- Erste Konfiguration
- Hostadministration
- Organisationsadministration
- Konten und Rollen
- Lizenzierung
- Benachrichtigungen
Konfigurieren der Active Directory-Integration
Die Active Directory-Integration wird mit der Automation Suite in AKS/EKS nicht unterstützt.
Sie können SSO mit der Windows-Authentifizierung aktivieren und die Verzeichnissuchfunktion mit der Active Directory-Integration aktivieren. Mit der Verzeichnissuche können Sie nach Verzeichniskonten und -gruppen suchen und mit diesen arbeiten, wie Sie es mit lokalen Konten tun würden.
- Die Verzeichnissuche findet keine Benutzer aus einer externen Vertrauensdomäne. Diese Funktion wird nicht unterstützt, da keine vertrauenswürdige Instanz mit externen Vertrauensstellungen vorhanden ist.
- Die Windows-Authentifizierung verwendet das Kerberos-Protokoll in der Automation Suite, daher kann die Windows-Anmeldung nur mit Maschinen verwendet werden, die der Domäne hinzugefügt wurden.
Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Automation Suite-Cluster auf Ihr Active Directory (AD) zugreifen kann.
Die Active Directory-Integration kann mit einer von zwei Optionen konfiguriert werden:
- Kerberos-Authentifizierung
- UsernameAndPassword
Die Kerberos-Authentifizierung wird empfohlen, da sie mehr Szenarien unterstützt:
Szenario |
UsernameAndPassword |
Kerberos-Authentifizierung |
---|---|---|
Verzeichnissuche nach Domänen in derselben Gesamtstruktur |
Wird unterstützt |
Wird unterstützt |
Verzeichnissuche nach Domänen in vertrauenswürdiger Gesamtstruktur |
Nicht unterstützt |
Wird unterstützt |
Verzeichnissuche nach externen, vertrauenswürdigen Domänen |
Nicht unterstützt |
Nicht unterstützt |
In einer Active Directory-Umgebung ist LDAPS eine häufig verwendete sichere Verbindung für Verzeichnisdienste. Beachten Sie, dass sich die LDAPS-Unterstützung nach dem verwendeten Authentifizierungsmechanismus richtet.
Authentifizierungsmechanismus |
LDAPS-Unterstützung |
---|---|
UsernameAndPassword |
Wird unterstützt |
Kerberos-Authentifizierung |
Nicht unterstützt |
B.1. Voraussetzung für die Verwendung von LDAPS
Wenn Sie LDAP over SSL (LDAPS) verwenden möchten, müssen Sie zunächst LDAP over SSL in Ihrer AD-Umgebung konfigurieren und das Stammzertifikat erhalten, das in der UiPath-Clusterkonfiguration verwendet werden soll.
Bekanntes Problem: Das konfigurierte LDAPS-Zertifikat wird beim Upgrade nicht beibehalten. Daher ist es nach einem Upgrade erforderlich, das LDAPS-Zertifikat erneut hinzuzufügen, damit sichere LDAP-Verbindungen funktionieren.
b.2. Active Directory-Konfiguration
<KERB_DEFAULT_KEYTAB>
ab, den base64-codierten String der Keytab-Datei, die als Teil der Kerberos-Einrichtung generiert wurde.
Wichtiger Hinweis:
Überspringen Sie diesen Schritt, wenn Sie die Automation Suite bereits als Kerberos-Client konfiguriert haben, indem Sie das im Handbuch Konfigurieren der Automation Suite als Kerberos-Client beschriebene Verfahren befolgen.
Wenn Sie die Active Directory-Integration über die Benutzername- und Kennwortmethode konfiguriert haben, was nicht empfohlen wird, führen Sie die folgenden Schritte aus:
Normalerweise funktioniert Google Chrome ohne zusätzliche Konfiguration.
Wenn dies nicht der Fall ist, befolgen Sie die nachstehenden Anweisungen.
- Öffnen Sie das Fenster für die Browserkonfiguration.
- Geben Sie about:config in die Adressleiste ein.
- Geben Sie die Automation Suite-FQDNs an, für die Sie die Kerberos-Authentifizierung verwenden:
- Suchen Sie nach dem Begriff
network.negotiate
. - Aktivieren und legen Sie Folgendes für Kerberos fest:
network.negotiate-auth.delegation-uris
(Beispielwert:uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(Beispielwert:uipath-34i5ui35f.westeurope.cloudapp.azure.com
) undnetwork.negotiate-auth.allow-non-fqdn
(Wert:true
).
- Suchen Sie nach dem Begriff
Nachdem die Automation Suite jetzt mit der Windows-Authentifizierung integriert ist, können Benutzer, für die ein Benutzerkonto in der Automation Suite erstellt wird, die Windows-Option auf der Anmeldeseite verwenden, um sich bei der Automation Suite anzumelden.
Jeder Organisationsadministrator muss dies für seine Organisation tun, wenn er die Anmeldung mit Windows-Anmeldeinformationen zulassen möchte.
- Melden Sie sich als Organisationsadministrator bei der Automation Suite an.
- Weisen Sie eine Rolle auf Organisationsebene einem Active Directory-Benutzer oder einer Gruppe zu, die Sie über die Suche auswählen können.
