Vous pouvez utiliser l'authentification Kerberos lorsque vous ajoutez et gérez un hôte PowerShell.
L'authentification Kerberos permet aux utilisateurs du domaine d'exécuter des commandes sur des machines PowerShell distantes via WinRM.
Procédure
- Configurez WinRM sur l'hôte PowerShell.
winrm quickconfig
winrm set winrm/config/service/auth @{Kerberos="true"}
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
- Créez ou modifiez le fichier krb5.conf à l'emplacement /data/vco/usr/lib/vco/app-server/conf/.
Les fichiers
krb5.conf présentent la structure suivante :
[libdefaults]
default_realm = YOURDOMAIN.COM
[realms]
YOURDOMAIN.COM = {
kdc = dc.yourdomain.com
default_domain = yourdomain.com
}
[domain_realm]
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM
Le fichier krb5.conf doit contenir des paramètres de configuration spécifiques avec leurs valeurs.
Balises de configuration de Kerberos |
Détails |
domaine_par_défaut |
Domaine Kerberos par défaut utilisé par un client pour s'authentifier auprès d'un serveur Active Directory.
Note : Doit être en majuscules.
|
kdc |
Contrôleur de domaine agissant comme un Centre de distribution de clés (KDC) et émettant des tickets Kerberos. |
domaine_par_défaut |
Domaine par défaut utilisé pour générer un nom de domaine complet.
Note : Cette balise est utilisée pour garantir la compatibilité de Kerberos 4.
|
Note : Par défaut, la configuration de Kerberos dans Java utilise le protocole UDP. Pour utiliser uniquement le protocole TCP, vous devez spécifier le paramètre
udp_preference_limit
avec une valeur de
1.
Note : L'authentification Kerberos nécessite une adresse d'hôte à nom de domaine complet.
Important : Lorsque vous ajoutez ou modifiez le fichier
krb5.conf, vous devez redémarrer le service du serveur
Automation Orchestrator.
Si vous disposez d'un environnement Automation Orchestrator mis en cluster, assurez-vous que le fichier krb5.conf existe dans les trois dispositifs avec la même configuration avant de redémarrer les espaces Automation Orchestrator.
- Modifiez les autorisations en exécutant la commande suivante.
- Redéployez l'espace Automation Orchestrator.
kubectl -n prelude get pods
Recherchez une entrée semblable à la suivante.
vco-app-<ID>
- Détruisez l'espace.
kubectl -n prelude delete pod vco-app-<ID>
Un nouvel espace est automatiquement déployé pour remplacer l'espace que vous avez détruit.
Que faire ensuite
Dans le client
Automation Orchestrator, exécutez le workflow
Ajouter un hôte PowerShell.