Puede utilizar la autenticación Kerberos para complementos de Automation Orchestrator.

Configure el archivo krb5.conf

  1. Cree o edite el archivo krb5.conf en /data/vco/usr/lib/vco/app-server/conf/.
    Un archivo krb5.conf tiene la estructura siguiente: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    El archivo krb5.conf debe contener los parámetros de configuración específicos con sus valores.

    Etiquetas de la configuración de Kerberos Detalles
    default_realm Dominio de Kerberos predeterminado que utiliza un cliente para autenticarse en un servidor Active Directory. Debe estar en mayúsculas.
    kdc Controlador de dominio que actúa como un centro de distribución de claves (KDC) y emite tickets de Kerberos.
    default_domain Dominio predeterminado que se utiliza para generar un nombre de dominio completamente válido. Esta etiqueta se utiliza para la compatibilidad de Kerberos 4.

    Para permitir el reenvío de tickets a otros sistemas externos, agregue la marca forwardable = true. Para obtener más información, consulte la documentación de Oracle sobre el archivo krb5.conf.

    De forma predeterminada, la configuración de Kerberos de Java utiliza el protocolo UDP. Para usar solo el protocolo TCP, debe especificar el parámetro udp_preference_limit con un valor 1.

    Nota: La autenticación Kerberos requiere una dirección de host de nombre de dominio totalmente cualificado (FQDN).
    Importante: Cuando añade o modifica el archivo krb5.conf, debe reiniciar el servicio del servidor de Automation Orchestrator.

    Si tiene un entorno de Automation Orchestrator en clúster, asegúrese de que el archivo krb5.conf exista en los tres dispositivos con la misma configuración antes de reiniciar los pods de Automation Orchestrator.

  2. Cambie los permisos. 
    chmod 644 krb5.conf
  3. Vuelva a implementar el pod de Automation Orchestrator. 
    kubectl -n prelude get pods

    Busque una entrada similar a vco-app-<ID>.

  4. Destruya el pod. 
    kubectl -n prelude delete pod vco-app-<ID>

    Se implementa automáticamente un nuevo pod para reemplazar el pod que se ha destruido.

Habilitar el registro de depuración de Kerberos

Puede solucionar los problemas del complemento de Automation Orchestrator modificando el archivo de configuración de Kerberos que el complemento utiliza.

El archivo de configuración de Kerberos se encuentra en el directorio /data/vco/usr/lib/vco/app-server/conf/ de Automation Orchestrator Appliance.

  1. Inicie sesión en la línea de comandos de Automation Orchestrator Appliance como raíz.
  2. Ejecute el comando kubectl -n prelude edit deployment vco-app.
  3. En el archivo de implementación, busque y edite la cadena -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. Guarde los cambios y salga del editor de archivos.
  5. Ejecute el comando kubectl -n prelude get pods. Espere a que todos los pods se estén ejecutando.
  6. Para supervisar el inicio de sesión Kerberos, ejecute el siguiente comando.
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. Si lo prefiere, puede habilitar el registro de depuración en el configurador de Automation Orchestrator agregando la propiedad del sistema sun.security.krb5.debug = true.