新增及管理 PowerShell 主機時,可以使用 Kerberos 驗證。
程序
- 在 PowerShell 主機上設定 WinRM。
winrm quickconfig winrm set winrm/config/service/auth @{Kerberos="true"} winrm set winrm/config/service @{AllowUnencrypted="true"} winrm set winrm/config/winrs @{MaxMemoryPerShellMB="2048"} - 在 /data/vco/usr/lib/vco/app-server/conf/ 中建立或編輯 krb5.conf 檔案。
krb5.conf 檔有下列結構:
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COMkrb5.conf 必須包含特定組態參數極其值。
Kerberos 組態標記 詳細資料 default_realm 用戶端用於驗證 Active Directory 伺服器的預設 Kerberos 領域。 備註: 必須使用大寫字母。kdc 做為金鑰發佈中心 (KDC) 並核發 Kerberos 票證的網域控制站。 default_domain 用於產生完整網域名稱的預設網域。 備註: 此標記是用於 Kerberos 4 相容性。備註: 依預設,Java Kerberos 組態會使用 UDP 通訊協定。若要只使用 TCP 通訊協定,您必須將udp_preference_limit參數的值指定為 1。備註: Kerberos 驗證需要完整網域名稱 (FQDN) 主機位址。重要: 您新增或修改 krb5.conf 檔案時,必須重新啟動 vRealize Orchestrator 伺服器服務。如果您具有已叢集化的 vRealize Orchestrator 環境,請先確保在所有三個具有相同組態的裝置中存在 krb5.conf 檔案,然後再重新啟動 vRealize Orchestrator 網繭。
- 透過執行下列命令來變更權限。
chmod 644 krb5.conf
- 重新部署 vRealize Orchestrator 網繭。
kubectl -n prelude get pods
尋找類似下列的項目。vco-app-<ID>
- 銷毀網繭。
kubectl -n prelude delete pod vco-app-<ID>
將自動部署新的網繭,以取代您銷毀的網繭。
