Sie können beim Hinzufügen und Verwalten eines PowerShell-Hosts eine Kerberos-Authentifizierung verwenden.

Warum und wann dieser Vorgang ausgeführt wird

Mit der Kerberos-Authentifizierung können Domänenbenutzer Befehle auf PowerShell-fähigen Remote-Maschinen über WinRM ausführen.

Prozedur

  1. Aktivieren Sie die Kerberos-Authentifizierung im WinRM-Dienst.
    1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Kerberos-Authentifizierung zulässig ist.

      c:\> winrm get winrm/config/service

    2. Führen Sie den folgenden Befehl aus, um die Kerberos-Authentifizierung zu aktivieren.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Aktivieren Sie die Kerberos-Authentifizierung auf dem WinRM-Client.
    1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Kerberos-Authentifizierung zulässig ist.

      c:\> winrm get winrm/config/client

    2. Führen Sie den folgenden Befehl aus, um die Kerberos-Authentifizierung zu aktivieren.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Führen Sie den folgenden Befehl aus, um die Verbindung mit dem WinRM-Dienst zu testen.

    c:\> winrm identify -r:http://WinRM-Server:5985 -auth:Kerberos -u:Benutzername -p:Kennwort -encoding:utf-8

  4. Erstellen Sie die Datei krb5.conf und speichern Sie sie am folgenden Speicherort.

    Betriebssystem

    Pfad

    Windows

    C:\Programme\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ bei einer externen vRealize Orchestrator-Instanz.

    /etc/krb5.conf bei einer vRealize Orchestrator-Instanz, die in vRealize Automation integriert ist.

    Die Datei krb5.conf hat die folgende Struktur:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Die Datei krb5.conf muss bestimmte Konfigurationsparameter und deren Werte enthalten.

    Tags für Kerberos-Konfiguration

    Details

    default_realm

    Der standardmäßige Kerberos-Bereich, den ein Client zur Authentifizierung bei einem Active Directory-Server verwendet.

    Anmerkung:

    Die Angabe muss in Großbuchstaben erfolgen.

    kdc

    Der Domänencontroller, der als Schlüsselverteilungs-Center (Key Distribution Center, KDC) fungiert und Kerberos-Tickets ausstellt.

    default_domain

    Die Standarddomäne, die verwendet wird, um einen vollqualifizierten Domänennamen zu erstellen.

    Anmerkung:

    Dieses Tag wird aus Gründen der Kompatibilität mit Kerberos 4 verwendet.

    Anmerkung:

    Standardmäßig verwendet die Java-Kerberos-Konfiguration das UDP-Protokoll. Wenn Sie nur das TCP-Protokoll verwenden möchten, müssen Sie den Parameter udp_preference_limit mit dem Wert 1angeben.

    Anmerkung:

    Die Kerberos-Authentifizierung erfordert eine Hostadresse mit einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).

    Wichtig:

    Wenn Sie die Datei krb5.conf hinzufügen oder ändern, müssen Sie den Orchestrator-Serverdienst neu starten.