Puede utilizar la autenticación de Kerberos al añadir y administrar un host de PowerShell.
Con la autenticación de Kerberos, los usuarios del dominio pueden ejecutar comandos en máquinas remotas habilitadas para PowerShell en WinRM.
Procedimiento
1 Habilite la autenticación de Kerberos en el servicio WinRM.
a Ejecute el siguiente comando para comprobar si se permite la autenticación de Kerberos. c:\> winrm get winrm/config/service
b Ejecute el siguiente comando para habilitar la autenticación de Kerberos. c:\> winrm set winrm/config/service/auth @{Kerberos="true"} 2 Habilite la autenticación de Kerberos en el cliente de WinRM.
a Ejecute el siguiente comando para comprobar si se permite la autenticación de Kerberos. c:\> winrm get winrm/config/client
b Ejecute el siguiente comando para habilitar la autenticación de Kerberos. c:\> winrm set winrm/config/client/auth @{Kerberos="true"} 3 Ejecute el siguiente comando para probar la conexión con el servicio WinRM.
c:\> winrm identify -r:http://servidor_winrm:5985 -auth:Kerberos -u:nombre_de_usuario - p:contraseña -encoding:utf-8
4 Cree un archivo krb5.conf y guárdelo en la ubicación siguiente:
Sistema operativo Ruta de acceso
Windows C:\Archivos de programa\Common Files\VMware\VMware vCenter Server - Java Components\lib\security\
Linux /usr/java/jre-vmware/lib/security/ para vRealize Orchestrator externo.
/etc/krb5.conf para vRealize Orchestrator incorporado en vRealize Automation.
Un archivo krb5.conf tiene la estructura siguiente: [libdefaults] default_realm = YOURDOMAIN.COM udp_preference_limit = 1 [realms] YOURDOMAIN.COM = { kdc = kdc.yourdomain.com default_domain = yourdomain.com
}
[domain_realm]
.yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COM
El archivo krb5.conf debe contener los parámetros de configuración específicos con sus valores.
Etiquetas de la configuración de
Kerberos Detalles
default_realm Dominio de Kerberos predeterminado que utiliza un cliente para autenticarse en un servidor Active Directory.
NOTA: Debe estar en mayúsculas.
kdc Controlador de dominio que actúa como un centro de distribución de claves (KDC) y emite tickets de Kerberos.
default_domain Dominio predeterminado que se utiliza para generar un nombre de dominio completamente válido.
NOTA: Esta etiqueta se utiliza para la compatibilidad de Kerberos 4.
NOTA: De forma predeterminada, la configuración de Kerberos de Java utiliza el protocolo UDP. Para
usar solo el protocolo TCP, debe especificar el parámetro udp_preference_limit con un valor 1.
NOTA: La autenticación Kerberos requiere una dirección de host de nombre de dominio totalmente
cualificado (FQDN).
IMPORTANTE: Cuando añade o modifica el archivo krb5.conf, debe reiniciar el servicio del servidor
de Orchestrator.
Añadir un host de REST
Puede ejecutar un flujo de trabajo para añadir un host de REST y configurar los parámetros de conexión del host.
Procedimiento
1 Inicie sesión en el cliente de Orchestrator como administrador. 2 Haga clic en la vista Flujos de trabajo del cliente de Orchestrator.
3 En la lista jerárquica de los flujos de trabajo, expanda Biblioteca > HTTP-REST > Configuración; a continuación, acceda al flujo de trabajo Añadir un host de REST.
4 Haga clic con el botón derecho en el flujo de trabajo Añadir un host de REST y seleccione Iniciar flujo
de trabajo.
5 Escriba el nombre del host en el cuadro de texto Nombre. 6 Escriba la dirección del host en el cuadro de texto URL.
NOTA: La autenticación Kerberos requiere una dirección de host de nombre de dominio totalmente
cualificado (FQDN).
7 Escriba el número de segundos que transcurrirán antes de que se agote el tiempo de espera de una conexión en el cuadro de texto Tiempo de espera de la conexión.
8 Escriba el número de segundos que transcurrirán antes de que se agote el tiempo de espera de una operación en el cuadro de texto Tiempo de espera de la operación.
9 Seleccione Sí para aceptar el certificado del host de REST.
El certificado se incorpora al almacén de confianza del servidor de Orchestrator. 10 Seleccione el tipo de autenticación.
Opción Descripción
Ninguno No se necesita autenticación.
OAuth 1.0 Proporciona los parámetros de autenticación obligatorios. OAuth 2.0 Proporciona el token de autenticación.
Básico Proporciona autenticación de acceso básica.
Seleccione el modo de sesión.
n Si selecciona Sesión compartida, proporcione credenciales para la
sesión compartida.
n Si selecciona Sesión por usuario, el cliente de Orchestrator recupera
credenciales del usuario que ha iniciado sesión.
Implícita Proporciona autenticación de acceso implícita que usa cifrado.
Seleccione el modo de sesión.
n Si selecciona Sesión compartida, proporcione credenciales para la
sesión compartida.
n Si selecciona Sesión por usuario, el cliente de Orchestrator recupera
credenciales del usuario que ha iniciado sesión.
NTLM Proporciona autenticación de acceso con NT LAN Manager (NTLM) dentro del marco de Proveedor de compatibilidad para seguridad de Windows (SSPI).
Seleccione el modo de sesión.
n Si selecciona Sesión compartida, proporcione credenciales para la
sesión compartida.
n Si selecciona Sesión por usuario, el cliente de Orchestrator recupera
credenciales del usuario que ha iniciado sesión. Proporcione la configuración de NTLM.
Kerberos Proporciona autenticación de acceso de Kerberos.
Seleccione el modo de sesión.
n Si selecciona Sesión compartida, proporcione credenciales para la
sesión compartida.
n Si selecciona Sesión por usuario, el cliente de Orchestrator recupera
credenciales del usuario que ha iniciado sesión.
11 Para utilizar un proxy, indique la dirección y el puerto del servidor proxy. a (Opcional) Seleccione el tipo de autenticación del proxy.
Opción Descripción
Ninguno No se necesita autenticación.
Básico Proporciona autenticación de acceso básica. Seleccione el modo de sesión.
n Si selecciona Sesión compartida, proporcione credenciales para la
sesión compartida.
n Si selecciona Sesión por usuario, el cliente de Orchestrator
recupera credenciales del usuario que ha iniciado sesión.
12 Seleccione si desea que el nombre del host de destino coincida con el nombre almacenado en certificado de servidor.
13 (Opcional) Seleccione una entrada del almacén de claves que utilizar para la autenticación respecto al servidor. La entrada del almacén de claves debe ser del tipo PrivateKeyEntry.
Después de la ejecución correcta del flujo de trabajo, el host de REST figura en la vista Inventario.
Qué hacer a continuación
Puede añadir operaciones y esquema XSD al host de REST, así como ejecutar flujos de trabajo desde la vista
Inventario.