- Wiederholen Sie den obigen Schritt für jeden Benutzer, dem Sie die Anmeldung mit der Windows-Authentifizierung erlauben möchten.
Die Benutzer, denen Sie Rollen zugewiesen haben, können sich dann mit ihrem Active Directory-Konto bei der Automation Suite-Organisation anmelden. Sie müssen sich von einer Maschine aus anmelden, die mit der Domäne verbunden ist.
Wenn Sie eine HTTP 500-Fehlermeldung erhalten, wenn Sie versuchen, sich mit Windows-Anmeldeinformationen anzumelden, sollten Sie Folgendes überprüfen:
-
Ist die Windows-Maschinen mit der Domäne verbunden?
Wechseln Sie auf der Maschine zu „Systemsteuerung“ > „System und Sicherheit“ > „System“ und überprüfen Sie, ob eine Domäne angezeigt wird. Wenn keine Domäne angezeigt wird, fügen Sie die Maschine zur Domäne hinzu. Maschinen müssen mit der Domäne verbunden sein, um die Windows-Authentifizierung mit dem Kerberos-Protokoll zu verwenden.
-
Können Sie sich bei der Windows-Maschine mit den gleichen Anmeldeinformationen anmelden?
Wenn nicht, bitten Sie Ihren Systemadministrator um Hilfe.
-
Verwenden Sie einen anderen Browser als Microsoft Edge?
Bei anderen unterstützten Browsern als Microsoft Edge ist eine zusätzliche Konfiguration erforderlich.
- Überprüfen Sie die Keytab-Konfiguration:
- Nach dem Generieren der Keytab sollte die Eigenschaft des AD-Benutzers auf dem Active Directory Server (
servicePrincpalName
) in der FormHTTP/<Service Fabric FQDN>
sein – z. B.HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
Die Option Dieses Konto unterstützt die Kerberos AES 256-Bit-Verschlüsselung muss für das Benutzerkonto in AD ausgewählt sein.
Wenn sie nicht ordnungsgemäß konfiguriert ist, können Sie im Identity-Service-API-Protokoll Folgendes sehen:
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Nach dem Generieren der Keytab sollte die Eigenschaft des AD-Benutzers auf dem Active Directory Server (
-
Wenn Sie mehrere Active Directorys in der von Ihnen verwendeten Domäne konfiguriert haben, schlägt die Authentifizierung fehl und im Identity-Service-API-Protokoll sehen Sie Folgendes:
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsStellen Sie in diesem Fall sicher, dass das für die Authentifizierung erstellte Maschinenkonto in alle Active Directorys repliziert wird.
-
Wenn Sie
ktpass
ausführen und dem Benutzerkonto ein neues Kennwort zuweisen, erhöht sich die Schlüsselversion (kvno
) und macht die alte Keytab ungültig. Im Identity-Service-API-Protokoll sehen Sie dann Folgendes:In diesem Fall müssen SieRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
in ArgoCD aktualisieren. -
Wenn der folgende Fehler im
identity-service-api
-Pod angezeigt wird:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Überprüfen Sie zuerst, ob Sie den Parameter
global.userInputs.identity.krb5KeytabSecret
in ArgoCD angegeben haben. Wenn der Parameter vorhanden ist, überprüfen Sie, ob Sie sich mit den Anmeldeinformationen des AD-Benutzers, der zum Generieren der Keytab verwendet wird, bei der Windows-Maschine anmelden können. Beachten Sie, dass Sie die Keytab neu generieren müssen, wenn das Kennwort geändert wurde oder abgelaufen ist. -
Eine weitere mögliche Ursache für dieses Problem ist, dass ArgoCD zuvor falsch synchronisiert wurde. Um das Problem zu beheben, entfernen Sie die vorhandene
global.userInputs.identity.krb5KeytabSecret
, synchronisieren Sie ArgoCD, und sobald der Vorgang erfolgreich ist, aktualisieren Sieglobal.userInputs.identity.krb5KeytabSecret
, und synchronisieren Sie erneut.
-
-
Verwendet der Browser den erwarteten SPN?
Wenn die Kerberos-Ereignisprotokollierung aktiviert wird, indem Sie diese Anweisungen befolgen, wird der FehlerKDC_ERR_S_PRINCIPAL_UNKNOWN
in den Kerberos-Ereignisprotokollen angezeigt. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Dokumentation .Deaktivieren Sie zur Lösung dieses Problems die CNAME-Suche bei der Aushandlung der Kerberos-Authentifizierung, indem Sie die Gruppenrichtlinie ändern. Weitere Informationen finden Sie in den Anweisungen für Google Chrome und für Microsoft Edge .
- Bekannte Einschränkungen
- Schritt 1. Konfigurieren der Active Directory-Integration
- A. Kerberos-Konfiguration (empfohlen)
- b. Konfiguration von Benutzername und Kennwort
- Schritt 2. Konfigurieren einer Windows-Authentifizierung
- Voraussetzung
- Konfigurieren des Automation Suite-Clusters
- Schritt 3. Browserkonfiguration
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Schritt 4. Zulassen der Windows-Authentifizierung für die Organisation
- Fehlersuche und ‑behebung