È possibile utilizzare l'autenticazione Kerberos quando si aggiunge e si gestisce un host PowerShell.

Con l'autenticazione Kerberos, gli utenti del dominio possono eseguire comandi in macchine remote abilitate per PowerShell tramite WinRM.

Procedura

  1. Abilitare l'autenticazione Kerberos nel servizio WinRM.
    1. Eseguire il comando seguente per verificare se l'autenticazione Kerberos è consentita.

      c:\> winrm get winrm/config/service

    2. Eseguire il comando seguente per abilitare l'autenticazione Kerberos.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Abilitare l'autenticazione Kerberos nel client WinRM.
    1. Eseguire il comando seguente per verificare se l'autenticazione Kerberos è consentita.

      c:\> winrm get winrm/config/client

    2. Eseguire il comando seguente per abilitare l'autenticazione Kerberos.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Eseguire il comando seguente per provare la connessione al servizio WinRM.

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. Creare un file krb5.conf e salvarlo nella seguente posizione.

    Sistema operativo

    Percorso

    Windows

    C:\Programmi\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ per vRealize Orchestrator esterno.

    /etc/krb5.conf per vRealize Orchestrator integrato in vRealize Automation.

    Un file krb5.conf ha la seguente struttura:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Il file Krb5.conf deve contenere parametri di configurazione specifici con i rispettivi valori.

    Tag di configurazione Kerberos

    Dettagli

    default_realm

    Area di autenticazione Kerberos predefinita utilizzata da un client per eseguire l'autenticazione in un server di Active Directory.

    Nota:

    Può includere solo lettere maiuscole.

    kdc

    Controller di dominio che agisce come centro di distribuzione chiavi (KDC) ed emette i ticket Kerberos.

    default_domain

    Dominio predefinito utilizzato per generare un nome di dominio completo.

    Nota:

    Questo tag viene utilizzato per la compatibilità con Kerberos 4.

    Nota:

    Per impostazione predefinita, la configurazione Kerberos di Java utilizza il protocollo UDP. Per utilizzare solo il protocollo TCP, è necessario specificare il parametro udp_preference_limit con il valore 1.

    Nota:

    L’autenticazione Kerberos richiede un indirizzo host formato da un nome di dominio completo (FQDN).

    Importante:

    Quando si aggiunge o si modifica il file krb5.conf, è necessario riavviare il servizio del server di Orchestrator.