PowerShell ホストを追加および管理する場合は、Kerberos 認証を使用できます。

Kerberos 認証では、ドメイン ユーザーは WinRM を経由して、PowerShell が有効なリモート マシン上でコマンドを実行できます。

手順

  1. PowerShell ホストで WinRM を構成します。
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. /data/vco/usr/lib/vco/app-server/conf/krb5.conf ファイルを作成または編集します。
    krb5.conf ファイルの構造は次のとおりです。
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    krb5.conf には、特定の構成パラメータとその値を含める必要があります。

    Kerberos 構成タグ 詳細
    default_realm クライアントが Active Directory サーバの認証に使用するデフォルトの Kerberos レルム。
    注: 大文字にする必要があります。
    kdc キー配布センター (KDC) として機能し、Kerberos チケットを発行するドメイン コントローラ。
    default_domain 完全修飾ドメイン名を生成するために使用されるデフォルト ドメイン。
    注: このタグは、Kerberos 4 の互換性のために使用されます。
    注: デフォルトでは、Java Kerberos の構成に UDP プロトコルを使用します。TCP プロトコルのみ使用するには、値 1 を使用した udp_preference_limit パラメータを指定する必要があります。
    注: Kerberos 認証では、完全修飾ドメイン名 (FQDN) のホスト アドレスが必要です。
    重要: krb5.conf ファイルを追加または変更するときには、 vRealize Orchestrator サーバ サービスを再起動する必要があります。

    クラスタ化された vRealize Orchestrator 環境を使用している場合は、vRealize Orchestrator ポッドを再起動する前に、krb5.conf ファイルが同じ構成の 3 台のアプライアンスすべてに存在することを確認します。

  3. 次のコマンドを実行して、権限を変更します。
    chmod 644 krb5.conf
  4. vRealize Orchestrator ポッドを再展開します。
    kubectl -n prelude get pods
    次のようなエントリを探します。
    vco-app-<ID>
  5. ポッドを破棄します。
    kubectl -n prelude delete pod vco-app-<ID>
    破棄したポッドを置き換えるために、新しいポッドが自動的に展開されます。

次のタスク

vRealize Orchestrator クライアントで、 [PowerShell ホストの追加] ワークフローを実行します。