- Visão geral
- Requisitos
- Instalação
- Perguntas e respostas: modelos de implantação
- Baixando pacotes de instalação
- Parâmetros do install-uipath.sh
- Como habilitar o High Availability Add-on do Redis para o cluster
- Arquivo de configuração do Document Understanding
- Adicionando um nó de agente dedicado com suporte a GPU
- Conexão do aplicativo Task Mining
- Adição de um nó de agente dedicado ao Task Mining
- Pós-instalação
- Administração de cluster
- Monitoramento e alertas
- Migração e atualização
- Modo online de avaliação de nó único
- Modo offline de avaliação de nó único
- Modo de produção online pronto para alta disponibilidade de vários nós
- Modo de produção offline pronto para alta disponibilidade de vários nós
- Migrando o disco físico do Longhorn para o LVM
- Fazendo downgrade do Ceph de 16.2.6 para 15.2.9
- Opções de migração
- B) Migração de um único tenant
- Configuração específica do produto
- Melhores práticas e manutenção
- Solução de problemas
- Como solucionar problemas dos serviços durante a instalação
- Como desinstalar o cluster
- Como limpar os artefatos offline para melhorar o espaço em disco
- How to disable TLS 1.0 and 1.1
- Como habilitar o registro em log do Istio
- Como limpar logs manualmente
- Como limpar logs antigos armazenados no pacote do sf-logs
- Como depurar instalações do Automation Suite com falha
- Como desabilitar o descarregamento de soma de verificação do TX
- Não é possível executar uma instalação offline no SO RHEL 8.4
- Erro ao baixar o pacote
- A instalação offline falha devido a um binário ausente
- Problema de certificado na instalação offline
- Erro de validação da string de conexão ao SQL
- Falha após a atualização do certificado
- O Automation Suite requer que Backlog_wait_time seja definido como 1
- Não é possível fazer login após a migração
- Configurando um intervalo de tempo limite para os portais de gerenciamento
- Atualizar as conexões de diretório subjacentes
- kinit: não é possível encontrar o KDC para o realm <AD Domain> ao obter credenciais iniciais
- kinit: o Keytab não contém chaves adequadas para *** ao obter credenciais iniciais
- A operação do GSSAPI falhou com erro: um código de status inválido foi fornecido (as credenciais do cliente foram revogadas).
- Falha do login para o usuário <ADDOMAIN><aduser> Motivo: a conta está desabilitada.
- Alarme recebido para tarefa Kerberos-tgt-update com falha
- Provedor SSPI: servidor não encontrado no banco de dados Kerberos
- Falha ao obter a imagem do sandbox
- Os pods não são exibidos na UI do ArgoCD
- Falha de teste do Redis
- O servidor RKE2 falha ao iniciar
- Segredo não encontrado no namespace da UiPath
- O ArgoCD entra em estado Em andamento após a primeira instalação
- Inconsistência inesperada; execute o fsck manualmente
- Operador de autocura ausente e repositório Sf-k8-utils ausente
- MongoDB degradado ou aplicativos de negócios após a restauração do cluster
- Serviços não íntegros após restauração ou reversão do cluster
- O Document Understanding não está no menu de navegação esquerdo do Automation Suite
- Status de Falha ao criar uma sessão de rotulagem de dados
- Status de Falha ao tentar implantar uma habilidade de ML
- Trabalho de migração falha no ArgoCD
- Reconhecimento de escrita com o Extrator de formulários inteligente não está funcionando
- Usando a ferramenta de diagnóstico do Automation Suite
- Usando a ferramenta de pacote de suporte do Automation Suite
- Exploração de logs
Como configurar a autenticação do Kerberos
Para configurar com êxito a autenticação Kerberos, você deve atender aos seguintes pré-requisitos:
Antes de configurar a autenticação Kerberos, trabalhe com seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu AD.
Os seguintes requisitos devem ser atendidos:
- O cluster do Automation Suite deve estar na mesma rede que o domínio do AD;
-
O DNS deve ser configurado corretamente na rede para que o cluster do Automation Suite possa resolver os nomes de domínio do AD.
