automation-suite
2021.10
false
- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベスト プラクティスとメンテナンス
- トラブルシューティング
- 移行後にログインできない
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- Kinit: Cannot Find KDC for Realm <AD Domain> While Getting Initial Credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- GSSAPI operation failed with error: An invalid status code was supplied (Client's credentials have been revoked).
- Login Failed for User <ADDOMAIN><aduser>. Reason: The Account Is Disabled.
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドル ツールを使用する
- ログを確認する
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
Automation Suite インストール ガイド
Last updated 2024年8月26日
クラスターを構成する
UiPath では、Automation Suite を制御および管理する
configureUiPathAS.sh スクリプトを提供しています。このスクリプトはインストール バンドルに付属し、インストーラーのメイン フォルダーにあります。
現時点ではいくつかの操作しかサポートしていません。
configureUiPathAS.sh に関する詳細を表示するには、次のコマンドを実行します。
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help出力:
$ ./configureUiPathAS.sh --help
************************************************************************************
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
Flags:
-h|--help Display help
************************************************************************************$ ./configureUiPathAS.sh --help
************************************************************************************
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
Flags:
-h|--help Display help
************************************************************************************以下に、
configureUiPathAS.sh スクリプトを使用して UiPath Automation Suite のクラスター内で管理できるコンポーネントを示します。
- サーバー証明書 - TLS とサーバーの証明書を管理 (証明書の更新と取得) します。
- 追加の CA 証明書 - SQL Server 証明書、プロキシ サーバー証明書など、追加の CA 証明書を管理します。
- ID サービス - トークン署名証明書、SAML 証明書、Kerberos や Windows の認証など、ID サービスの構成を管理します。
- ObjectStore - ceph ObjectStore を管理します (現時点では ceph pvc/ストレージのサイズ変更のみサポートしています)。
- レジストリ - Docker レジストリを管理します (現時点ではレジストリ pvc/ストレージのサイズ変更のみサポートしています)。
- 監視 - Rancher サーバーを管理します (現時点では Rancher サーバー pvc/ストレージのサイズ変更のみサポートしています)。
- RabbitMQ - RabbitMQ メッセージ キューを管理します (現時点では RabbitMQ pvc/ストレージのサイズ変更のみサポートしています)。
- MongoDB - MongoDB データストアを管理します (現時点では MongoDB pvc/ストレージのサイズ変更と証明書管理のみサポートしています)。
SQL Server の接続文字列または資格情報を更新するには、プライマリ サーバー ノードの
cluster_config.json ファイルを直接編集します。このファイルの SQL フィールド (sql.username、sql.password、sql.server_url) を必要な更新内容に応じて直接編集できます。
ファイルを更新したら、同じマシン上で、更新した構成ファイルをパラメーターとして使用して、対話型のインストール ウィザードを再実行します。インストールの再実行が必要なのはプライマリ サーバーのみです。
共通の Kerberos 認証構成を更新するには、次の手順を実行します。
- 次のコマンドを実行します。
./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]注:- keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。
- AD ドメイン コントローラーには、既定のドメイン ポリシー内にユーザー チケットの最大有効期間に関する Kerberos 設定があります。ここで設定されているチケットの有効期間が、ドメイン コントローラー側の設定よりも長くなっていないことを確認してください。
図 1.
成功時のコンソール出力:
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>失敗時のコンソール出力:
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.AD のユーザー名や、特定のサービスに対する AD ユーザーの keytab を更新するには、次の手順を実行します。
次のコマンドを実行します。
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]次のサービス グループを使用できます (大文字と小文字が区別されます)。
OrchestratorPlatformdiscoverygroupTest ManagerAutomation OpsAI CenterDocumentUnderstanding (ドキュメントの理解)-
insights注: keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。
成功時のコンソール出力
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>失敗時のコンソール出力
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Automation Suite では、既定で admin というユーザー名のシステム管理者が 1 名、ホスト組織に作成されます。
ホスト組織へのアクセス権が失われた場合、たとえばシステム管理者のパスワードが紛失したり、システム管理者アカウントを持つ唯一のユーザーが退職したりしたときなどに備えて、システム管理者を追加または復元するツールがあります。
このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター "Integrated Security=true" が存在すると機能しません。
./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]--usernameは必須フィールドです。--passwordは、新しい管理者がログインに基本認証を使用する場合にのみ必要です。--emailは、外部 ID プロバイダーが要求している場合 (たとえば Google はユーザー名でなくメール アドレスで照合します) を除き任意です。
管理者を作成または復元する方法に関しては、いくつか重要な注意事項があります。
- 新しい管理者は、既存の管理者と同じユーザー名またはメール アドレスを持つことはできません。既存の管理者と同じユーザー名またはメール アドレスを使用すると、既存の管理者が更新されます。これはパスワードを変更するときには便利です。
- 新規ユーザーに、削除した管理者と同じユーザー名またはメール アドレスを使用すると、新規ユーザーが作成される代わりに削除された管理者が復元されます。この場合、パスワード フィールドは上書きされません。例外は、同じユーザー名またはメール アドレスを持つ複数の管理者を削除した場合です。この場合、新しい管理者が作成されます。
- ホスト上に構成された、いずれかの外部 ID プロバイダーの使用が強制される場合、パラメーターに制約が課されます。たとえば、Windows AD の使用が強制される場合、ユーザー名は
user@domainの形を取る必要があります。Google の場合はメール アドレスが要求されます。 - 新しい管理者アカウントに初めてログインする際は、パスワードを変更する必要があります。
組織管理者やシステム管理者が、構成された Azure Active Directory またはその他の外部 ID プロバイダーに起因する問題でログインできなくなることがあります。組織管理者は、認証設定の
Disable basic authentication フラグがチェックされているためにロックアウトされる可能性があります。組織管理者とシステム管理者は、外部 ID プロバイダーが force/exclusive として構成されているためにロックアウトされる可能性があります。このツールは、組織の基本認証の再有効化を試みます。
このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター
Integrated Security=true が存在すると機能しません。
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]注:
--orgname は必須フィールドです。ホスト レベルで基本認証を制限している場合、orgname は host に設定します。
