È possibile utilizzare l'autenticazione Kerberos quando si aggiunge e si gestisce un host PowerShell.

Con l'autenticazione Kerberos, gli utenti del dominio possono eseguire comandi in macchine remote abilitate per PowerShell tramite WinRM.

Procedura

  1. Configurare WinRM nell'host di PowerShell. 
    winrm quickconfig
winrm set winrm/config/service/auth @{Kerberos="true"}
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Creare o modificare il file krb5.conf in /data/vco/usr/lib/vco/app-server/conf/.
    Un file krb5.conf ha la seguente struttura: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Il file Krb5.conf deve contenere parametri di configurazione specifici con i rispettivi valori.

    Tag di configurazione Kerberos Dettagli
    default_realm Area di autenticazione Kerberos predefinita utilizzata da un client per eseguire l'autenticazione in un server di Active Directory.
    Nota: Può includere solo lettere maiuscole.
    kdc Controller di dominio che agisce come centro di distribuzione chiavi (KDC) ed emette i ticket Kerberos.
    default_domain Dominio predefinito utilizzato per generare un nome di dominio completo.
    Nota: Questo tag viene utilizzato per la compatibilità con Kerberos 4.
    Nota: Per impostazione predefinita, la configurazione Kerberos di Java utilizza il protocollo UDP. Per utilizzare solo il protocollo TCP, è necessario specificare il parametro udp_preference_limit con il valore 1.
    Nota: L’autenticazione Kerberos richiede un indirizzo host formato da un nome di dominio completo (FQDN).
    Importante: Quando si aggiunge o si modifica il file krb5.conf, è necessario riavviare il servizio del server Automation Orchestrator.

    Se si dispone di un ambiente di Automation Orchestrator in cluster, assicurarsi che il file krb5.conf sia presente in tutte e tre le appliance con la stessa configurazione prima di riavviare i pod Automation Orchestrator.

  3. Modificare le autorizzazioni eseguendo il comando seguente. 
    chmod 644 krb5.conf
  4. Distribuire nuovamente il pod di Automation Orchestrator. 
    kubectl -n prelude get pods
    Cercare una voce simile alla seguente. 
    vco-app-<ID>
  5. Eliminare il pod. 
    kubectl -n prelude delete pod vco-app-<ID>
    Un nuovo pod viene distribuito automaticamente per sostituire il pod eliminato.

Operazioni successive

In Automation Orchestrator Client, eseguire il workflow Aggiungi host PowerShell.