可以对 Automation Orchestrator 插件使用 Kerberos 身份验证。
配置 krb5.conf 文件
- 在 /data/vco/usr/lib/vco/app-server/conf/ 中创建或编辑 krb5.conf 文件。
krb5.conf 文件具有以下结构:
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COMkrb5.conf 必须包含特定的配置参数及其值。
Kerberos 配置标记 详细信息 default_realm 客户端用于针对 Active Directory 服务器进行身份验证的默认 Kerberos 领域。必须是大写字母。 kdc 可作为密钥分发中心 (KDC) 并签发 Kerberos 票证的域控制器。 default_domain 用于生成完全限定域名的默认域。该标记面向 Kerberos 4 兼容性。 要允许将票证转发到其他外部系统,请添加 forwardable = true 标记。有关其他信息,请参阅关于 krb5.conf 文件的 Oracle 文档。
Java Kerberos 配置默认使用 UDP 协议。要仅使用 TCP 协议,您必须指定值为 1 的
udp_preference_limit参数。注: Kerberos 身份验证要求使用完全限定域名 (Fully Qualified Domain Name, FQDN) 主机地址。重要说明: 添加或修改 krb5.conf 文件时,必须重新启动 Automation Orchestrator 服务器服务。如果您具有已加入集群的 Automation Orchestrator 环境,请确保在所有三个具有相同配置的设备中存在 krb5.conf 文件,然后再重新启动 Automation Orchestrator Pod。
- 更改权限。
chmod 644 krb5.conf
- 重新部署 Automation Orchestrator Pod。
kubectl -n prelude get pods
查找类似于
vco-app-<ID>.的条目 - 销毁 Pod。
kubectl -n prelude delete pod vco-app-<ID>
将自动部署新 Pod,以替换您销毁的 Pod。
启用 Kerberos 调试日志记录
可以通过修改 Automation Orchestrator 插件使用的 Kerberos 配置文件对插件问题进行故障排除。
Kerberos 配置文件位于 Automation Orchestrator 设备的 /data/vco/usr/lib/vco/app-server/conf/ 目录中。
- 以 root 用户身份登录到 Automation Orchestrator Appliance 命令行。
- 运行
kubectl -n prelude edit deployment vco-app命令。 - 在部署文件中,找到并编辑
-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf字符串。-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
- 保存更改并退出文件编辑器。
- 运行
kubectl -n prelude get pods命令。等待所有 pod 都运行。 - 要监控 Kerberos 登录,请运行以下命令。
tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
- 或者,也可以通过添加
sun.security.krb5.debug = true系统属性,在 Automation Orchestrator 配置器中启用调试日志记录。