Observação: é fundamental que o cluster do Automation Suite possa resolver o ADdomain names
. Você pode verificar se isso ocorre executandonslookup <AD domain name>
na máquina do host.
Gerando keytab padrão Kerberos e parâmetros de nome de usuário
Opção 1: por execução do script (recomendado)
- Faça login com sua conta de administrador do AD em uma máquina ingressada no domínio do Windows.
- Execute o script keytab-creator.ps1 como administrador.
- Insira os seguintes valores no script:
Service Fabric FQDN
. Por exemplo,uipath-34i5ui35f.westeurope.cloudapp.azure.com
.AD domain FQDN
. Por exemplo,TESTDOMAIN.LOCAL
.- Uma conta de usuário do AD. Você pode usar uma conta existente, como
sAMAccountName
, ou pode permitir que o script crie uma nova.
<KERB_DEFAULT_USERNAME>
e <KERB_DEFAULT_KEYTAB>
exigidos pela configuração do Kerberos.
Opção 2: manualmente
<KERB_DEFAULT_USERNAME>
e <KERB_DEFAULT_KEYTAB>
para essa conta da seguinte forma:
Para configurar o cluster UiPath para se conectar ao SQL usando a autenticação integrada do Windows/Kerberos, você precisa realizar algumas etapas adicionais:
- o servidor SQL deve ingressar no domínio AD;
- o cluster do Automation Suite deve estar na mesma rede que o SQL Server;
- o cluster do Automation Suite pode resolver os nomes de domínio dos servidores AD e SQL;
- o usuário do AD deve ter acesso ao servidor SQL e permissões de banco de dados.
Para criar um novo login no SQL Server Management Studio, execute as seguintes etapas:
-
No painel Explorador de Objetos, navegue até Segurança > Login.
-
Clique com o botão direito do mouse na pasta Logins e selecione Novo Login. A janela Login — Novo será exibida.
-
Selecione a opção Autenticação do Windows. A janela é atualizada de acordo.
-
No campo Nome de login, digite o domínio de usuário que você deseja usar como uma conta de serviço.
-
Na lista Idioma padrão, selecione inglês.Importante: certifique-se de que o idioma padrão esteja definido como inglês. Se não estiver, o site não pode iniciar e o Visualizador de Eventos no computador no qual o Orchestrator está instalado exibe a seguinte mensagem de erro: "a conversão de um tipo de dados varchar em um tipo de dados datetime resultou em um valor fora do intervalo".
-
Clique em OK. Suas configurações são salvas.
Se a conta de serviço já tiver sido criada e adicionada à seção Segurança > Logins do SQL Server, verifique se o Idioma Padrão dessa conta SQL está definido como inglês. Se não estiver, faça os ajustes necessários.
db_owner
função de mapeamento de usuário, como na captura de tela a seguir.
db_owner
com o login da UiPath, conceda as seguintes permissões:
db_datareader
db_datawriter
db_ddladmin
-
EXECUTE
permissão emdbo
esquema
EXECUTE
deve ser concedida usando o comando SQL GRANT EXECUTE
, da seguinte maneira:
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Integrated Security=True
, precisa criar um keytab exclusivo para cada aplicativo UiPath, como mostrado a seguir. Isso será referido como <KERB_APP_KEYTAB>
para essa aplicação.
Geração do keytab e parâmetros de nomes de usuários do aplicativo Kerberos
Opção 1: executando o script (recomendado)
-
Execute o script service-keytab-creator.ps1.
-
Insira os seguintes valores no script:
-
AD domain FQDN
. Por exemplo,TESTDOMAIN.LOCAL
. -
O nome de usuário e a senha de uma conta de usuário do AD. Por exemplo, a conta de usuário AD
sAMAccountName
e sua senha.
-
<KERB_APP_USERNAME>
e <KERB_APP_KEYTAB>
exigidos pelo Kerberos.
Opção 2: manualmente
Execute o seguinte script manualmente:
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
<AD username>
será o <KERB_APP_USERNAME>
correspondente a <KERB_APP_KEYTAB>
.
