PowerShell 호스트를 추가하고 관리할 때 Kerberos 인증을 사용할 수 있습니다.

Kerberos 인증을 사용하면 도메인 사용자는 WinRM을 통해 원격 PowerShell 사용 가능 시스템에서 명령을 실행할 수 있습니다.

프로시저

  1. PowerShell 호스트에서 WinRM을 구성합니다. 
    winrm quickconfig
winrm set winrm/config/service/auth @{Kerberos="true"}
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. krb5.conf 파일을 /data/vco/usr/lib/vco/app-server/conf/에서 생성하거나 편집합니다.
    krb5.conf 파일의 구조는 다음과 같습니다. 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    krb5.conf는 해당 값과 함께 특정한 구성 매개 변수를 포함해야 합니다.

    Kerberos 구성 태그 세부 정보
    default_realm Active Directory 서버를 인증할 때 클라이언트에서 사용하는 기본 Kerberos 영역입니다.
    참고: 대문자로 입력해야 합니다.
    kdc KDC(키 배포 센터) 역할을 하고 Kerberos 티켓을 발행하는 도메인 컨트롤러입니다.
    default_domain 정규화된 도메인 이름을 생성하는 데 사용되는 기본 도메인입니다.
    참고: 이 태그는 Kerberos 4 호환성을 위해 사용됩니다.
    참고: 기본적으로 Java Kerberos 구성은 UDP 프로토콜을 사용합니다. TCP 프로토콜만 사용하려면 udp_preference_limit 매개 변수를 값 1로 지정해야 합니다.
    참고: Kerberos 인증을 위해서는 FQDN(정규화된 도메인 이름) 호스트 주소가 필요합니다.
    중요: krb5.conf 파일을 추가하거나 수정한 경우 vRealize Orchestrator 서버 서비스를 다시 시작해야 합니다.

    클러스터링된 vRealize Orchestrator 환경인 경우 vRealize Orchestrator 포드를 다시 시작하기 전에 구성이 동일한 세 장치 모두에 krb5.conf 파일이 있는지 확인합니다.

  3. 다음 명령을 실행하여 사용 권한을 변경합니다. 
    chmod 644 krb5.conf
  4. vRealize Orchestrator 포드를 다시 배포합니다. 
    kubectl -n prelude get pods
    다음과 유사한 항목을 찾습니다. 
    vco-app-<ID>
  5. 포드를 제거합니다. 
    kubectl -n prelude delete pod vco-app-<ID>
    제거된 포드를 대체하기 위해 새 포드가 자동으로 배포됩니다.

다음에 수행할 작업

vRealize Orchestrator Client에서 PowerShell 호스트 추가 워크플로를 실행합니다.