Você pode usar a autenticação Kerberos para plug-ins do Automation Orchestrator.

Configure o arquivo krb5.conf

  1. Crie ou edite o arquivo krb5.conf em /data/vco/usr/lib/vco/app-server/conf/.
    Um arquivo krb5.conf tem a seguinte estrutura:
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    O krb5.conf deve conter os parâmetros de configuração específicos com os respectivos valores.

    Tags de configuração do Kerberos Detalhes
    default_realm O território padrão do Kerberos que um cliente usa para autenticar no servidor Active Directory. Deve estar em letras maiúsculas.
    kdc O controlador de domínio que atua como um Centro de Distribuição de Chave (KDC) e emite tíquetes do Kerberos.
    default_domain O domínio padrão que é usado para produzir um nome de domínio totalmente qualificado. Essa tag é usada para compatibilidade com o Kerberos 4.

    Para permitir o encaminhamento de tíquetes para outros sistemas externos, adicione o sinalizador forwardable = true. Para obter informações adicionais, consulte a documentação do Oracle no arquivo krb5.conf.

    Por padrão, a configuração de Kerberos do Java usa o protocolo UDP. Para usar apenas o protocolo TCP, você deve especificar o parâmetro udp_preference_limit com o valor 1.

    Observação: A autenticação Kerberos requer um endereço de host FQDN (Nome de domínio totalmente qualificado).
    Importante: Quando você adiciona ou modifica o arquivo krb5.conf, deve reiniciar o serviço do servidor Automation Orchestrator.

    Se você tiver um ambiente do Automation Orchestrator em cluster, verifique se o arquivo krb5.conf existe em todos os três dispositivos com a mesma configuração antes de reiniciar os pods do Automation Orchestrator.

  2. Altere as permissões.
    chmod 644 krb5.conf
  3. Reimplante o pod do Automation Orchestrator.
    kubectl -n prelude get pods

    Procure uma entrada semelhante à vco-app-<ID>.

  4. Destrua o pod.
    kubectl -n prelude delete pod vco-app-<ID>

    Um novo pod é implantado automaticamente para substituir o pod destruído.

Ativar logs de depuração do Kerberos

Você pode solucionar problemas de plug-in do Automation Orchestrator modificando o arquivo de configuração Kerberos usado pelo plug-in.

O arquivo de configuração Kerberos está localizado no diretório /data/vco/usr/lib/vco/app-server/conf/ do dispositivo do Automation Orchestrator.

  1. Faça login na linha de comando do Automation Orchestrator Appliance como raiz.
  2. Execute o comando kubectl -n prelude edit deployment vco-app.
  3. No arquivo de implantação, localize e edite a cadeia -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. Salve as alterações e feche o editor do arquivo.
  5. Execute o comando kubectl -n prelude get pods. Aguarde até que todos os pods estejam em execução.
  6. Para monitorar o login do Kerberos, execute o seguinte comando.
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. Como alternativa, você pode ativar o log de depuração no configurador Automation Orchestrator adicionando a propriedade do sistema sun.security.krb5.debug = true.