Vous pouvez utiliser l'authentification Kerberos pour les plug-ins Automation Orchestrator.

Configurer le fichier krb5.conf

  1. Créez ou modifiez le fichier krb5.conf à l'emplacement /data/vco/usr/lib/vco/app-server/conf/.
    Les fichiers krb5.conf présentent la structure suivante : 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Le fichier krb5.conf doit contenir des paramètres de configuration spécifiques avec leurs valeurs.

    Balises de configuration de Kerberos Détails
    domaine_par_défaut Domaine Kerberos par défaut utilisé par un client pour s'authentifier auprès d'un serveur Active Directory. Doit être en majuscules.
    kdc Contrôleur de domaine agissant comme un Centre de distribution de clés (KDC) et émettant des tickets Kerberos.
    domaine_par_défaut Domaine par défaut utilisé pour générer un nom de domaine complet. Cette balise est utilisée pour garantir la compatibilité de Kerberos 4.

    Pour autoriser le transfert de ticket vers d'autres systèmes externes, ajoutez l'indicateur forwardable = true. Pour plus d'informations, reportez-vous à la documentation Oracle sur le fichier krb5.conf.

    Par défaut, la configuration de Kerberos dans Java utilise le protocole UDP. Pour utiliser uniquement le protocole TCP, vous devez spécifier le paramètre udp_preference_limit avec une valeur de 1.

    Note : L'authentification Kerberos nécessite une adresse d'hôte à nom de domaine complet.
    Important : Lorsque vous ajoutez ou modifiez le fichier krb5.conf, vous devez redémarrer le service du serveur Automation Orchestrator.

    Si vous disposez d'un environnement Automation Orchestrator mis en cluster, assurez-vous que le fichier krb5.conf existe dans les trois dispositifs avec la même configuration avant de redémarrer les espaces Automation Orchestrator.

  2. Modifiez les autorisations. 
    chmod 644 krb5.conf
  3. Redéployez l'espace Automation Orchestrator. 
    kubectl -n prelude get pods

    Recherchez une entrée semblable à vco-app-<ID>.

  4. Détruisez l'espace. 
    kubectl -n prelude delete pod vco-app-<ID>

    Un nouvel espace est automatiquement déployé pour remplacer l'espace que vous avez détruit.

Activer la journalisation de débogage Kerberos

Vous pouvez résoudre les problèmes de plug-in Automation Orchestrator en modifiant le fichier de configuration Kerberos utilisé par le plug-in.

Le fichier de configuration Kerberos se trouve dans le répertoire /data/vco/usr/lib/vco/app-server/conf/ d'Automation Orchestrator Appliance.

  1. Connectez-vous à la ligne de commande d'Automation Orchestrator Appliance en tant qu'utilisateur racine.
  2. Exécutez la commande kubectl -n prelude edit deployment vco-app.
  3. Dans le fichier de déploiement, recherchez la chaîne -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf et modifiez-la.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. Enregistrez les modifications et quittez l'éditeur de fichiers.
  5. Exécutez la commande kubectl -n prelude get pods. Attendez que tous les espaces soient en cours d'exécution.
  6. Pour surveiller la connexion à Kerberos, exécutez la commande suivante :
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. Vous pouvez également activer la journalisation de débogage dans le programme de configuration Automation Orchestrator en ajoutant la propriété système sun.security.krb5.debug = true.