При добавлении узла PowerShell и управлении им можно использовать проверку подлинности Kerberos.

Проверка подлинности Kerberos позволяет пользователям домена могут запускать команды на удаленных машинах с поддержкой PowerShell с помощью WinRM.

Процедура

  1. Настройте WinRM на узле PowerShell.
    winrm quickconfig
    winrm set winrm/config/service/auth @{Kerberos="true"}
    winrm set winrm/config/service @{AllowUnencrypted="true"}
    winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"}
  2. Создайте или отредактируйте файл krb5.conf в папке: /data/vco/usr/lib/vco/app-server/conf/.
    Файл krb5.conf имеет следующую структуру:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    Файл Krb5.conf должен содержать определенные параметры конфигурации и их значения.

    Теги конфигурации Kerberos Сведения
    default_realm Область Kerberos по умолчанию, которую клиент использует для проверки подлинности на сервере Active Directory.
    Примечание: Значение должно быть в верхнем регистре.
    kdc Контроллер домена, который выступает в качестве центра распространения ключей (KDC) и выдает билеты Kerberos.
    default_domain Домен по умолчанию, который используется для создания полного доменного имени.
    Примечание: Этот тег используется для обеспечения совместимости с Kerberos 4.
    Примечание: По умолчанию для конфигурации Java Kerberos используется протокол UDP. Чтобы использовать только протокол TCP, необходимо указать параметр udp_preference_limit со значением 1.
    Примечание: Для проверки подлинности Kerberos требуется адрес узла полного доменного имени (FQDN).
    Важно!: При добавлении или изменении файла krb5.conf необходимо перезапустить службу сервера vRealize Orchestrator.

    При работе в кластерной среде vRealize Orchestrator убедитесь, что файл krb5.conf существует на всех трех устройствах и его настройки на всех устройствах идентичны. Только после этого можно перезапустить модули vRealize Orchestrator.

  3. Чтобы изменить разрешения, выполните следующую команду.
    chmod 644 krb5.conf
  4. Повторите развертывание модуля vRealize Orchestrator.
    kubectl -n prelude get pods
    Найдите запись, подобную следующей.
    vco-app-<ID>
  5. Уничтожьте модуль.
    kubectl -n prelude delete pod vco-app-<ID>
    Новый модуль развертывается автоматически, чтобы заменить уничтоженный модуль.

Дальнейшие действия

В vRealize Orchestrator Client запустите рабочий процесс Добавление узла PowerShell.