При добавлении узла PowerShell и управлении им можно использовать проверку подлинности Kerberos.

Проверка подлинности Kerberos позволяет пользователям домена могут запускать команды на удаленных машинах с поддержкой PowerShell с помощью WinRM.

Процедура

  1. Настройте WinRM на узле PowerShell.
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Создайте или измените файл krb5.conf в следующем расположении:
    Тип vRealize Orchestrator Описание
    Внешнее /data/vco/usr/lib/vco/app-server/conf/
    Внедренный /etc/krb5.conf
    Файл krb5.conf имеет следующую структуру:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Файл Krb5.conf должен содержать определенные параметры конфигурации и их значения.

    Теги конфигурации Kerberos Сведения
    default_realm Область Kerberos по умолчанию, которую клиент использует для проверки подлинности на сервере Active Directory.
    Примечание: Значение должно быть в верхнем регистре.
    kdc Контроллер домена, который выступает в качестве центра распространения ключей (KDC) и выдает билеты Kerberos.
    default_domain Домен по умолчанию, который используется для создания полного доменного имени.
    Примечание: Этот тег используется для обеспечения совместимости с Kerberos 4.
    Примечание: По умолчанию для конфигурации Java Kerberos используется протокол UDP. Чтобы использовать только протокол TCP, необходимо указать параметр udp_preference_limit со значением 1.
    Примечание: Для проверки подлинности Kerberos требуется адрес узла полного доменного имени (FQDN).
    Важно!: При добавлении или изменении файла krb5.conf необходимо перезапустить службу сервера vRealize Orchestrator.
  3. Чтобы изменить разрешения, выполните следующую команду.
    chmod 644 krb5.conf
  4. Повторите развертывание модуля vRealize Orchestrator.
    kubectl -n prelude get pods
    Найдите запись, подобную следующей.
    vco-app-<ID>
  5. Уничтожьте модуль.
    kubectl -n prelude delete pod vco-app-<ID>
    Новый модуль развертывается автоматически, чтобы заменить уничтоженный модуль.

Дальнейшие действия

В vRealize Orchestrator Client запустите рабочий процесс Добавление узла PowerShell.