Vous pouvez utiliser l'authentification Kerberos lorsque vous ajoutez et gérez un hôte PowerShell.

L'authentification Kerberos permet aux utilisateurs du domaine d'exécuter des commandes sur des machines PowerShell distantes via WinRM.

Procédure

  1. Configurez WinRM sur l'hôte PowerShell.
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Créez ou modifiez le fichier krb5.conf à l'emplacement /data/vco/usr/lib/vco/app-server/conf/.
    Les fichiers krb5.conf présentent la structure suivante :
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Le fichier krb5.conf doit contenir des paramètres de configuration spécifiques avec leurs valeurs.

    Balises de configuration de Kerberos Détails
    domaine_par_défaut Domaine Kerberos par défaut utilisé par un client pour s'authentifier auprès d'un serveur Active Directory.
    Note : Doit être en majuscules.
    kdc Contrôleur de domaine agissant comme un Centre de distribution de clés (KDC) et émettant des tickets Kerberos.
    domaine_par_défaut Domaine par défaut utilisé pour générer un nom de domaine complet.
    Note : Cette balise est utilisée pour garantir la compatibilité de Kerberos 4.
    Note : Par défaut, la configuration de Kerberos dans Java utilise le protocole UDP. Pour utiliser uniquement le protocole TCP, vous devez spécifier le paramètre udp_preference_limit avec une valeur de 1.
    Note : L'authentification Kerberos nécessite une adresse d'hôte à nom de domaine complet.
    Important : Lorsque vous ajoutez ou modifiez le fichier krb5.conf, vous devez redémarrer le service du serveur Automation Orchestrator.

    Si vous disposez d'un environnement Automation Orchestrator mis en cluster, assurez-vous que le fichier krb5.conf existe dans les trois dispositifs avec la même configuration avant de redémarrer les espaces Automation Orchestrator.

  3. Modifiez les autorisations en exécutant la commande suivante.
    chmod 644 krb5.conf
  4. Redéployez l'espace Automation Orchestrator.
    kubectl -n prelude get pods
    Recherchez une entrée semblable à la suivante.
    vco-app-<ID>
  5. Détruisez l'espace.
    kubectl -n prelude delete pod vco-app-<ID>
    Un nouvel espace est automatiquement déployé pour remplacer l'espace que vous avez détruit.

Que faire ensuite

Dans le client Automation Orchestrator, exécutez le workflow Ajouter un hôte PowerShell.