在添加和管理 PowerShell主机时可以使用 Kerberos 身份验证。

关于此任务

借助 Kerberos 身份验证,域用户可以通过 WinRM 在启用 PowerShell 的远程计算机上运行命令。

过程

  1. 在 WinRM 服务上启用 Kerberos 身份验证。
    1. 运行以下命令以检查是否允许进行 Kerberos 身份验证。

      c:\> winrm get winrm/config/service

    2. 请运行以下命令以启用 Kerberos 身份验证。

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. 在 WinRM 客户端上启用 Kerberos 身份验证。
    1. 运行以下命令以检查是否允许进行 Kerberos 身份验证。

      c:\> winrm get winrm/config/client

    2. 请运行以下命令以启用 Kerberos 身份验证。

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. 运行以下命令以测试与 WinRM 服务的连接。

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. 创建 krb5.conf 文件并将其保存到以下位置。

    操作系统

    路径

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    用于外部 vRealize Orchestrator/usr/java/jre-vmware/lib/security/

    用于 vRealize Automation内置 vRealize Orchestrator/etc/krb5.conf

    krb5.conf 文件具有以下结构:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    krb5.conf 必须包含特定的配置参数及其值。

    Kerberos 配置标记

    详细信息

    default_realm

    客户端用于针对 Active Directory 服务器进行身份验证的默认 Kerberos 领域。

    注:

    必须是大写字母。

    kdc

    可作为密钥分发中心 (KDC) 并签发 Kerberos 票证的域控制器。

    default_domain

    用于生成完全限定域名的默认域。

    注:

    该标记面向 Kerberos 4 兼容性。

    注:

    Java Kerberos 配置默认使用 UDP 协议。要仅使用 TCP 协议,您必须指定值为 1udp_preference_limit 参数。

    注:

    Kerberos 身份验证要求使用完全限定域名 (Fully Qualified Domain Name, FQDN) 主机地址。

    重要:

    添加或修改 krb5.conf 文件时,必须重新启动 Orchestrator 服务器服务。