- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベスト プラクティスとメンテナンス
- トラブルシューティング
- 移行後にログインできない
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- Kinit: Cannot Find KDC for Realm <AD Domain> While Getting Initial Credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- GSSAPI operation failed with error: An invalid status code was supplied (Client's credentials have been revoked).
- Login Failed for User <ADDOMAIN><aduser>. Reason: The Account Is Disabled.
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドルを使用する
- ログを確認する
Kerberos 認証を設定する
Kerberos 認証を適切に設定するには、次の前提条件を満たす必要があります。
Kerberos 認証を構成する前に、Automation Suite のクラスターが Active Directory にアクセスできることを IT 管理者も交えて確認してください。
次の要件を満たす必要があります。
- Automation Suite のクラスターは、Active Directory ドメインと同じネットワーク上にある必要があります。
-
Automation Suite のクラスターが Active Directory のドメイン名を解決できるように、ネットワークの DNS を適切に設定する必要があります。
注: Automation Suite のクラスターが Active Directory のdomain names
を解決できることは、非常に重要です。これは、ホスト マシン上でnslookup <AD domain name>
を実行することで確認できます。
Kerberos の既定の keytab とユーザー名パラメーターを生成する
オプション 1: スクリプトを実行する (推奨)
- Windows ドメインに参加しているマシンで、Active Directory 管理者アカウントでログインします。
- keytab-creator.ps1 スクリプトを管理者として実行します。
- スクリプトに次の値を入力します。
Service Fabric FQDN
です。例:uipath-34i5ui35f.westeurope.cloudapp.azure.com
AD domain FQDN
です。例:TESTDOMAIN.LOCAL
- Active Directory ユーザー アカウント。既存のアカウント (
sAMAccountName
など) を使用するか、スクリプトで新しいアカウントを作成できます。
<KERB_DEFAULT_USERNAME>
パラメーターと <KERB_DEFAULT_KEYTAB>
パラメーターが含まれています。
オプション 2: 手動
<KERB_DEFAULT_USERNAME>
と <KERB_DEFAULT_KEYTAB>
を取得します。
Windows 統合認証/Kerberos を使用して SQL に接続するように UiPath クラスターを構成するには、次の追加手順を実行する必要があります。
- SQL Server は Active Directory ドメインに参加している必要があります。
- Automation Suite のクラスターは、SQL Server と同じネットワーク上にある必要があります。
- Automation Suite のクラスターは、Active Directory と SQL Server のドメイン名を解決できます。
- Active Directory ユーザーは、SQL Server へのアクセス権と DB 権限を持つ必要があります。
SQL Server Management Studio で新しいログインを作成するには、次の手順を実行します。
-
[オブジェクト エクスプローラ] パネルで [セキュリティ] > [ログイン] に移動します。
-
[ログイン] フォルダーを右クリックして [新しいログイン] を選択します。[ログイン - 新規作成] ウィンドウが表示されます。
-
[Windows 認証] オプションを選択します。ウィンドウが適切に更新されます。
-
[ログイン名] フィールドに、サービス アカウントとして使用するユーザー ドメインを入力します。
-
[既定の言語] リストから [English] を選択します。重要: [既定の言語] が [English] に設定されていることを確認してください。英語でない場合 Web サイトは起動できず、Orchestrator がインストールされているコンピューター上のイベント ビューアーに、データ型が変換できなかったことを示す次のエラー メッセージが表示されます。「The conversion of a varchar data type to a datetime data type resulted in an out of range value」
-
[OK] をクリックします。設定が保存されます。
サービス アカウントが既に作成され、SQL Server の [セキュリティ] > [ログイン] セクションに追加されている場合、SQL アカウントの [既定の言語] が [英語] に設定されていることを確認してください。英語に設定されていない場合は、適切に変更します。
db_owner
ユーザー マッピング ロールを付与する必要があります。以下のスクリーンショットをご覧ください。
db_owner
ユーザー マッピング ロールが使用できない場合、次の権限を付与します。
db_datareader
db_datawriter
db_ddladmin
-
dbo
スキーマに対するEXECUTE
権限
EXECUTE
権限は、GRANT EXECUTE
SQL コマンドを用いて次のように付与する必要があります。
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Integrated Security=True
