新增及管理 PowerShell 主機時,可以使用 Kerberos 驗證。

執行這項作業的原因和時機

透過 Kerberos 驗證,網域使用者可透過 WinRM 在支援 PowerShell 的遠端電腦上執行命令。

程序

  1. 對 WinRM 服務啟用 Kerberos 驗證。
    1. 執行以下命令,檢查是否已允許 Kerberos 驗證。

      c:\> winrm get winrm/config/service

    2. 執行以下命令啟用 Kerberos 驗證。

      c:\> winrm set winrm/config/service/auth @{Kerberos="true"}

  2. 對 WinRM 用戶端啟用 Kerberos 驗證。
    1. 執行以下命令,檢查是否已允許 Kerberos 驗證。

      c:\> winrm get winrm/config/client

    2. 執行以下命令啟用 Kerberos 驗證。

      c:\> winrm set winrm/config/client/auth @{Kerberos="true"}

  3. 執行以下命令以測試與 WinRM 服務的連線。

    c:\> winrm identify -r:http://winrm_server:5985 -auth:Kerberos -u:user_name -p:password -encoding:utf-8

  4. 建立 krb5.conf 檔並儲存於下列位置。

    作業系統

    路徑

    Windows

    C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\

    Linux

    /usr/java/jre-vmware/lib/security/ (外部 vRealize Orchestrator)。

    /etc/krb5.conf (內建於 vRealize AutomationvRealize Orchestrator)。

    krb5.conf 檔有下列結構:

    [libdefaults] 
    default_realm = YOURDOMAIN.COM 
    udp_preference_limit = 1
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = kdc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    krb5.conf 必須包含特定組態參數極其值。

    Kerberos 組態標記

    詳細資料

    default_realm

    用戶端用於驗證 Active Directory 伺服器的預設 Kerberos 領域。

    備註︰

    必須使用大寫字母。

    kdc

    做為金鑰發佈中心 (KDC) 並核發 Kerberos 票證的網域控制站。

    default_domain

    用於產生完整網域名稱的預設網域。

    備註︰

    此標記是用於 Kerberos 4 相容性。

    備註︰

    依預設,Java Kerberos 組態會使用 UDP 通訊協定。若要只使用 TCP 通訊協定,您必須將 udp_preference_limit 參數的值指定為 1

    備註︰

    Kerberos 驗證需要完整網域名稱 (FQDN) 主機位址。

    重要事項︰

    您新增或修改 krb5.conf 檔時,必須重新啟動 Orchestrator 伺服器服務。