- 初回構成
- ホストの管理
- 組織の管理
- アカウントとロール
- ライセンス
Active Directory との連携を構成する
Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、ディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。
- ディレクトリ検索では、外部の信頼できるドメインからのユーザーは検索されません。外部の信頼できる機関と相互に信頼できる機関がないため、この機能はサポートされていません。
- Windows 認証は Automation Suite で Kerberos プロトコルを使用するため、Windows ログインはドメインに参加しているマシンでのみ使用できます。
Automation Suite のクラスターが Active Directory (AD) にアクセスできることを IT 管理者も交えて確認してください。
Active Directory との連携を構成するには、次の 2 つのオプションのいずれかを使用します。
- Kerberos 認証
- ユーザー名とパスワード
より多くのシナリオがサポートされているため、Kerberos 認証をお勧めします。
|
シナリオ |
ユーザー名とパスワード |
Kerberos 認証 |
|---|---|---|
|
同じフォレスト内のドメインをディレクトリ検索する |
サポート対象 |
サポート対象 |
|
信頼できるフォレスト内のドメインをディレクトリ検索する |
サポート対象外 |
サポート対象 |
|
外部の信頼できるドメインをディレクトリ検索する |
サポート対象外 |
サポート対象外 |
トラブルシューティング
Domain unreachable が発生する場合は、コマンド getent ahosts <AD domain> を使用して DNS ルーティングを確認します。
/etc/resolv.conf を確認します。ネームサーバーの値が Active Directory ドメインの DNS を指している必要があります。指していない場合は、システム管理者に問い合わせて、適切な設定を依頼してください。
ノードが Azure 上で実行される場合は、「Azure 仮想ネットワーク内のリソースの名前解決」の手順に従ってください。
これを行う方法の 1 つは、次のとおりです。
- Azure でノードの仮想ネットワークに移動し、仮想ネットワークの DNS サーバーを Active Directory DNS に設定します。
systemctl restart NetworkManager.serviceを実行し、/etc/resolv.confが更新されているかどうかを確認します。- ArgoCD からクラスターのコア DNS を再起動します。
<KERB_DEFAULT_KEYTAB> を取得します。これは、Kerberos 設定の一部として生成される keytab ファイルの Base64 エンコード文字列です。
- ブラウザーの設定ウィンドウを開きます。
- アドレス バーに「about:config」と入力します。
- Kerberos 認証を使用する Automation Suite の FQDN を指定します。
- 「
network.negotiate」という用語を検索します。 - Kerberos で次を有効化し、設定します。
network.negotiate-auth.delegation-uris(値の例:uipath-34i5ui35f.westeurope.cloudapp.azure.com)、network.negotiate-auth.trusted-uris(値の例:uipath-34i5ui35f.westeurope.cloudapp.azure.com)、network.negotiate-auth.allow-non-fqdn(値:true)
- 「
これで Automation Suite が Windows 認証と連携されたので、Automation Suite にユーザー アカウントが作成されているユーザーは、[ログイン] ページで Windows のオプションを使用して Automation Suite にサインインできます。
Windows 資格情報によるログインを許可するには、各組織の管理者が以上の設定をそれぞれの組織に対して実行する必要があります。
- Automation Suite に組織管理者としてログインします。
- Active Directory ユーザーまたはグループに組織レベルのロールを割り当てます。これは検索から選択できます。
- Windows 認証でのログインを許可するユーザーごとに、上記の手順を繰り返します。
その後、ロールを割り当てたユーザーは、その Active Directory アカウントで Automation Suite 組織にログインできます。ユーザーは、ドメインに参加しているマシンからログインする必要があります。
Windows 資格情報を使用してログインしようとすると HTTP 500 エラーが発生する場合は、以下の項目を確認します。
-
Windows マシンはドメインに参加していますか?
該当するマシンで、[コントロール パネル] > [システムとセキュリティ] > [システム] に移動し、ドメインが表示されているかどうかを確認します。ドメインが表示されていない場合は、マシンをドメインに追加します。Kerberos プロトコルで Windows 認証を使用するには、マシンがドメインに参加している必要があります。
-
同じ資格情報で Windows マシンにログインできますか?
できない場合は、システム管理者にヘルプを依頼してください。
-
Microsoft Edge 以外のブラウザーを使用していますか?
Microsoft Edge 以外のサポート対象ブラウザーでは、追加の設定が必要です。
- keytab の設定を確認します。
- keytab の生成後、Active Directory サーバーでは、Active Directory ユーザーのプロパティ (
servicePrincpalName) がHTTP/<Service Fabric FQDN>の形式になっている必要があります (例:HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com)。 -
Active Directory でユーザー アカウントに対して [このアカウントで Kerberos AES 256 ビット暗号化をサポートする] オプションを選択する必要があります。
これが適切に設定されていない場合、identity-service-api ログに以下が表示されます。
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- keytab の生成後、Active Directory サーバーでは、Active Directory ユーザーのプロパティ (
-
使用しているドメイン内で複数の Active Directory を設定している場合、認証が失敗し、identity-service-api ログに以下が表示されます。
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsこの場合、認証用に作成したマシン アカウントがすべての Active Directory に複製されていることを確認します。
-
ktpassを実行して、新しいパスワードをユーザー アカウントに割り当てると、キー バージョン (kvno) が増加し、古い keytab は無効になります。identity-service-api ログには、以下が表示されます。この場合、ArgoCD でRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecretを更新する必要があります。 -
次のエラーが
identity-service-apiポッドに表示される場合があります。GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
この場合はまず、ArgoCD で
global.userInputs.identity.krb5KeytabSecretパラメーターを指定したかどうかを確認します。 このパラメーターが存在する場合は、keytab の生成に使用した Active Directory ユーザーの資格情報で Windows マシンにログインできるかどうかを確認します。パスワードが変更されたか、有効期限が切れている場合は、keytab を再生成する必要があります。 -
この問題の原因としてもう 1 つ考えられるのは、以前に ArgoCD が不適切に同期されていたことです。この問題を修正するには、既存の
global.userInputs.identity.krb5KeytabSecretを削除して ArgoCD を同期します。操作が成功したらglobal.userInputs.identity.krb5KeytabSecretを更新し、再度同期します。
-
-
ブラウザーで、期待される SPN を使用していますか?
指示に従って Kerberos イベント ログを有効化した場合、Kerberos イベント ログにKDC_ERR_S_PRINCIPAL_UNKNOWNエラーが表示されます。この問題の詳細については、Microsoft のドキュメントをご覧ください。この問題を解決するには、グループ ポリシーを変更することにより、Kerberos 認証をネゴシエートする際の CNAME ルックアップを無効化してください。詳細については、Google Chrome の手順と Microsoft Edge の手順をご覧ください。