で接続する場合は、次のように、各 UiPath アプリケーションに対して一意の keytab を作成する必要があります。これは、そのアプリケーションの <KERB_APP_KEYTAB>
として参照されます。
Kerberos アプリケーションの keytab とユーザー名パラメーターを生成する
オプション 1: スクリプトを実行する (推奨)
-
service-keytab-creator.ps1 スクリプトを実行します。
-
スクリプトに次の値を入力します。
-
AD domain FQDN
です。例:TESTDOMAIN.LOCAL
-
Active Directory ユーザー アカウントのユーザー名とパスワード。たとえば、Active Directory ユーザー アカウント
sAMAccountName
とそのパスワードです。
-
<KERB_APP_USERNAME>
パラメーターと <KERB_APP_KEYTAB>
パラメーターが含まれます。
オプション 2: 手動
次のスクリプトを手動で実行します。
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
<AD username>
は、<KERB_APP_KEYTAB>
に対応する <KERB_APP_USERNAME>
になります。
このセクションでは、Automation Suite を LDAP または SQL アクセス用の Kerberos クライアントとして構成する方法について説明します。
<KERB_DEFAULT_KEYTAB>
を使用して、次のいずれかの方法で Automation Suite を Kerberos クライアントとして構成します。
- 対話型インストーラーを介して Kerberos 認証を構成する
- cluster_config.json を介して Kerberos 認証を構成する
-
注: さまざまなサービスを専用の Active Directory アカウントで実行されるように設定し、SQL にその Active Directory アカウントとしてアクセスする場合は、
ad_username
をその<KERB_APP_USERNAME>
で指定し、user_keytab
をサービスの構成セクションで<KERB_APP_KEYTAB>
として指定できます。
cluster_config.json
ファイルで、kerberos_auth_config.enabled
パラメーターをtrue
に設定します。- Kerberos を SQL アクセスに使用する場合、Integrated Security フラグを使用して、
sql_connection_string_template
、sql_connection_string_template_jdbc
、およびsql_connection_string_template_odbc
を構成します。 - サービスごとに異なる Active Directory ユーザーを設定する場合は、次の手順を実行します。
cluster_config.json
を更新したら、インストーラー スクリプトを実行して構成を更新します。詳しい手順については、「製品を管理する」をご覧ください。
Kerberos 認証を使用するための Orchestrator とプラットフォームの更新例
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
サービス グループとサービス
cluster_config.json
ファイルと ArgoCD UI とで若干異なります。
cluster_config.json のサービス グループ名 |
ArgoCD のサービス グループ名 |
含まれるサービス |
---|---|---|
|
|
Orchestrator、Webhook |
|
|
ID、ライセンス会計士 (LA)、監査、場所、License Resource Manager (LRM)、Organization Management Service (OMS) |
|
|
Automation Hub、Task Mining |
|
|
Test Manager |
|
|
Automation Ops |
|
|
AI Center |
|
|
Document Understanding |
|
|
Insights |
CLI ツールを介して Kerberos 認証を更新するには、「Updating Kerberos authentication」をご覧ください。
Automation Suite にログインするときに Kerberos 認証を使用するには、Automation Suite のホスト設定をさらに構成する必要があります。
Kerberos 認証を完全に削除するには、次の手順を実行します。
- Kerberos を使用して Active Directory との連携を構成していた場合は、「Active Directory との連携を構成する」の手順に従って、Active Directory をユーザー名とパスワードのオプションで再構成します。
- SQL 統合認証を使用していた場合は、ユーザー ID とパスワードを使用するように SQL 接続文字列を構成します。
- 次の手順で Kerberos 認証を無効化します。
- ArgoCD UI に移動して uipath アプリケーションを見つけ、左上隅の [APP DETAILS] ボタンをクリックしてから、[PARAMETERS] タブに移動します。
- [EDIT] をクリックして、
global.kerberosAuthConfig.enabled
をfalse
に設定します。
Kerberos の構成中に問題が発生した場合は、「認証のトラブルシューティング」をご覧ください。
- 前提条件
- Automation Suite のクラスターが Active Directory にアクセスできることを確認する
- Active Directory サービス アカウントを Kerberos 認証用に構成する
- 任意: SQL 統合認証の前提条件
- Automation Suite を Kerberos クライアントとして構成する
- 対話型インストーラーを介して Kerberos 認証を構成する
- cluster_config.json を介して Kerberos 認証を構成する
- CLI ツールを介して Kerberos 認証を更新する
- Active Directory との連携を構成する
- Kerberos 認証を無効化する
- Kerberos 認証を完全に削除する
- SQL 統合認証を削除する
- Kerberos のトラブルシューティング