При добавлении узла PowerShell и управлении им можно использовать проверку подлинности Kerberos.

Проверка подлинности Kerberos позволяет пользователям домена могут запускать команды на удаленных машинах с поддержкой PowerShell с помощью WinRM.

Процедура

  1. Включите проверку подлинности Kerberos в службе WinRM.
    1. Выполните следующую команду, чтобы проверить, разрешена ли проверка подлинности Kerberos.

      c:\> winrm get winrm/config/service

    2. Выполните следующую команду, чтобы включить проверку подлинности Kerberos.

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. Включите проверку подлинности Kerberos в клиенте WinRM.
    1. Выполните следующую команду, чтобы проверить, разрешена ли проверка подлинности Kerberos.

      c:\> winrm get winrm/config/client

    2. Выполните следующую команду, чтобы включить проверку подлинности Kerberos.

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. Выполните следующую команду, чтобы проверить подключение к службе WinRM.

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. Создайте файл krb5.conf и сохраните его в следующее расположение.

    Операционная система

    Путь

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ для внешнего vRealize Orchestrator.

    /etc/krb5.conf для vRealize Orchestrator, встроенного в vRealize Automation.

    Файл krb5.conf имеет следующую структуру:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Файл Krb5.conf должен содержать определенные параметры конфигурации и их значения.

    Теги конфигурации Kerberos

    Сведения

    default_realm

    Область Kerberos по умолчанию, которую клиент использует для проверки подлинности на сервере Active Directory.

    Примечание.

    Значение должно быть в верхнем регистре.

    kdc

    Контроллер домена, который выступает в качестве центра распространения ключей (KDC) и выдает билеты Kerberos.

    default_domain

    Домен по умолчанию, который используется для создания полного доменного имени.

    Примечание.

    Этот тег используется для обеспечения совместимости с Kerberos 4.

    Примечание.

    По умолчанию для конфигурации Java Kerberos используется протокол UDP. Чтобы использовать только протокол TCP, необходимо указать параметр udp_preference_limit со значением 1.

    Примечание.

    Для проверки подлинности Kerberos требуется адрес узла полного доменного имени (FQDN).

    Важно!.

    При добавлении или изменении файла krb5.conf необходимо перезапустить службу сервера Orchestrator.