Automation Orchestrator プラグインには Kerberos 認証を使用できます。

krb5.conf ファイルの構成

  1. /data/vco/usr/lib/vco/app-server/conf/krb5.conf ファイルを作成または編集します。
    krb5.conf ファイルの構造は次のとおりです。
    [libdefaults] 
    default_realm = YOURDOMAIN.COM
    [realms] 
    YOURDOMAIN.COM = { 
    kdc = dc.yourdomain.com 
    default_domain = yourdomain.com 
    } 
    [domain_realm] 
    .yourdomain.com=YOURDOMAIN.COM
    yourdomain.com=YOURDOMAIN.COM
    

    krb5.conf には、特定の構成パラメータとその値を含める必要があります。

    Kerberos 構成タグ 詳細
    default_realm クライアントが Active Directory サーバの認証に使用するデフォルトの Kerberos レルム。大文字にする必要があります。
    kdc キー配布センター (KDC) として機能し、Kerberos チケットを発行するドメイン コントローラ。
    default_domain 完全修飾ドメイン名を生成するために使用されるデフォルト ドメイン。このタグは、Kerberos 4 の互換性のために使用されます。

    他の外部システムへのチケット転送を許可するには、forwardable = true フラグを追加します。詳細については、krb5.conf ファイルに関する Oracle のドキュメントを参照してください。

    デフォルトでは、Java Kerberos の構成に UDP プロトコルを使用します。TCP プロトコルのみ使用するには、値 1 を使用した udp_preference_limit パラメータを指定する必要があります。

    注: Kerberos 認証では、完全修飾ドメイン名 (FQDN) のホスト アドレスが必要です。
    重要: krb5.conf ファイルを追加または変更するときには、 Automation Orchestrator サーバ サービスを再起動する必要があります。

    クラスタ化された Automation Orchestrator 環境を使用している場合は、Automation Orchestrator ポッドを再起動する前に、krb5.conf ファイルが同じ構成の 3 台のアプライアンスすべてに存在することを確認します。

  2. 権限を変更します。
    chmod 644 krb5.conf
  3. Automation Orchestrator ポッドを再展開します。
    kubectl -n prelude get pods

    vco-app-<ID>. のようなエントリを探します。

  4. ポッドを破棄します。
    kubectl -n prelude delete pod vco-app-<ID>

    破棄したポッドを置き換えるために、新しいポッドが自動的に展開されます。

Kerberos デバッグ ログの有効化

プラグインで使用される Kerberos 構成ファイルを変更することで、Automation Orchestrator プラグインの問題のトラブルシューティングを行うことができます。

Kerberos 構成ファイルは、Automation Orchestrator Appliance の /data/vco/usr/lib/vco/app-server/conf/ ディレクトリにあります。

  1. Automation Orchestrator Appliance のコマンド ラインに root としてログインします。
  2. kubectl -n prelude edit deployment vco-app コマンドを実行します。
  3. 展開ファイル内で -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf という文字列を検索して、編集します。
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. 変更内容を保存し、ファイル エディタを終了します。
  5. kubectl -n prelude get pods コマンドを実行します。すべてのポッドが実行されるまで待機します。
  6. Kerberos ログインを監視にするには、次のコマンドを実行します。
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. または、sun.security.krb5.debug = true システム プロパティを追加して、Automation Orchestrator Configurator でデバッグ ログを有効にすることもできます。