U kunt Kerberos-verificatie gebruiken wanneer u een PowerShell-host toevoegt en beheert.

Met Kerberos-verificatie kunnen domeingebruikers opdrachten op externe voor PowerShell ingeschakelde machines via WinRM uitvoeren.

Procedure

  1. Schakel Kerberos-verificatie in op de WinRM-service.
    1. Voer de volgende opdracht uit om te controleren of Kerberos-verificatie is toegestaan.

      c:\> winrm get winrm/config/service

    2. Voer de volgende opdracht uit om Kerberos-verificatie in te schakelen.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Schakel Kerberos-verificatie in op de WinRM-client.
    1. Voer de volgende opdracht uit om te controleren of Kerberos-verificatie is toegestaan.

      c:\> winrm get winrm/config/client

    2. Voer de volgende opdracht uit om Kerberos-verificatie in te schakelen.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Voer de volgende opdracht uit om de verbinding met de WinRM-service te testen.

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:gebruikers_naam -p:wachtwoord -encoding:utf-8

  4. Maak een krb5.conf-bestand en sla dit op de volgende locatie op.

    Besturingssysteem

    Pad

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ voor externe vRealize Orchestrator.

    /etc/krb5.conf voor vRealize Orchestrator, ingebouwd in vRealize Automation.

    Een krb5.conf-bestand heeft de volgende structuur:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Het krb5.conf-bestand moet specifieke configuratieparameters met hun waarden bevatten.

    Tags voor Kerberos-configuratie

    Details

    standaard_realm

    De standaard Kerberos-realm die een client gebruikt voor verificatie bij een Active Directory-server.

    Opmerking:

    Moet uit hoofdletters bestaan.

    kdc

    De domeincontroller die fungeert als sleuteldistributiecentrum (KDC) en Kerberos-tickets verstrekt.

    standaard_domein

    Het standaarddomein dat wordt gebruikt om een volledig gekwalificeerde domeinnaam te produceren.

    Opmerking:

    Deze tag wordt gebruikt voor Kerberos-4 compatibiliteit.

    Opmerking:

    De Java Kerberos-configuratie gebruikt standaard het UDP-protocol. Als u alleen het TCP-protocol wilt gebruiken, moet u de parameter udp_preference_limit opgeven met waarde 1.

    Opmerking:

    Voor Kerberos-verificatie is een FQDN-hostadres vereist (volledig gekwalificeerde domeinnaam).

    Belangrijk:

    Wanneer u het bestand krb5.conf toevoegt of aanpast, moet u de Orchestrator-serverservice opnieuw starten.