Esta seção explica como você pode configurar o Automation Suite como um cliente Kerberos para acesso LDAP ou SQL.
<KERB_DEFAULT_KEYTAB>
, configure o Automation Suite como um cliente Kerberos de uma das seguintes maneiras:
- Configurando a autenticação Kerberos por meio do instalador interativo
- Configurando a autenticação Kerberos por meio de cluster_config.json
-
Observação: se você quiser configurar serviços diferentes para serem executados em sua própria conta AD e para acessarem o SQL com essa conta AD, você pode especificar
ad_username
com esse<KERB_APP_USERNAME>
, euser_keytab
como<KERB_APP_KEYTAB>
na seção de configuração do serviço.
- No arquivo
cluster_config.json
, defina o parâmetrokerberos_auth_config.enabled
comotrue
. - Se você quiser usar o Kerberos para acesso SQL, configure
sql_connection_string_template
,sql_connection_string_template_jdbc
esql_connection_string_template_odbc
com a flag de segurança integrada. - Se você deseja configurar um usuário AD diferente por serviço, execute as seguintes etapas:
- Após atualizar o
cluster_config.json
, execute o script do instalador para atualizar a configuração. Para obter mais detalhes, consulte Gerenciamento dos produtos.
Exemplo de atualização do Orchestrator e da plataforma para usar a autenticação Kerberos
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
Grupos de serviços e serviços
cluster_config.json
ou na IU do ArgoCD.
Nome do grupo de serviço para
cluster_config.json |
Nome do grupo de serviço para ArgoCD |
Serviços incluídos |
---|---|---|
|
|
Orchestrator, Webhooks |
|
|
Identidade, Contador de Licenças (LA), Auditoria, Localização, Gerenciador de Recursos de Licenças (LRM), Serviço de Gerenciamento da Organização (OMS) |
|
|
Automation Hub, Task Mining |
|
|
Test Manager |
|
|
Automation Ops |
|
|
AI Center |
|
|
Document Understanding |
|
|
Insights |
Para atualizar a autenticação Kerberos por meio da ferramenta CLI, consulte Atualizando a autenticação Kerberos.
Para que a autenticação Kerberos seja usada ao fazer login no Automation Suite, você deve definir ainda mais as configurações de host do Automation Suite.
Para remover completamente a autenticação Kerberos, execute as seguintes etapas:
- Se você usou o Kerberos para configurar a integração do AD, reconfigure o AD com a opção de nome de usuário e senha seguindo as instruções em Configurando a integração do Active Directory.
- Se você usou a autenticação integrada SQL, configure as strings de conexão SQL para usar User Id e Password.
- Desative a autenticação Kerberos da seguinte maneira:
- Vá para a interface do usuário do ArgoCD, encontre o aplicativo uipath, clique no botão DETALHES DO APLICATIVO no canto superior esquerdo e, em seguida, navegue até a aba PARÂMETROS.
- Clique em EDITARe defina
global.kerberosAuthConfig.enabled
comofalse
.
Para remover a autenticação integrada do SQL, execute as seguintes etapas:
- Configure as strings de conexão SQL para usar User Id e Password.
- Se quiser desabilitar a autenticação integrada do SQL para todos os serviços, defina
global.kerberosAuthConfig.enabled
comofalse
no ArgoCD após alterar todas as strings de conexão
Se você encontrar algum problema ao configurar o Kerberos, consulte Solução de problemas de autenticação.
- Pré-requisitos
- Garantindo que o cluster do Automation Suite possa acessar seu AD
- Configurando a conta de serviço do AD para autenticação Kerberos
- Opcional: pré-requisitos de autenticação integrada do SQL
- Configurando o Automation Suite como um cliente Kerberos
- Configurando a autenticação Kerberos por meio do instalador interativo
- Configurando a autenticação Kerberos por meio de cluster_config.json
- Atualizando a autenticação Kerberos via ferramenta CLI
- Configurando a integração do Active Directory
- Disabling Kerberos authentication
- Removing Kerberos authentication completely
- Removing SQL integrated authentication
- Solução de problemas do Kerberos