Konfigurationstool

Wir stellen das Skript configureUiPathAS.sh zur Steuerung und Verwaltung der Automation Suite bereit. Es enthält das Installationspaket und befindet sich im Hauptinstallationsordner.

Derzeit unterstützen wir nur wenige der Operationen.

Run the following command to view more information about configureUiPathAS.sh:

sudo ./configureUiPathAS.sh --help

Output:

$ ./configureUiPathAS.sh --help

************************************************************************************

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo

Flags:
  -h|--help                           Display help

************************************************************************************

Nachfolgend sehen Sie die Komponenten, die Sie im UiPath Automation Suite-Cluster mithilfe des Skripts configureUiPathAS.sh verwalten können.

• Serverzertifikat – TLS und Serverzertifikat verwalten (Zertifikat aktualisieren und abrufen)

• Zusätzliche Zertifikate von Zertifizierungsstellen – Zusätzliche CA-Zertifikate wie SQL-Serverzertifikate, Proxyserverzertifikate usw. verwalten

• Identitätsdienst – Identitätsdienstkonfigurationen wie Tokensignaturzertifikate, SAML-Zertifikate, Kerberos und Windows-Authentifizierung usw. verwalten

• Objektspeicher – ceph objectstore verwalten (unterstützt derzeit nur die Größenanpassung von ceph-pvc/-Speicher)

• Registry – Docker-Registrierung verwalten (derzeit nur Größenanpassung von Registry-pvc/-Speicher)

• Überwachung – Rancher-Server verwalten (derzeit nur Größenanpassung von Registry-pvc/-Speicher)

• RabbitMQ – rabbitmq-Nachrichtenwarteschlange verwalten (derzeit wird nur die Größenanpassung von rabbitmq-pvc/-Speicher unterstützt)

• MongoDB – Mongodb-Datenspeicher verwalten (derzeit nur Größenanpassung von mongodb-pvc/-Speicher und Zertifikatverwaltung)

Aktualisieren der SQL Server-Verbindung

Um die Verbindungszeichenfolge oder Anmeldeinformationen für den SQL Server zu aktualisieren, bearbeiten Sie direkt die Datei cluster_config.json auf dem primären Serverknoten. Sie können die SQL-Felder (sql.username, sql.password und sql.server_url) in der Datei dem Bedarf entsprechend direkt bearbeiten.

Führen Sie nach dem Aktualisieren der Datei den interaktiven Installationsassistenten auf derselben Maschine erneut aus (mit der geänderten Konfiguration als Parameter). Sie müssen die Installation nur auf dem primären Server erneut ausführen.

Aktualisieren der Kerberos-Authentifizierung

Aktualisieren der Kerberos-Authentifizierungskonfiguration

Um die allgemeine Kerberos-Authentifizierungs-Konfiguration anzupassen, führen Sie die folgenden Schritte aus:

1. Verbinden Sie sich per SSH mit einer beliebigen Servermaschine.
2. Führen Sie den folgenden Befehl aus:

./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username]  --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]

📘

Hinweis:

• Informationen zum manuellen Generieren der Keytab-Datei finden Sie unter Einrichten der Kerberos-Authentifizierung.

• Beim AD-Domänencontroller befindet sich die Kerberos-Einstellung Max. Gültigkeitsdauer des Benutzertickets in der Standarddomänenrichtlinie. Stellen Sie sicher, dass die hier konfigurierte Gültigkeitsdauer des Tickets nicht länger ist als die Einstellung auf dem Domänencontroller.

Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>

Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

Aktualisieren des AD-Benutzernamens und der Keytab des AD-Benutzers für eine Dienstgruppe

Führen Sie den folgenden Schritt aus, um den AD-Benutzernamen bzw. die Keytab des AD-Benutzers für einen bestimmten Dienst anzupassen:

1. Führen Sie den folgenden Befehl aus:

./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group]  --username [new-ad-username] --keytab [new-ad-user-keytab]

Die folgenden Dienstgruppen sind verfügbar (Groß- und Kleinschreibung beachten):

• orchestrator
• platform
• discoverygroup
• testmanager
• automationops
• aicenter
• documentunderstanding
• insights
• dataservice

📘

Hinweis:

Informationen zum manuellen Generieren der Keytab-Datei finden Sie unter Einrichten der Kerberos-Authentifizierung.

Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>

Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

Hinzufügen von Systemadministratoren

One system administrator is created in Automation Suite by default with the username admin on the host organization. See Managing system administrator for more details.

