Sie können beim Hinzufügen und Verwalten eines PowerShell-Hosts eine Kerberos-Authentifizierung verwenden.

Mit der Kerberos-Authentifizierung können Domänenbenutzer Befehle auf PowerShell-fähigen Remote-Maschinen über WinRM ausführen.

Prozedur

  1. Konfigurieren Sie WinRM auf dem PowerShell-Host.
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Erstellen oder bearbeiten Sie die Datei krb5.conf unter /data/vco/usr/lib/vco/app-server/conf/.
    Die Datei krb5.conf hat die folgende Struktur:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Die Datei krb5.conf muss bestimmte Konfigurationsparameter und deren Werte enthalten.

    Tags für Kerberos-Konfiguration Details
    default_realm Der standardmäßige Kerberos-Bereich, den ein Client zur Authentifizierung bei einem Active Directory-Server verwendet.
    Hinweis: Die Angabe muss in Großbuchstaben erfolgen.
    kdc Der Domänencontroller, der als Schlüsselverteilungs-Center (Key Distribution Center, KDC) fungiert und Kerberos-Tickets ausstellt.
    default_domain Die Standarddomäne, die verwendet wird, um einen vollqualifizierten Domänennamen zu erstellen.
    Hinweis: Dieses Tag wird aus Gründen der Kompatibilität mit Kerberos 4 verwendet.
    Hinweis: Standardmäßig verwendet die Java-Kerberos-Konfiguration das UDP-Protokoll. Wenn Sie nur das TCP-Protokoll verwenden möchten, müssen Sie den Parameter udp_preference_limit mit dem Wert 1angeben.
    Hinweis: Die Kerberos-Authentifizierung erfordert eine Hostadresse mit einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).
    Wichtig: Wenn Sie die Datei krb5.conf hinzufügen oder ändern, müssen Sie den vRealize Orchestrator-Serverdienst neu starten.

    Wenn Sie über eine geclusterte vRealize Orchestrator-Umgebung verfügen, stellen Sie sicher, dass die Datei krb5.conf in allen drei Appliances mit derselben Konfiguration vorhanden ist, bevor Sie die vRealize Orchestrator-Pods neu starten.

  3. Ändern Sie die Berechtigungen, indem Sie den folgenden Befehl ausführen.
    chmod 644 krb5.conf
  4. Stellen Sie den vRealize Orchestrator-Pod erneut bereit.
    kubectl -n prelude get pods
    Suchen Sie nach einem Eintrag ähnlich dem folgenden.
    vco-app-<ID>
  5. Löschen Sie den Pod.
    kubectl -n prelude delete pod vco-app-<ID>
    Ein neuer Pod wird automatisch bereitgestellt, um den gelöschten Pod zu ersetzen.

Nächste Maßnahme

Führen Sie im vRealize Orchestrator Client den Workflow PowerShell-Host hinzufügen aus.