automation-suite
2024.10
true
- 概述
- 要求
- 预安装
- 安装
- 安装后
- 迁移和升级
- 集群管理
- 执行数据库维护
- 设置 Kerberos 身份验证
- 安装后配置 FQDN
- 特定于产品的配置
- 故障排除
重要 :
请注意,此内容已使用机器翻译进行了部分本地化。
新发布内容的本地化可能需要 1-2 周的时间才能完成。
OpenShift 上的 Automation Suite 安装指南
上次更新日期 2025年5月30日
设置 Kerberos 身份验证
要成功设置 Kerberos 身份验证,您必须满足以下先决条件:
在配置 Kerberos 身份验证之前,请与 IT 管理员合作,确保 Automation Suite 集群可以访问您的 AD。
必须满足以下要求:
- Automation Suite 集群必须与 AD 域位于同一网络上;
-
在网络上正确设置 DNS,以便 Automation Suite 集群可以解析 AD 的域名。
注意:Automation Suite 集群必须能够解析 ADdomain names。您可以通过在主机上运行nslookup <AD domain name>来验证这一点。
生成 Kerberos 默认密钥表和用户名参数
选项 1:运行脚本(推荐)
- 在已加入域的 Windows 计算机上使用 AD 管理员帐户登录。
- 以管理员身份运行 keytab-creator.ps1 脚本。
- 在脚本中输入以下值:
Service Fabric FQDN。例如uipath-34i5ui35f.westeurope.cloudapp.azure.com。AD domain FQDN。例如TESTDOMAIN.LOCAL。- AD 用户帐户。您可以使用现有帐户,例如
sAMAccountName,也可以允许脚本创建新帐户。
输出文件包含 Kerberos 设置所需的
<KERB_DEFAULT_USERNAME> 和 <KERB_DEFAULT_KEYTAB> 参数。
选项 2:手动
请联系 AD 管理员以获取 AD 用户帐户,并检索该帐户的
<KERB_DEFAULT_USERNAME> 和 <KERB_DEFAULT_KEYTAB>,如下所示:
要将 UiPath™ 集群配置为使用 Windows 集成身份验证/Kerberos 连接到 SQL,您需要执行一些其他步骤:
- SQL Server 必须加入 AD 域;
- Automation Suite 集群必须与 SQL Server 位于同一网络上;
- Automation Suite 集群可以解析 AD 和 SQL 服务器的域名;
- AD 用户必须具有针对 SQL Server 和 DB 的访问权限。
要在 SQL Server Management Studio 中创建新的登录名,请执行以下步骤:
a. 在“对象资源管理器”面板中,导航到“安全”>“登录”。
b. 右键单击“登录”文件夹并选择“新登录”。将显示“登录 - 新”窗口。
c. 选择“Windows 身份验证”选项。窗口将相应更新。
d. 在“登录名”字段中,键入要用作服务帐户的用户域。
e. 从“默认语言”列表中选择“English”。
重要提示:确保将“默认语言”设置为“英语”。否则,网站将无法启动,并且安装了 Orchestrator 的计算机上的事件查看器将显示以下错误消息:“将 VARCHAR 数据类型转换为日期时间数据类型导致值超出范围”。
f。选择“确定” 。 您的配置已保存。
如果服务帐户已创建并添加到 SQL Server 的“安全”>“登录”部分,请检查该 SQL 帐户的默认语言是否设置为英语。如果不是,请进行必要的调整。
您需要为连接到 SQL 数据库的用户提供
db_owner 用户映射角色,如以下屏幕截图所示。
如果安全限制不允许您通过 UiPath™ 登录使用
db_owner 用户映射角色,请授予以下权限:
-
db_datareader -
db_datawriter -
db_ddladmin -
dbo架构上的EXECUTE权限
必须使用
GRANT EXECUTE SQL 命令授予 EXECUTE 权限,如下所示:
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GOUSE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO如果您希望 UiPath 应用程序使用唯一 AD 用户帐户通过
Integrated Security=True 连接到 SQL,则需要为每个 UiPath™ 应用程序创建一个唯一的密钥表,如下所示。对于该应用程序,我们将之称为 <KERB_APP_KEYTAB>。
生成 Kerberos 应用程序密钥表和用户名参数
选项 1:运行脚本(推荐)
- 运行 service-keytab-creator.ps1 脚本。
- 在脚本中输入以下值:
AD domain FQDN。例如TESTDOMAIN.LOCAL。- AD 用户帐户的用户名和密码。例如,AD 用户帐户
sAMAccountName及其密码。
输出文件包含 Kerberos 所需的
<KERB_APP_USERNAME> 和 <KERB_APP_KEYTAB> 参数。
选项 2:手动
手动运行以下脚本:
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))值
<AD username> 将是与 <KERB_APP_USERNAME> 对应的 <KERB_APP_KEYTAB>。
本节说明如何将 Automation Suite 配置为用于访问 LDAP 或 SQL 的 Kerberos 客户端。
使用
<KERB_DEFAULT_KEYTAB> ,按照通过 input.json 配置 Kerberos 身份验证中的说明将 Automation Suite 配置为 Kerberos 客户端。
注意:如果您想将不同的服务设置为在它们自己的 AD 帐户下运行,并以那个 AD 帐户访问 SQL,你可以在服务的配置部分使用该
<KERB_APP_USERNAME> 指定 ad_username 并将 user_keytab 指定为 <KERB_APP_KEYTAB>。
-
在
input.json文件中,将kerberos_auth_config.enabled参数设置为true。 -
如果要使用 Kerberos 进行访问 SQL,请使用“集成安全性”标志配置
sql_connection_string_template、sql_connection_string_template_jdbc和sql_connection_string_template_odbc。 -
如果要为每个服务设置不同的 AD 用户,请执行以下步骤:
-
更新
input.json文件后,运行安装程序脚本以更新配置。 有关详细信息,请参阅管理产品。
更新 Orchestrator 和平台以使用 Kerberos 身份验证的示例
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}服务组和服务
下表列出了可用的服务组及其包含的服务。 input.json文件或 ArgoCD 用户界面中的名称略有不同。
|
|
ArgoCD 的服务组名称 |
包含的服务 |
|---|---|---|
|
|
|
Orchestrator、Webhook |
|
|
|
身份、许可证会计 (LA)、审核、位置、许可证资源管理器 (LRM)、组织管理服务 (OMS) |
|
|
|
Automation Hub、Task Mining |
|
|
|
Test Manager |
|
|
|
Automation Ops |
|
|
|
AI Center |
|
|
|
Document Understanding |
|
|
|
Insights |
|
|
|
Data Service |
|
|
|
Automation Suite 机器人 |
|
|
|
Process Mining |
要完全删除 Kerberos 身份验证,请执行以下步骤:
- 如果您使用 Kerberos 配置 AD 集成,请按照 配置 Active Directory 集成中的说明使用用户名和密码选项重新配置 AD。
- 如果您使用了 SQL 集成身份验证,请将 SQL 连接字符串配置为使用“ 用户 ID ”和“ 密码”。
- 禁用 Kerberos 身份验证。 在
cluster_config.json文件中,将kerberos_auth_config.enabled参数设置为false,然后运行安装程序脚本以更新配置。 有关详细信息,请参阅管理产品。
要删除 SQL 集成身份验证,请执行以下步骤:
- 将 SQL 连接字符串配置为使用“ 用户 ID ”和“ 密码”。
- 如果要禁用所有服务的 SQL 集成身份验证,请在
cluster_config.json文件中将kerberos_auth_config.enabled参数设置为false,然后运行安装程序脚本以更新配置。 有关详细信息,请参阅管理产品。
