
$cert = New-SelfSignedCertificate -Subject “Code Signing” -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My
Set-AuthenticodeSignature -FilePath “C:\Certs\Create Self Signed SAN Certificate2.ps1” -Certificate $cert

# 3 Jahre SAN mit Schlüssellänge von 4096 Bit
$heute = Get-Date
$3years = $heute.AddYears(3)
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -DnsName www.ndsedv.de, www.nds-edv.de -notafter $3years -KeyLength 4096

Powershell Create Self Signed SAN Certificate


WSUS Windows Home Edition

WSUS ohne Active Directory konfigurieren

In den meisten Haushalten wird die Home Version eingesetzt. Diese Version verfügt über keinen Gruppenrichtlinieneditor. Der ist aber wichtig, um WSUS auf einem Clientsystem konfigurieren zu  können

Die Alternative wäre, der Import einer fertigen Konfigurationsdatei.

Die Konfiguration dieser .REG Datei enthält folgende und weitere Einstellungen. Nur der Servername bzw. die IP muss angepasst werden.

  • Automatische Update konfigurieren
  • Automatische Updates sofort installieren
  • Empfohlene Updates über automatische Updates aktivieren
  • Internen Pfad für den Microsoft Updatedienst angeben
  • Nichtadministratoren gestatten Updatebenachrichtigungen zu erhalten
  • Softwarebenachrichtigungen aktivieren

WSUS HOME CLIENT

https://www.der-windows-papst.de/tag/client/