È possibile utilizzare l'autenticazione Kerberos per i plug-in di Automation Orchestrator.
Configurare il file krb5.conf
- Creare o modificare il file krb5.conf in /data/vco/usr/lib/vco/app-server/conf/.
Un file krb5.conf ha la seguente struttura:
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COM
Il file Krb5.conf deve contenere parametri di configurazione specifici con i rispettivi valori.
Tag di configurazione Kerberos Dettagli default_realm Area di autenticazione Kerberos predefinita utilizzata da un client per eseguire l'autenticazione in un server di Active Directory. Può includere solo lettere maiuscole. kdc Controller di dominio che agisce come centro di distribuzione chiavi (KDC) ed emette i ticket Kerberos. default_domain Dominio predefinito utilizzato per generare un nome di dominio completo. Questo tag viene utilizzato per la compatibilità con Kerberos 4. Per consentire l'inoltro del ticket ad altri sistemi esterni, aggiungere il flag forwardable = true. Per ulteriori informazioni, vedere la documentazione Oracle nel file krb5.conf.
Per impostazione predefinita, la configurazione Kerberos di Java utilizza il protocollo UDP. Per utilizzare solo il protocollo TCP, è necessario specificare il parametro
udp_preference_limit
con il valore 1.Nota: L’autenticazione Kerberos richiede un indirizzo host formato da un nome di dominio completo (FQDN).Importante: Quando si aggiunge o si modifica il file krb5.conf, è necessario riavviare il servizio del server Automation Orchestrator.Se si dispone di un ambiente di Automation Orchestrator in cluster, assicurarsi che il file krb5.conf sia presente in tutte e tre le appliance con la stessa configurazione prima di riavviare i pod Automation Orchestrator.
- Modificare le autorizzazioni.
chmod 644 krb5.conf
- Distribuire nuovamente il pod di Automation Orchestrator.
kubectl -n prelude get pods
Cercare una voce simile a
vco-app-<ID>.
- Eliminare il pod.
kubectl -n prelude delete pod vco-app-<ID>
Un nuovo pod viene distribuito automaticamente per sostituire il pod eliminato.
Abilitazione della registrazione del debug di Kerberos
È possibile risolvere i problemi del plug-in Automation Orchestrator modificando il file di configurazione di Kerberos utilizzato dal plug-in.
Il file di configurazione di Kerberos si trova nella directory /data/vco/usr/lib/vco/app-server/conf/ di Automation Orchestrator Appliance.
- Accedere come root alla riga di comando di Automation Orchestrator Appliance.
- Eseguire il comando
kubectl -n prelude edit deployment vco-app
. - Nel file di distribuzione, individuare e modificare la stringa
-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf
.-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
- Salvare le modifiche e uscire dall'editor di file.
- Eseguire il comando
kubectl -n prelude get pods
. Attendere che tutti i pod siano in esecuzione. - Per monitorare l'accesso a Kerberos, eseguire il comando seguente.
tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
- In alternativa, è possibile abilitare la registrazione del debug nella configurazione di Automation Orchestrator aggiungendo la proprietà di sistema
sun.security.krb5.debug = true
.