UiPath Documentation
automation-suite
2024.10
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。

Linux の Automation Suite のインストール ガイド

最終更新日時 2026年5月15日

Kerberos 認証を設定する

前提条件

Kerberos 認証を適切に設定するには、次の前提条件を満たす必要があります。

Automation Suite のクラスターが Active Directory にアクセスできることを確認する

Kerberos 認証を構成する前に、Automation Suite のクラスターが Active Directory にアクセスできることを IT 管理者も交えて確認してください。

次の要件を満たす必要があります。

  • Automation Suite のクラスターは、Active Directory ドメインと同じネットワーク上にある必要があります。

  • Automation Suite のクラスターが Active Directory のドメイン名を解決できるように、ネットワークの DNS を適切に設定する必要があります。

    注:

    Automation Suite のクラスターが Active Directory の domain names を解決できることは、非常に重要です。これは、ホスト マシン上で nslookup <AD domain name> を実行することで確認できます。

Active Directory サービス アカウントを Kerberos 認証用に構成する

Kerberos の既定の keytab とユーザー名パラメーターを生成する

  1. Windows ドメインに参加しているマシンで、Active Directory 管理者アカウントでログインします。

  2. keytab-creator.ps1 スクリプトを管理者として実行します。

  3. スクリプトに次の値を入力します。

    1. Service Fabric FQDN です。例: uipath-34i5ui35f.westeurope.cloudapp.azure.com
    2. AD domain FQDN です。例: TESTDOMAIN.LOCAL
    3. Active Directory ユーザー アカウント。既存のアカウント (sAMAccountName など) を使用するか、スクリプトで新しいアカウントを作成できます。

出力ファイルに、Kerberos の設定に必要な <KERB_DEFAULT_USERNAME> パラメーターと <KERB_DEFAULT_KEYTAB> パラメーターが含まれています。

オプション 2: 手動

Active Directory 管理者に Active Directory のユーザー アカウントを問い合わせて、次の手順でそのアカウントの <KERB_DEFAULT_USERNAME><KERB_DEFAULT_KEYTAB> を取得します。

  1. Active Directory サーバーで、新しいユーザー アカウントを作成します。アカウントが既に存在する場合は、手順 2 に進みます。

    1. [Active Directory ユーザーとコンピューター ] コンソールで、[ ユーザー ] フォルダーを右クリックし、[ 新規作成]、[ ユーザー] の順に選択します。
    2. ユーザー アカウントの作成を完了します。

  2. ユーザー アカウントを右クリックして、[プロパティ] を選択します。

  3. [アカウント] タブに移動し、[アカウント オプション][このアカウントで Kerberos AES 256 ビット暗号化をサポートする] を選択します。

  4. 重要: 次の手順で生成する keytab は、Active Directory ユーザーのパスワードの有効期限が切れるか更新されると無効になります。この Active Directory ユーザー アカウントの [アカウント オプション][パスワードを無期限にする] をオンにすることを検討してください。または、有効期限が近付いたときにパスワードを更新し、新しい keytab を生成できます。

  5. SPN の keytab ファイルを生成するには、管理者アクセス権で PowerShell を開き、次のコマンドを実行します。

    ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1
ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1

    一部のフィールドは大文字で指定する必要があります。例:

    ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1 -setpass
ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1 -setpass
    注:

    Automation Suite の keytab を更新するには、 -setpass オプションを指定してコマンドを実行します。keytab を初めて生成するときは、ドメイン管理者としてコマンドを実行する必要があります。このコマンドはサービス アカウントの SPN を更新するため、これは必須です。後の更新では、SPN マッピングが変更されていない場合は、ドメイン ユーザーとしてコマンドを実行できます。

    keytab の生成後、ユーザー・ログオン名が HTTP/<Service Fabric FQDN>に変わります。 この値は、次のように cluster_config.jsondefault_ad_usernameの [<KERB_DEFAULT_USERNAME>] フィールドに使用します。

    "kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
      "enable_integrated_sql_auth": true
},
"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
      "enable_integrated_sql_auth": true
},
    注:

    [ enable_integrated_sql_auth ] パラメーターは既定で [ true ] に設定されています。 すべての製品で SQL の Kerberos 認証を無効化する場合は、 パラメーターを falseに設定する必要があります。

  6. 生成された keytab ファイルを Base64 でエンコードします。PowerShell を開き、次のコマンドを実行します。

    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

  7. エンコードされた keytab ファイルを保存します。このファイルは、UiPath® クラスターを Kerberos 用に構成する際に使用します。手順 6 の値を <KERB_DEFAULT_KEYTAB> と呼ぶことにします。

