Sie können beim Hinzufügen und Verwalten eines PowerShell-Hosts eine Kerberos-Authentifizierung verwenden.

Mit der Kerberos-Authentifizierung können Domänenbenutzer Befehle auf PowerShell-fähigen Remote-Maschinen über WinRM ausführen.

Prozedur

  1. Konfigurieren Sie WinRM auf dem PowerShell-Host. 
    winrm quickconfig
winrm set winrm/config/service/auth @{Kerberos="true"}
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Erstellen oder bearbeiten Sie die Datei krb5.conf unter /data/vco/usr/lib/vco/app-server/conf/.
    Die Datei krb5.conf hat die folgende Struktur: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Die Datei krb5.conf muss bestimmte Konfigurationsparameter und deren Werte enthalten.

    Tags für Kerberos-Konfiguration Details
    default_realm Der standardmäßige Kerberos-Bereich, den ein Client zur Authentifizierung bei einem Active Directory-Server verwendet.
    Hinweis: Die Angabe muss in Großbuchstaben erfolgen.
    kdc Der Domänencontroller, der als Schlüsselverteilungs-Center (Key Distribution Center, KDC) fungiert und Kerberos-Tickets ausstellt.
    default_domain Die Standarddomäne, die verwendet wird, um einen vollqualifizierten Domänennamen zu erstellen.
    Hinweis: Dieses Tag wird aus Gründen der Kompatibilität mit Kerberos 4 verwendet.
    Hinweis: Standardmäßig verwendet die Java-Kerberos-Konfiguration das UDP-Protokoll. Wenn Sie nur das TCP-Protokoll verwenden möchten, müssen Sie den Parameter udp_preference_limit mit dem Wert 1angeben.
    Hinweis: Die Kerberos-Authentifizierung erfordert eine Hostadresse mit einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).
    Wichtig: Wenn Sie die Datei krb5.conf hinzufügen oder ändern, müssen Sie den vRealize Orchestrator-Serverdienst neu starten.

    Wenn Sie über eine geclusterte vRealize Orchestrator-Umgebung verfügen, stellen Sie sicher, dass die Datei krb5.conf in allen drei Appliances mit derselben Konfiguration vorhanden ist, bevor Sie die vRealize Orchestrator-Pods neu starten.

  3. Ändern Sie die Berechtigungen, indem Sie den folgenden Befehl ausführen. 
    chmod 644 krb5.conf
  4. Stellen Sie den vRealize Orchestrator-Pod erneut bereit. 
    kubectl -n prelude get pods
    Suchen Sie nach einem Eintrag ähnlich dem folgenden. 
    vco-app-<ID>
  5. Löschen Sie den Pod. 
    kubectl -n prelude delete pod vco-app-<ID>
    Ein neuer Pod wird automatisch bereitgestellt, um den gelöschten Pod zu ersetzen.

Nächste Maßnahme

Führen Sie im vRealize Orchestrator Client den Workflow PowerShell-Host hinzufügen aus.