PowerShell 호스트를 추가하고 관리할 때 Kerberos 인증을 사용할 수 있습니다.

이 태스크 정보

Kerberos 인증을 사용하면 도메인 사용자는 WinRM을 통해 원격 PowerShell 사용 가능 시스템에서 명령을 실행할 수 있습니다.

프로시저

  1. WinRM 서비스에서 Kerberos 인증을 사용하도록 설정합니다.
    1. Kerberos 인증이 허용되는지 여부를 확인하려면 다음 명령을 실행합니다.

      c:\> winrm get winrm/config/service

    2. Kerberos 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. WinRM 클라이언트에서 Kerberos 인증을 사용하도록 설정합니다.
    1. Kerberos 인증이 허용되는지 여부를 확인하려면 다음 명령을 실행합니다.

      c:\> winrm get winrm/config/client

    2. Kerberos 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. WinRM 서비스에 대한 연결을 테스트하려면 다음 명령을 실행합니다.

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. krb5.conf 파일을 만들어 다음 위치에 저장합니다.

    운영 체제

    경로

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/(외부 vRealize Orchestrator용).

    /etc/krb5.conf(vRealize Orchestrator용)가 vRealize Automation에 작성됩니다.

    krb5.conf 파일의 구조는 다음과 같습니다.

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    krb5.conf는 해당 값과 함께 특정한 구성 매개 변수를 포함해야 합니다.

    Kerberos 구성 태그

    세부 정보

    default_realm

    Active Directory 서버를 인증할 때 클라이언트에서 사용하는 기본 Kerberos 영역입니다.

    참고:

    대문자로 입력해야 합니다.

    kdc

    KDC(키 배포 센터) 역할을 하고 Kerberos 티켓을 발행하는 도메인 컨트롤러입니다.

    default_domain

    정규화된 도메인 이름을 생성하는 데 사용되는 기본 도메인입니다.

    참고:

    이 태그는 Kerberos 4 호환성을 위해 사용됩니다.

    참고:

    기본적으로 Java Kerberos 구성은 UDP 프로토콜을 사용합니다. TCP 프로토콜만 사용하려면 udp_preference_limit 매개 변수를 값 1로 지정해야 합니다.

    참고:

    Kerberos 인증을 위해서는 FQDN(정규화된 도메인 이름) 호스트 주소가 필요합니다.

    중요:

    krb5.conf 파일을 추가하거나 수정한 경우 Orchestrator 서버 서비스를 다시 시작해야 합니다.