È possibile utilizzare l'autenticazione Kerberos quando si aggiunge e si gestisce un host PowerShell.

Con l'autenticazione Kerberos, gli utenti del dominio possono eseguire comandi in macchine remote abilitate per PowerShell tramite WinRM.

Procedura

  1. Configurare WinRM nell'host di PowerShell.
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Creare o modificare il file krb5.conf nella seguente posizione:
    Tipo di vRealize Orchestrator Descrizione
    Esterna /data/vco/usr/lib/vco/app-server/conf/
    Incorporato /etc/krb5.conf
    Un file krb5.conf ha la seguente struttura:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Il file Krb5.conf deve contenere parametri di configurazione specifici con i rispettivi valori.

    Tag di configurazione Kerberos Dettagli
    default_realm Area di autenticazione Kerberos predefinita utilizzata da un client per eseguire l'autenticazione in un server di Active Directory.
    Nota: Può includere solo lettere maiuscole.
    kdc Controller di dominio che agisce come centro di distribuzione chiavi (KDC) ed emette i ticket Kerberos.
    default_domain Dominio predefinito utilizzato per generare un nome di dominio completo.
    Nota: Questo tag viene utilizzato per la compatibilità con Kerberos 4.
    Nota: Per impostazione predefinita, la configurazione Kerberos di Java utilizza il protocollo UDP. Per utilizzare solo il protocollo TCP, è necessario specificare il parametro udp_preference_limit con il valore 1.
    Nota: L’autenticazione Kerberos richiede un indirizzo host formato da un nome di dominio completo (FQDN).
    Importante: Quando si aggiunge o si modifica il file krb5.conf, è necessario riavviare il servizio del server vRealize Orchestrator.
  3. Modificare le autorizzazioni eseguendo il comando seguente.
    chmod 644 krb5.conf
  4. Distribuire nuovamente il pod di vRealize Orchestrator.
    kubectl -n prelude get pods
    Cercare una voce simile alla seguente.
    vco-app-<ID>
  5. Eliminare il pod.
    kubectl -n prelude delete pod vco-app-<ID>
    Un nuovo pod viene distribuito automaticamente per sostituire il pod eliminato.

Operazioni successive

In vRealize Orchestrator Client, eseguire il workflow Aggiungi host PowerShell.