任意: SQL 認証の前提条件

Windows 統合認証/Kerberos を使用して SQL に接続するように UiPath® クラスターを構成するには、次の追加手順を実行する必要があります。

  • SQL Server は Active Directory ドメインに参加している必要があります。
  • Automation Suite のクラスターは、SQL Server と同じネットワーク上にある必要があります。
  • Automation Suite のクラスターは、Active Directory と SQL Server のドメイン名を解決できます。
  • Active Directory ユーザーは、SQL Server へのアクセス権と DB 権限を持つ必要があります。

SQL Server Management Studio で新しいログインを作成するには、次の手順を実行します。

a. [オブジェクト エクスプローラー] パネルで [セキュリティ] > [ログイン] の順に選択します。

b. [ログイン] フォルダーを右クリックして [新しいログイン] を選択します。[ログイン - 新規作成] ウィンドウが表示されます。

c. [Windows 認証] オプションを選択します。ウィンドウが適切に更新されます。

d. [ログイン名] フィールドに、サービス アカウントとして使用するユーザー ドメインを入力します。

e. [既定の言語] リストから [英語] を選択します。

重要:

[既定の言語] が英語に設定されていることを確認します。この権限を持っていないと、Web サイトは起動できず、Orchestrator がインストールされているコンピューターのイベント ビューアーに「 The conversion of a varchar data type to a datetime data type resulted in an out of range value」というエラー メッセージが表示されます。

f. [OK] を選択します。設定が保存されます。

サービス アカウントが既に作成され、SQL Server の [セキュリティ] > [ログイン] セクションに追加されている場合、SQL アカウントの [既定の言語] が [英語] に設定されていることを確認してください。英語に設定されていない場合は、適切に変更します。

SQL データベースに接続するユーザーに db_owner ユーザー マッピング ロールを付与する必要があります。以下のスクリーンショットをご覧ください。

セキュリティの制限により UiPath® ログインで db_owner ユーザー マッピング ロールが使用できない場合、次の権限を付与します。

  • db_datareader
  • db_datawriter
  • db_ddladmin
  • dbo スキーマに対する EXECUTE 権限

次の図は、db_owner が使用できない場合に付与するデータベース権限を示しています。

EXECUTE 権限は、GRANT EXECUTE SQL コマンドを用いて次のように付与する必要があります。

USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO

UiPath® アプリケーションで一意の Active Directory ユーザー アカウントを使用して SQL に Integrated Security=True で接続する場合は、次のように、各 UiPath® アプリケーションに対して一意の keytab を作成する必要があります。これは、そのアプリケーションの <KERB_APP_KEYTAB> として参照されます。

Kerberos アプリケーションの keytab とユーザー名パラメーターを生成する

  1. service-keytab-creator.ps1 スクリプトを実行します。

  2. スクリプトに次の値を入力します。

    1. AD domain FQDN です。例: TESTDOMAIN.LOCAL
    2. Active Directory ユーザー アカウントのユーザー名とパスワード。たとえば、Active Directory ユーザー アカウント sAMAccountName とそのパスワードです。

出力ファイルには、Kerberos で必要な <KERB_APP_USERNAME> パラメーターと <KERB_APP_KEYTAB> パラメーターが含まれます。

オプション 2: 手動

次のスクリプトを手動で実行します。

# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

<AD username> は、<KERB_APP_KEYTAB> に対応する <KERB_APP_USERNAME> になります。

Automation Suite を Kerberos クライアントとして構成する

このセクションでは、Automation Suite を LDAP または SQL アクセス用の Kerberos クライアントとして構成する方法について説明します。

<KERB_DEFAULT_KEYTAB> を使用して、次のいずれかの方法で Automation Suite を Kerberos クライアントとして構成します。

cluster_config.json を介して Kerberos 認証を構成する

  1. cluster_config.json ファイルで、kerberos_auth_config.enabled パラメーターを true に設定します。

  2. Kerberos を SQL アクセスに使用する場合、Integrated Security フラグを使用して、sql_connection_string_templatesql_connection_string_template_jdbc、および sql_connection_string_template_odbc を構成します。

    注:

    Kerberos 認証は SQL 専用でサポートされているわけではありません。SQL 認証で Kerberos をアクティブ化するには、 kerberos_auth_configを有効にする必要があります。これにより、ユーザー認証も追加されます。

