При добавлении узла PowerShell и управлении им можно использовать проверку подлинности Kerberos.

Проверка подлинности Kerberos позволяет пользователям домена могут запускать команды на удаленных машинах с поддержкой PowerShell с помощью WinRM.

Процедура

  1. Настройте WinRM на узле PowerShell. 
    winrm quickconfig
winrm set winrm/config/service/auth @{Kerberos="true"}
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Создайте или отредактируйте файл krb5.conf в папке: /data/vco/usr/lib/vco/app-server/conf/.
    Файл krb5.conf имеет следующую структуру: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Файл Krb5.conf должен содержать определенные параметры конфигурации и их значения.

    Теги конфигурации Kerberos Сведения
    default_realm Область Kerberos по умолчанию, которую клиент использует для проверки подлинности на сервере Active Directory.
    Примечание: Значение должно быть в верхнем регистре.
    kdc Контроллер домена, который выступает в качестве центра распространения ключей (KDC) и выдает билеты Kerberos.
    default_domain Домен по умолчанию, который используется для создания полного доменного имени.
    Примечание: Этот тег используется для обеспечения совместимости с Kerberos 4.
    Примечание: По умолчанию для конфигурации Java Kerberos используется протокол UDP. Чтобы использовать только протокол TCP, необходимо указать параметр udp_preference_limit со значением 1.
    Примечание: Для проверки подлинности Kerberos требуется адрес узла полного доменного имени (FQDN).
    Важно!: При добавлении или изменении файла krb5.conf необходимо перезапустить службу сервера Automation Orchestrator.

    При работе в кластерной среде Automation Orchestrator убедитесь, что файл krb5.conf существует на всех трех устройствах и его настройки на всех устройствах идентичны. Только после этого можно перезапустить модули Automation Orchestrator.

  3. Чтобы изменить разрешения, выполните следующую команду. 
    chmod 644 krb5.conf
  4. Повторите развертывание модуля Automation Orchestrator. 
    kubectl -n prelude get pods
    Найдите запись, подобную следующей. 
    vco-app-<ID>
  5. Уничтожьте модуль. 
    kubectl -n prelude delete pod vco-app-<ID>
    Новый модуль развертывается автоматически, чтобы заменить уничтоженный модуль.

Дальнейшие действия

В Automation Orchestrator Client запустите рабочий процесс Добавление узла PowerShell.