Automation Orchestrator 플러그인에 Kerberos 인증을 사용할 수 있습니다.

krb5.conf 파일을 구성합니다.

  1. krb5.conf 파일을 /data/vco/usr/lib/vco/app-server/conf/에서 생성하거나 편집합니다.
    krb5.conf 파일의 구조는 다음과 같습니다. 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    krb5.conf는 해당 값과 함께 특정한 구성 매개 변수를 포함해야 합니다.

    Kerberos 구성 태그 세부 정보
    default_realm Active Directory 서버를 인증할 때 클라이언트에서 사용하는 기본 Kerberos 영역입니다. 대문자로 입력해야 합니다.
    kdc KDC(키 배포 센터) 역할을 하고 Kerberos 티켓을 발행하는 도메인 컨트롤러입니다.
    default_domain 정규화된 도메인 이름을 생성하는 데 사용되는 기본 도메인입니다. 이 태그는 Kerberos 4 호환성을 위해 사용됩니다.

    다른 외부 시스템으로의 티켓 전달을 허용하려면 forwardable = true 플래그를 추가합니다. 자세한 내용은 krb5.conf 파일에 대한 Oracle 설명서를 참조하십시오.

    기본적으로 Java Kerberos 구성은 UDP 프로토콜을 사용합니다. TCP 프로토콜만 사용하려면 udp_preference_limit 매개 변수를 값 1로 지정해야 합니다.

    참고: Kerberos 인증을 위해서는 FQDN(정규화된 도메인 이름) 호스트 주소가 필요합니다.
    중요: krb5.conf 파일을 추가하거나 수정한 경우 Automation Orchestrator 서버 서비스를 다시 시작해야 합니다.

    클러스터링된 Automation Orchestrator 환경인 경우 Automation Orchestrator 포드를 다시 시작하기 전에 구성이 동일한 세 장치 모두에 krb5.conf 파일이 있는지 확인합니다.

  2. 사용 권한을 변경합니다. 
    chmod 644 krb5.conf
  3. Automation Orchestrator 포드를 다시 배포합니다. 
    kubectl -n prelude get pods

    vco-app-<ID>.와 유사한 항목을 찾습니다.

  4. 포드를 제거합니다. 
    kubectl -n prelude delete pod vco-app-<ID>

    제거된 포드를 대체하기 위해 새 포드가 자동으로 배포됩니다.

Kerberos 디버그 로깅 사용

플러그인에 사용되는 Kerberos 구성 파일을 수정하여 Automation Orchestrator 플러그인 문제를 해결할 수 있습니다.

Kerberos 구성 파일은 Automation Orchestrator 장치의 /data/vco/usr/lib/vco/app-server/conf/ 디렉토리에 있습니다.

  1. Automation Orchestrator Appliance 명령줄에 root로 로그인합니다.
  2. kubectl -n prelude edit deployment vco-app 명령을 실행합니다.
  3. 배포 파일에서 -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf 문자열을 찾아 편집합니다.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. 변경 사항을 저장하고 파일 편집기를 종료합니다.
  5. kubectl -n prelude get pods 명령을 실행합니다. 모든 포드가 실행될 때까지 기다립니다.
  6. Kerberos 로그인을 모니터링하려면 다음 명령을 실행합니다.
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. 또는 sun.security.krb5.debug = true 시스템 속성을 추가하여 Automation Orchestrator 구성기에서 디버그 로깅을 사용하도록 설정할 수 있습니다.