您可以對 Automation Orchestrator 外掛程式使用 Kerberos 驗證。

設定 krb5.conf 檔案

  1. /data/vco/usr/lib/vco/app-server/conf/ 中建立或編輯 krb5.conf 檔案。
    krb5.conf 檔有下列結構: 
    [libdefaults] 
default_realm = YOURDOMAIN.COM
[realms] 
YOURDOMAIN.COM = { 
kdc = dc.yourdomain.com 
default_domain = yourdomain.com 
} 
[domain_realm] 
.yourdomain.com=YOURDOMAIN.COM
yourdomain.com=YOURDOMAIN.COM

    krb5.conf 必須包含特定組態參數極其值。

    Kerberos 組態標記 詳細資料
    default_realm 用戶端用於驗證 Active Directory 伺服器的預設 Kerberos 領域。必須使用大寫字母。
    kdc 做為金鑰發佈中心 (KDC) 並核發 Kerberos 票證的網域控制站。
    default_domain 用於產生完整網域名稱的預設網域。此標記是用於 Kerberos 4 相容性。

    若要允許將票證轉送至其他外部系統,請新增 forwardable = true 旗標。如需其他資訊,請參閱關於 krb5.conf 檔案的 Oracle 說明文件

    依預設,Java Kerberos 組態會使用 UDP 通訊協定。若要只使用 TCP 通訊協定,您必須將 udp_preference_limit 參數的值指定為 1

    備註: Kerberos 驗證需要完整網域名稱 (FQDN) 主機位址。
    重要: 您新增或修改 krb5.conf 檔案時,必須重新啟動 Automation Orchestrator 伺服器服務。

    如果您具有已叢集化的 Automation Orchestrator 環境,請先確保在所有三個具有相同組態的裝置中存在 krb5.conf 檔案,然後再重新啟動 Automation Orchestrator 網繭。

  2. 變更權限。 
    chmod 644 krb5.conf
  3. 重新部署 Automation Orchestrator 網繭。 
    kubectl -n prelude get pods

    尋找類似於 vco-app-<ID>. 的項目

  4. 銷毀網繭。 
    kubectl -n prelude delete pod vco-app-<ID>

    將自動部署新的網繭,以取代您銷毀的網繭。

啟用 Kerberos 偵錯記錄

您可以透過修改外掛程式所使用的 Kerberos 組態檔,對 Automation Orchestrator 外掛程式問題進行疑難排解。

Kerberos 組態檔位於 Automation Orchestrator Appliance 的 /data/vco/usr/lib/vco/app-server/conf/ 目錄中。

  1. root 使用者身分登入 Automation Orchestrator Appliance 命令列。
  2. 執行 kubectl -n prelude edit deployment vco-app 命令。
  3. 在部署檔案中,找到並編輯 -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf 字串。
    -Djava.security.krb5.conf=/usr/lib/vco/app-server/conf/krb5.conf -Dsun.security.krb5.debug=true
  4. 儲存變更並結束檔案編輯器。
  5. 執行 kubectl -n prelude get pods 命令。請等到所有網繭都在執行中。
  6. 若要監控 Kerberos 登入,請執行以下命令。
    tail -f /services-logs/prelude/vco-app/console-logs/vco-server-app.log
  7. 或者,您也可以透過新增 Automation Orchestrator 系統內容,在 sun.security.krb5.debug = true 設定程式中啟用偵錯記錄。