Falls der Zugriff auf die Hostorganisation verloren geht, z. B. wenn das Kennwort für den Systemadministrator verloren geht oder die einzigen Benutzer mit Systemadministratorkonten das Unternehmen verlassen, gibt es ein Tool zum Hinzufügen oder Wiederherstellen eines Systemadministrators.

Dieses Skript funktioniert nicht, wenn der SQL-Verbindungszeichenfolgen-Parameter „Integrated Security=true“ bei Plattformdiensten vorhanden ist.

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]

• --username ist ein Pflichtfeld.
• --password ist nur erforderlich, wenn der neue Administrator die einfache Authentifizierung zum Anmelden verwendet.
• --email ist optional, es sei denn, Ihr externer Identitätsanbieter erfordert dies (z. B. verlangt Google eine E-Mail-Adresse, keinen Benutzernamen).

Es gibt ein paar wichtige Hinweise dazu, wie der Administrator erstellt oder wiederhergestellt wird:

• Neue Administratoren können nicht denselben Benutzernamen oder dieselbe E-Mail-Adresse wie ein vorhandener Administrator haben. Wenn Sie denselben Benutzernamen oder dieselbe E-Mail-Adresse wie ein vorhandener Administrator verwenden, wird der vorhandene Administrator aktualisiert. Das ist nützlich, wenn Sie das Kennwort ändern möchten.
• Wenn ein Administrator gelöscht wurde und Sie denselben Benutzernamen oder dieselbe E-Mail-Adresse für einen neuen Benutzer verwenden, wird der gelöschte Administrator wiederhergestellt, anstatt einen neuen zu erstellen. Das Kennwortfeld wird in diesem Fall nicht überschrieben. Ein Ausnahmefall ist, wenn mehrere Administratoren mit demselben Benutzernamen oder derselben E-Mail-Adresse gelöscht wurden, was zur Erstellung eines neuen Administrators führt.
• Wenn einer der auf dem Host konfigurierten externen Identitätsanbieter erzwungen wird, werden die Parameter eingeschränkt. Wenn z. B. Windows-AD erzwungen wird, muss der Benutzername im Formular [email protected] stehen. Ist Google erzwungen wird, ist eine E-Mail-Adresse erforderlich.
• Wenn Sie sich zum ersten Mal bei einem neuen Administratorkonto anmelden, muss das Kennwort geändert werden.

Erneute Aktivierung der einfachen Authentifizierung

Organisations- und Systemadministratoren können sich möglicherweise aufgrund eines Problems mit ihrem konfigurierten Azure-Active Directory oder einem anderen externen Identitätsanbieter nicht anmelden. Organisationsadministratoren können gesperrt werden, da das Flag Disable basic authentication in den Authentifizierungseinstellungen aktiviert ist. Organisations- und Systemadministratoren können gesperrt werden, da ein externer Identitätsanbieter als force/exclusive konfiguriert wurde. Dieses Tool versucht, die einfache Authentifizierung für eine Organisation wieder zu aktivieren.

Dieses Skript funktioniert nicht, wenn der Parameter Integrated Security=true der SQL-Verbindungszeichenfolge für Plattformdienste vorhanden ist.

./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]

📘

Hinweis:

--orgname ist ein Pflichtfeld. Wenn die Standardauthentifizierung auf Hostebene eingeschränkt ist, legen Sie den Organisationsnamen auf host fest.

Updating the TLS protocol

The Istio ingress gateway configured in Automation Suite for routing, communicating between the services, and more uses TLS to secure the exchanges. To prevent any security threats, deprecated TLS protocol version are disabled by default.

Only TLS version 1.2 and above are currently supported, and if you use a previous version, it is recommended that you upgrade. However, it is still possible to connect using a previous TLS version, but you must first enable it on the Automation Suite server.

🚧

Wichtig!

TLS 1.0 and 1.1 are deprecated, and enabling these versions can pose a security risk. You are strongly recommended to upgrade to TLS 1.2 or above instead of enabling lower versions on the server.

To enable an unsupported TLS version, take one of the following steps:

• To enable support for TLS 1.0 and above, run the following command:

kubectl -n istio-system patch gateway main-gateway --type=json \
    -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'

• To enable support for TLS 1.1 and above, run the following command:

kubectl -n istio-system patch gateway main-gateway --type=json \
    -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'