Você pode usar a autenticação Kerberos quando adiciona e gerencia um host PowerShell.

Com a autenticação Kerberos, os usuários do domínio podem executar comandos em máquinas remotas habilitadas para PowerShell sobre o WinRM.

Procedimento

  1. Habilite a autenticação Kerberos no serviço WinRM.
    1. Execute o seguinte comando para verificar se a autenticação Kerberos é permitida.

      c:\> winrm get winrm/config/service

    2. Execute o seguinte comando para ativar a autenticação Kerberos.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Habilite a autenticação Kerberos no cliente WinRM.
    1. Execute o seguinte comando para verificar se a autenticação Kerberos é permitida.

      c:\> winrm get winrm/config/client

    2. Execute o seguinte comando para ativar a autenticação Kerberos.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Execute o seguinte comando para testar a conexão com o serviço WinRM.

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. Crie um arquivo krb5.conf e salve-o na seguinte localização.

    Sistema Operacional

    Caminho

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ para o vRealize Orchestrator externo.

    /etc/krb5.conf para o vRealize Orchestrator que está integrado ao vRealize Automation.

    Um arquivo krb5.conf tem a seguinte estrutura:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    O krb5.conf deve conter os parâmetros de configuração específicos com os respectivos valores.

    Tags de configuração do Kerberos

    Detalhes

    default_realm

    O território padrão do Kerberos que um cliente usa para autenticar no servidor Active Directory.

    Observação:

    Deve estar em letras maiúsculas.

    kdc

    O controlador de domínio que atua como um Centro de Distribuição de Chave (KDC) e emite tíquetes do Kerberos.

    default_domain

    O domínio padrão que é usado para produzir um nome de domínio totalmente qualificado.

    Observação:

    Essa tag é usada para compatibilidade com o Kerberos 4.

    Observação:

    Por padrão, a configuração de Kerberos do Java usa o protocolo UDP. Para usar apenas o protocolo TCP, você deve especificar o parâmetro udp_preference_limit com o valor 1.

    Observação:

    A autenticação Kerberos requer um endereço de host FQDN (Nome de domínio totalmente qualificado).

    Importante:

    Quando você adiciona ou modifica o arquivo krb5.conf, deve reiniciar o serviço do servidor Orchestrator.