Puede utilizar la autenticación Kerberos al añadir y administrar un host de PowerShell.

Con la autenticación Kerberos, los usuarios del dominio pueden ejecutar comandos en máquinas remotas habilitadas para PowerShell en WinRM.

Procedimiento

  1. Habilite la autenticación Kerberos en el servicio WinRM.
    1. Para comprobar si se permite la autenticación Kerberos, ejecute el siguiente comando:
      c:\> winrm get winrm/config/service
    2. Para habilitar la autenticación Kerberos, ejecute el siguiente comando:
      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}
  2. Habilite la autenticación Kerberos en el cliente de WinRM.
    1. Para comprobar si se permite la autenticación Kerberos, ejecute el siguiente comando:
      c:\> winrm get winrm/config/client
    2. Para habilitar la autenticación Kerberos, ejecute el siguiente comando:
      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}
  3. Para probar la conexión con el servicio WinRM, ejecute el siguiente comando:
    c:\> winrm identify -r:http://servidor_winrm:5985 -auth:Kerberos -u:nombre_de_usuario -p:contraseña -encoding:utf-8
  4. Cree un archivo krb5.conf y guárdelo en la siguiente ubicación:
    Tipo de orquestador Descripción
    Externo /usr/java/jre-vmware/lib/security/
    Integrado /etc/krb5.conf
    Un archivo krb5.conf tiene la estructura siguiente:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    El archivo krb5.conf debe contener los parámetros de configuración específicos con sus valores.

    Etiquetas de la configuración de Kerberos Detalles
    default_realm Dominio de Kerberos predeterminado que utiliza un cliente para autenticarse en un servidor Active Directory.
    Nota: Debe estar en mayúsculas.
    kdc Controlador de dominio que actúa como un centro de distribución de claves (KDC) y emite tickets de Kerberos.
    default_domain Dominio predeterminado que se utiliza para generar un nombre de dominio completamente válido.
    Nota: Esta etiqueta se utiliza para la compatibilidad de Kerberos 4.
    Nota: De forma predeterminada, la configuración de Kerberos de Java utiliza el protocolo UDP. Para usar solo el protocolo TCP, debe especificar el parámetro udp_preference_limit con un valor 1.
    Nota: La autenticación Kerberos requiere una dirección de host de nombre de dominio totalmente cualificado (FQDN).
    Importante: Cuando añade o modifica el archivo krb5.conf, debe reiniciar el servicio del servidor de Orchestrator.