U kunt Kerberos-verificatie gebruiken voor Automation Orchestrator-invoegtoepassingen.

Het bestand krb5.conf configureren

  1. Maak of bewerk het bestand krb5.conf in /data/vco/usr/lib/vco/app-server/conf/.
    Een krb5.conf-bestand heeft de volgende structuur: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    Het krb5.conf-bestand moet specifieke configuratieparameters met hun waarden bevatten.

    Tags voor Kerberos-configuratie Details
    standaard_realm De standaard Kerberos-realm die een client gebruikt voor verificatie bij een Active Directory-server. Moet uit hoofdletters bestaan.
    kdc De domeincontroller die fungeert als sleuteldistributiecentrum (KDC) en Kerberos-tickets verstrekt.
    standaard_domein Het standaarddomein dat wordt gebruikt om een volledig gekwalificeerde domeinnaam te produceren. Deze tag wordt gebruikt voor Kerberos-4 compatibiliteit.

    Voeg de vlag forwardable = true toe om het doorsturen van tickets naar andere externe systemen toe te staan. Zie de documentatie van Oracle over het bestand krb5.conf voor meer informatie.

    De Java Kerberos-configuratie gebruikt standaard het UDP-protocol. Als u alleen het TCP-protocol wilt gebruiken, moet u de parameter udp_preference_limit opgeven met waarde 1.

    Opmerking: Voor Kerberos-verificatie is een FQDN-hostadres vereist (volledig gekwalificeerde domeinnaam).
    Belangrijk: Wanneer u het bestand krb5.conf toevoegt of aanpast, moet u de Automation Orchestrator-serverservice opnieuw starten.

    Als u een geclusterde Automation Orchestrator-omgeving heeft, moet u ervoor zorgen dat het bestand krb5.conf in alle drie toepassingen met dezelfde configuratie bestaat voordat u de Automation Orchestrator-pods herstart.

  2. Wijzig rechten. 
    chmod 644 krb5.conf
  3. Implementeer de Automation Orchestrator-pod opnieuw. 
    kubectl -n prelude get pods

    Zoek naar een vermelding zoals vco-app-<ID>.

  4. Implementeer de pod. 
    kubectl -n prelude delete pod vco-app-<ID>

    Er wordt automatisch een nieuwe pod geïmplementeerd om de pod te vervangen die u hebt vernietigd.

Logboekregistratie voor Kerberos-foutopsporing inschakelen

U kunt problemen met Automation Orchestrator-invoegtoepassingen oplossen door het Kerberos-configuratiebestand te wijzigen dat door de invoegtoepassing wordt gebruikt.

Het Kerberos-configuratiebestand bevindt zich in de directory /data/vco/usr/lib/vco/app-server/conf/ van de Automation Orchestrator Appliance.

  1. Meld u als root aan via de opdrachtregel van de Automation Orchestrator Appliance.
  2. Voer de opdracht kubectl -n prelude edit deployment vco-app uit.
  3. Zoek en bewerk de tekenreeks -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf in het implementatiebestand.
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. Sla de wijzigingen op en sluit de bestandseditor.
  5. Voer de opdracht kubectl -n prelude get pods uit. Wacht totdat alle pods worden uitgevoerd.
  6. Voer de volgende opdracht uit om de Kerberos-aanmelding te controleren.
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. U kunt logboekregistratie voor foutopsporing ook inschakelen in de Automation Orchestrator-configurator door de systeemeigenschap sun.security.krb5.debug = true toe te voegen.