Automation Orchestrator プラグインには Kerberos 認証を使用できます。
krb5.conf ファイルの構成
- /data/vco/usr/lib/vco/app-server/conf/ で krb5.conf ファイルを作成または編集します。
krb5.conf ファイルの構造は次のとおりです。
[libdefaults] default_realm = YOURDOMAIN.COM [realms] YOURDOMAIN.COM = { kdc = dc.yourdomain.com default_domain = yourdomain.com } [domain_realm] .yourdomain.com=YOURDOMAIN.COM yourdomain.com=YOURDOMAIN.COM
krb5.conf には、特定の構成パラメータとその値を含める必要があります。
Kerberos 構成タグ 詳細 default_realm クライアントが Active Directory サーバの認証に使用するデフォルトの Kerberos レルム。大文字にする必要があります。 kdc キー配布センター (KDC) として機能し、Kerberos チケットを発行するドメイン コントローラ。 default_domain 完全修飾ドメイン名を生成するために使用されるデフォルト ドメイン。このタグは、Kerberos 4 の互換性のために使用されます。 他の外部システムへのチケット転送を許可するには、forwardable = true フラグを追加します。詳細については、krb5.conf ファイルに関する Oracle のドキュメントを参照してください。
デフォルトでは、Java Kerberos の構成に UDP プロトコルを使用します。TCP プロトコルのみ使用するには、値 1 を使用した
udp_preference_limit
パラメータを指定する必要があります。注: Kerberos 認証では、完全修飾ドメイン名 (FQDN) のホスト アドレスが必要です。重要: krb5.conf ファイルを追加または変更するときには、 Automation Orchestrator サーバ サービスを再起動する必要があります。クラスタ化された Automation Orchestrator 環境を使用している場合は、Automation Orchestrator ポッドを再起動する前に、krb5.conf ファイルが同じ構成の 3 台のアプライアンスすべてに存在することを確認します。
- 権限を変更します。
chmod 644 krb5.conf
- Automation Orchestrator ポッドを再展開します。
kubectl -n prelude get pods
vco-app-<ID>.
のようなエントリを探します。 - ポッドを破棄します。
kubectl -n prelude delete pod vco-app-<ID>
破棄したポッドを置き換えるために、新しいポッドが自動的に展開されます。
Kerberos デバッグ ログの有効化
プラグインで使用される Kerberos 構成ファイルを変更することで、Automation Orchestrator プラグインの問題のトラブルシューティングを行うことができます。
Kerberos 構成ファイルは、Automation Orchestrator Appliance の /data/vco/usr/lib/vco/app-server/conf/ ディレクトリにあります。
- Automation Orchestrator Appliance のコマンド ラインに root としてログインします。
kubectl -n prelude edit deployment vco-app
コマンドを実行します。- 展開ファイル内で
-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf
という文字列を検索して、編集します。-Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
- 変更内容を保存し、ファイル エディタを終了します。
kubectl -n prelude get pods
コマンドを実行します。すべてのポッドが実行されるまで待機します。- Kerberos ログインを監視にするには、次のコマンドを実行します。
tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
- または、
sun.security.krb5.debug = true
システム プロパティを追加して、Automation Orchestrator Configurator でデバッグ ログを有効にすることもできます。