Puede utilizar la autenticación de Kerberos al añadir y administrar un host de PowerShell.

Por qué y cuándo se efectúa esta tarea

Con la autenticación de Kerberos, los usuarios del dominio pueden ejecutar comandos en máquinas remotas habilitadas para PowerShell en WinRM.

Procedimiento

  1. Habilite la autenticación de Kerberos en el servicio WinRM.
    1. Ejecute el siguiente comando para comprobar si se permite la autenticación de Kerberos.

      c:\> winrm get winrm/config/service

    2. Ejecute el siguiente comando para habilitar la autenticación de Kerberos.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Habilite la autenticación de Kerberos en el cliente de WinRM.
    1. Ejecute el siguiente comando para comprobar si se permite la autenticación de Kerberos.

      c:\> winrm get winrm/config/client

    2. Ejecute el siguiente comando para habilitar la autenticación de Kerberos.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Ejecute el siguiente comando para probar la conexión con el servicio WinRM.

    c:\> winrm identify -r:http://servidor_winrm:5985 -auth:Kerberos -u:nombre_de_usuario -p:contraseña -encoding:utf-8

  4. Cree un archivo krb5.conf y guárdelo en la ubicación siguiente:

    Sistema operativo

    Ruta de acceso

    Windows

    C:\Archivos de programa\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ para vRealize Orchestrator externo.

    /etc/krb5.conf para vRealize Orchestrator incorporado en vRealize Automation.

    Un archivo krb5.conf tiene la estructura siguiente:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    El archivo krb5.conf debe contener los parámetros de configuración específicos con sus valores.

    Etiquetas de la configuración de Kerberos

    Detalles

    default_realm

    Dominio de Kerberos predeterminado que utiliza un cliente para autenticarse en un servidor Active Directory.

    Nota:

    Debe estar en mayúsculas.

    kdc

    Controlador de dominio que actúa como un centro de distribución de claves (KDC) y emite tickets de Kerberos.

    default_domain

    Dominio predeterminado que se utiliza para generar un nombre de dominio completamente válido.

    Nota:

    Esta etiqueta se utiliza para la compatibilidad de Kerberos 4.

    Nota:

    De forma predeterminada, la configuración de Kerberos de Java utiliza el protocolo UDP. Para usar solo el protocolo TCP, debe especificar el parámetro udp_preference_limit con un valor 1.

    Nota:

    La autenticación Kerberos requiere una dirección de host de nombre de dominio totalmente cualificado (FQDN).

    Importante:

    Cuando añade o modifica el archivo krb5.conf, debe reiniciar el servicio del servidor de Orchestrator.