  3. サービスごとに異なる Active Directory ユーザーを設定する場合は、次の手順を実行します。

    1. サービス グループの JSON オブジェクトに ad_usernameuser_keytab を指定します。

    2. サービスの SQL 接続文字列を更新して、統合セキュリティを有効化します。

    3. Kerberos 認証がグローバル レベルで有効化されている場合、 enabled パラメーターは既定で true に設定されます。 特定の製品の SQL の Kerberos 認証を無効化する場合は、 enabledfalseに設定する必要があります。

      JSON オブジェクトは次のようになります。

      "<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group",
      "enabled": true
    }
}
"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group",
      "enabled": true
    }
}
      注:

      サービスグループ名のリストについては、「 サービスグループとサービス」を参照してください。

  4. cluster_config.jsonを更新したら、インストーラー スクリプトを実行して構成を更新します。詳しくは、「 製品を管理する」をご覧ください。

    注:

    この手順を使用して、Kerberos キータブを更新またはローテーションできます。

    Kerberos 認証を使用するための Orchestrator とプラットフォームの更新例

    "kerberos_auth_config": {
  "enabled" : true,
  "ticket_lifetime_in_hour" : 8,
  "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN",
  "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
  "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB",
  "enable_integrated_sql_auth": true
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
  "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
  "kerberos_auth_config": {
    "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
    "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator",
    "enabled": true
  },
  "testautomation": {
    "enabled": true
  },
  "updateserver": {
    "enabled": true
  }
},
"platform": {
  "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
  "kerberos_auth_config": {
    "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
    "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform",
    "enabled": true
  }
}
"kerberos_auth_config": {
  "enabled" : true,
  "ticket_lifetime_in_hour" : 8,
  "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN",
  "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
  "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB",
  "enable_integrated_sql_auth": true
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
  "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
  "kerberos_auth_config": {
    "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
    "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator",
    "enabled": true
  },
  "testautomation": {
    "enabled": true
  },
  "updateserver": {
    "enabled": true
  }
},
"platform": {
  "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
  "kerberos_auth_config": {
    "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
    "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform",
    "enabled": true
  }
}
注:

enable_integrated_sql_auth パラメーターは、既定で true に設定されています。すべての製品で SQL の Kerberos 認証を無効にする場合は、このパラメーターを falseに設定する必要があります。

サービス グループとサービス

次の表に、使用可能なサービス グループと、それらに含まれるサービスを示します。これらの名前は、 cluster_config.json ファイルと ArgoCD UI で若干異なります。

サービスグループ名: cluster_config.jsonArgoCD のサービス グループ名含まれるサービス
orchestratororchestratorOrchestrator、Webhook
platformplatformID、ライセンス会計士 (LA)、監査、場所、License Resource Manager (LRM)、Organization Management Service (OMS)
discovery_groupdiscoverygroupAutomation Hub、Task Mining
test_managertestmanagerTest Manager
automation_opsautomationopsAutomation Ops
aicenteraicenterAI Center
documentunderstandingdocumentunderstandingDocument Understanding
insightsinsightsInsights
dataservicedataserviceData Service
asrobotsasrobotsAutomation Suite ロボット
processminingprocessminingProcess Mining

Active Directory との連携を構成する

Automation Suite にログインするときに Kerberos 認証を使用するには、Automation Suite のホスト設定をさらに構成する必要があります。

Kerberos 認証を無効化する

Kerberos 認証を完全に削除する

Kerberos 認証を完全に削除するには、次の手順を実行します。

  1. Kerberos を使用して Active Directory との連携を構成していた場合は、「Active Directory との連携を構成する」の手順に従って、Active Directory をユーザー名とパスワードのオプションで再構成します。
  2. SQL 統合認証を使用していた場合は、ユーザー IDパスワードを使用するように SQL 接続文字列を構成します。
  3. Kerberos 認証を無効化します。cluster_config.json ファイルで kerberos_auth_config.enabled パラメーターを falseに設定し、インストーラー スクリプトを実行して構成を更新します。詳しくは、「 製品を管理する」をご覧ください。

SQL 統合認証を削除する

SQL 統合認証を削除するには、次の手順を実行します。

  1. ユーザー IDパスワードを使用するように SQL 接続文字列を構成します。
  2. すべてのサービスに対して SQL 統合認証を無効化する場合は、 cluster_config.json ファイルで kerberos_auth_config.enabled パラメーターを false に設定し、インストーラー スクリプトを実行して構成を更新します。詳しくは、「 製品を管理する」をご覧ください。

Kerberos のトラブルシューティング

Kerberos の構成中に問題が発生した場合は、「 認証のトラブルシューティング」をご覧ください。

このページは役に立ちましたか?

接続

ヘルプ リソース サポート

学習する UiPath アカデミー

質問する UiPath フォーラム

最新情報を取得