Sie können Kerberos-Authentifizierung für Automation Orchestrator-Plug-Ins verwenden.

Konfigurieren Sie die Datei krb5.conf

  1. Erstellen oder bearbeiten Sie die Datei krb5.conf unter /data/vco/usr/lib/vco/app-server/conf/.
    Die Datei krb5.conf hat die folgende Struktur: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Die Datei krb5.conf muss bestimmte Konfigurationsparameter und deren Werte enthalten.

    Tags für Kerberos-Konfiguration Details
    default_realm Der standardmäßige Kerberos-Bereich, den ein Client zur Authentifizierung bei einem Active Directory-Server verwendet. Die Angabe muss in Großbuchstaben erfolgen.
    kdc Der Domänencontroller, der als Schlüsselverteilungs-Center (Key Distribution Center, KDC) fungiert und Kerberos-Tickets ausstellt.
    default_domain Die Standarddomäne, die verwendet wird, um einen vollqualifizierten Domänennamen zu erstellen. Dieses Tag wird aus Gründen der Kompatibilität mit Kerberos 4 verwendet.

    Um die Weiterleitung von Tickets an andere externe Systeme zuzulassen, fügen Sie das Flag forwardable = true hinzu. Weitere Informationen finden Sie in der Oracle-Dokumentation zur Datei „krb5.conf“.

    Standardmäßig verwendet die Java-Kerberos-Konfiguration das UDP-Protokoll. Wenn Sie nur das TCP-Protokoll verwenden möchten, müssen Sie den Parameter udp_preference_limit mit dem Wert 1angeben.

    Hinweis: Die Kerberos-Authentifizierung erfordert eine Hostadresse mit einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).
    Wichtig: Wenn Sie die Datei krb5.conf hinzufügen oder ändern, müssen Sie den Automation Orchestrator-Serverdienst neu starten.

    Wenn Sie über eine geclusterte Automation Orchestrator-Umgebung verfügen, stellen Sie sicher, dass die Datei krb5.conf in allen drei Appliances mit derselben Konfiguration vorhanden ist, bevor Sie die Automation Orchestrator-Pods neu starten.

  2. Ändern Sie die Berechtigungen. 
    chmod 644 krb5.conf
  3. Stellen Sie den Automation Orchestrator-Pod erneut bereit. 
    kubectl -n prelude get pods

    Suchen Sie nach einem Eintrag ähnlich dem folgenden: vco-app-<ID>.

  4. Löschen Sie den Pod. 
    kubectl -n prelude delete pod vco-app-<ID>

    Ein neuer Pod wird automatisch bereitgestellt, um den gelöschten Pod zu ersetzen.

Aktivieren der Debug-Protokollierung für Kerberos

Sie können Probleme mit dem Automation Orchestrator-Plug-In beheben, indem Sie die vom Plug-In verwendete Konfigurationsdatei für Kerberos ändern.

Die Konfigurationsdatei für Kerberos befindet sich im Verzeichnis /data/vco/usr/lib/vco/app-server/conf/ der Automation Orchestrator-Appliance.

  1. Melden Sie sich bei der Befehlszeile der Automation Orchestrator-Appliance als Root-Benutzer an.
  2. Führen Sie den Befehl kubectl -n prelude edit deployment vco-app aus.
  3. Suchen Sie in der Bereitstellungsdatei nach der Zeichenfolge -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf und bearbeiten Sie sie.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. Speichern Sie die Änderungen und schließen Sie den Dateieditor.
  5. Führen Sie den Befehl kubectl -n prelude get pods aus. Warten Sie, bis alle Pods ausgeführt werden.
  6. Führen Sie zum Überwachen der Kerberos-Anmeldung folgenden Befehl aus.
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. Alternativ können Sie die Debug-Protokollierung im Automation Orchestrator-Konfigurator aktivieren, indem Sie die Systemeigenschaft sun.security.krb5.debug = true hinzufügen.