在添加和管理 PowerShell 主机时可以使用 Kerberos 身份验证。
过程
- 在 PowerShell 主机上配置 WinRM。
winrm quickconfig winrm set winrm/config/service/auth @{Kerberos="true"} winrm set winrm/config/service @{AllowUnencrypted="true"} winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
- 在 /data/vco/usr/lib/vco/app-server/conf/ 中创建或编辑 krb5.conf 文件。
krb5.conf 文件具有以下结构:
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COM
krb5.conf 必须包含特定的配置参数及其值。
Kerberos 配置标记 详细信息 default_realm 客户端用于针对 Active Directory 服务器进行身份验证的默认 Kerberos 领域。 注: 必须是大写字母。kdc 可作为密钥分发中心 (KDC) 并签发 Kerberos 票证的域控制器。 default_domain 用于生成完全限定域名的默认域。 注: 该标记面向 Kerberos 4 兼容性。注: Java Kerberos 配置默认使用 UDP 协议。要仅使用 TCP 协议,您必须指定值为 1 的udp_preference_limit
参数。注: Kerberos 身份验证要求使用完全限定域名 (Fully Qualified Domain Name, FQDN) 主机地址。重要说明: 添加或修改 krb5.conf 文件时,必须重新启动 Automation Orchestrator 服务器服务。如果您具有已加入集群的 Automation Orchestrator 环境,请确保在所有三个具有相同配置的设备中存在 krb5.conf 文件,然后再重新启动 Automation Orchestrator Pod。
- 通过运行以下命令更改权限。
chmod 644 krb5.conf
- 重新部署 Automation Orchestrator Pod。
kubectl -n prelude get pods
查找类似于以下内容的条目。vco-app-<ID>
- 销毁 Pod。
kubectl -n prelude delete pod vco-app-<ID>
将自动部署新 Pod,以替换您销毁的 Pod。