Você pode usar a autenticação Kerberos para plug-ins do Automation Orchestrator.
Configure o arquivo krb5.conf
- Crie ou edite o arquivo krb5.conf em /data/vco/usr/lib/vco/app-server/conf/.
Um arquivo krb5.conf tem a seguinte estrutura:
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COM
O krb5.conf deve conter os parâmetros de configuração específicos com os respectivos valores.
Tags de configuração do Kerberos Detalhes default_realm O território padrão do Kerberos que um cliente usa para autenticar no servidor Active Directory. Deve estar em letras maiúsculas. kdc O controlador de domínio que atua como um Centro de Distribuição de Chave (KDC) e emite tíquetes do Kerberos. default_domain O domínio padrão que é usado para produzir um nome de domínio totalmente qualificado. Essa tag é usada para compatibilidade com o Kerberos 4. Para permitir o encaminhamento de tíquetes para outros sistemas externos, adicione o sinalizador forwardable = true. Para obter informações adicionais, consulte a documentação do Oracle no arquivo krb5.conf.
Por padrão, a configuração de Kerberos do Java usa o protocolo UDP. Para usar apenas o protocolo TCP, você deve especificar o parâmetro
udp_preference_limit
com o valor 1.Observação: A autenticação Kerberos requer um endereço de host FQDN (Nome de domínio totalmente qualificado).Importante: Quando você adiciona ou modifica o arquivo krb5.conf, deve reiniciar o serviço do servidor Automation Orchestrator.Se você tiver um ambiente do Automation Orchestrator em cluster, verifique se o arquivo krb5.conf existe em todos os três dispositivos com a mesma configuração antes de reiniciar os pods do Automation Orchestrator.
- Altere as permissões.
chmod 644 krb5.conf
- Reimplante o pod do Automation Orchestrator.
kubectl -n prelude get pods
Procure uma entrada semelhante à
vco-app-<ID>.
- Destrua o pod.
kubectl -n prelude delete pod vco-app-<ID>
Um novo pod é implantado automaticamente para substituir o pod destruído.
Ativar logs de depuração do Kerberos
Você pode solucionar problemas de plug-in do Automation Orchestrator modificando o arquivo de configuração Kerberos usado pelo plug-in.
O arquivo de configuração Kerberos está localizado no diretório /data/vco/usr/lib/vco/app-server/conf/ do dispositivo do Automation Orchestrator.
- Faça login na linha de comando do Automation Orchestrator Appliance como raiz.
- Execute o comando
kubectl -n prelude edit deployment vco-app
. - No arquivo de implantação, localize e edite a cadeia
-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf
.-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
- Salve as alterações e feche o editor do arquivo.
- Execute o comando
kubectl -n prelude get pods
. Aguarde até que todos os pods estejam em execução. - Para monitorar o login do Kerberos, execute o seguinte comando.
tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
- Como alternativa, você pode ativar o log de depuração no configurador Automation Orchestrator adicionando a propriedade do sistema
sun.security.krb5.debug = true
.