HashiCorp Vault(을)를 사용하여 온프레미스 사후 설치

실행 중인 모든 Control Room 서비스를 중지해야 하는 예약된 시스템 중단 시간 동안 명령줄 대화형 키 저장소 유틸리티를 사용합니다. 가동 중지 시간 동안 연결 매개변수(예: 앱 ID, 저장소 URL, 포트 번호 및 인증서)에 영향을 줄 수 있는 모든 키 저장소 구성 변경 사항을 HashiCorp 관리 팀과 조정해야 합니다.

전제 조건

주: 키 저장소 유틸리티를 사용하여 HashiCorp Vault 통합을 비활성화하는 경우 사용 중인 매핑된 자격증명의 매핑부터 먼저 해제해야 합니다.

설치 후 방법을 사용하여 다음 작업을 수행할 수 있습니다.

  • 외부 키 저장소 연결 매개변수를 수정하거나 구성합니다.
  • (초기 설치 중에 구성하지 않은 경우) 서비스 계정 자격증명(Active Directory 마스터 비밀번호)을 수정 또는 구성합니다.
  • (초기 설치 중에 구성하지 않은 경우) 데이터베이스(부트스트랩) 자격증명 식별자를 수정하거나 구성합니다(데이터베이스 인증 시 검색됨).
    주: 외부 키 저장소에서 부트스트랩 자격증명을 검색하면 부팅 중에 외부 키 저장소에 액세스할 수 없거나 Control Room이 데이터베이스 연결을 새로 고치고 Active Directory로 사용자를 인증할 때 외부 키 저장소에 액세스할 수 없는 경우 Control Room은 실패할 수 있습니다.
  • Control Room을 복구해야 하는 이유는 다음과 같습니다.
    • 외부 키 저장소 연결 매개변수, 서비스 계정, 데이터베이스 자격증명 안전 및 객체 식별자가 수정된 경우.
    • HashiCorp Vault 연결 매개변수 변경으로 인해 Control Room에서 연결 문제가 발생한 경우.
    • 부트스트랩 비밀번호에 대한 자격증명 식별자가 변경된 경우.

      올바르게 설정되지 않은 초기 구성 설정을 업데이트하고 시스템을 복구할 수 있습니다.

    주:

    관리 > 설정 > 이메일관리 > 설정 > Active Directory로 이동하여 Automation 360 Control Room의 외부 키 저장소에서 정보를 검색하도록 SMTP 및 AD 자격증명 식별자를 구성하고 편집할 수 있습니다.

프로시저

  1. HashiCorp Vault에 대한 키 저장소 유틸리티를 실행합니다.
    주: dB 유틸리티 명령을 호출하기 전에 HashiCorp 서버 인증서(HashiCorp 서버에 발급된 인증서)를 Java 신뢰 저장소로 가져와야 합니다. 인증서는 .cer(PEM) 형식일 수 있으며, 개인 키를 포함하지 않습니다.

    키 저장소 유틸리티를 실행하고 키 저장소 연결 설정을 업데이트하려면:

    1. Control Room 관리자의 자격으로 초기 Automation 360 설치 중에 생성된 Automation Anywhere Control Room 설치 디렉터리에 액세스합니다.
      예시: C:\Program Files\Automation Anywhere\Enterprise
    2. 최신 버전의 키 저장소 유틸리티를 다운로드합니다. 디렉토리를 업데이트하는 데 사용되는 jar 파일을 다운로드하려면 다음 지침을 따르십시오.
      1. 브라우저를 열고 A-People 사이트에 접속합니다. A-People Downloads page (Login required).
      2. 최신 온프레미스 빌드에 대한 링크를 클릭합니다.
      3. Installation Setup 폴더를 클릭합니다.
      4. crutils.jar 파일을 다운로드합니다.
      주: DB 인증이 외부 키 저장소를 사용하도록 구성된 경우 유틸리티는 다음 예외를 return합니다. Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      그리고 사용자에게 다음 작업을 확인하도록 요청합니다. Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. 계속하려면 Y를 입력합니다.
    4. 다음을 입력합니다.
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. 키 저장소 유틸리티를 실행하려면 다음과 같은 jvm 인수를 명령에 추가합니다.
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      다음 구성 작업 중 하나를 업데이트할 수 있습니다.

      • HashiCorp 키 저장소 구성을 편집하려면 UPDATE_KEY_VAULT_CONFIGURATION을 입력합니다.
      • 외부 키 저장소를 사용하여 데이터베이스 인증으로 변경하려면 UPDATE_DB_AUTHENTICATION_CONFIGURATION을 입력합니다.
  2. 사용한 구성 작업에 따라 다음과 같이 적절한 작업을 선택합니다.
    • HashiCorp에 대한 키 저장소 구성 업데이트: UPDATE_KEY_VAULT_CONFIGURATION을 구성 작업으로 입력한 경우:
      1. 유틸리티가 현재 키 저장소 구성 및 속성을 로드하면 다음과 같은 프롬프트가 표시됩니다. Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :. HASHICORP을 입력합니다.
      2. Please enter Vault URL: 프롬프트에서 (예를 들면): https://services.uscentral.skytap.com:19516를 입력합니다.
      3. Please enter Role Name: 프롬프트에서 (예를 들면): jenkins를 입력합니다.
      4. Please enter Role ID: 프롬프트에서 (예를 들면): 675a50e7-cfe0-be76-e35f-49ec009731ea를 입력합니다.
      5. Please enter Secret ID: 프롬프트에서 (예를 들면): ed0a642f-2acf-c2da-232f-1b21300d5f29를 입력합니다.
      6. Please enter Namespace: 프롬프트에서 (예를 들면): tenant1를 입력합니다.
      키 저장소 유틸리티가 실행됩니다. 구성에 성공하면(유틸리티가 구성된 매개변수를 사용하여 외부 키 저장소에 연결할 수 있음) 콘솔에 다음 메시지가 표시됩니다.
      Connection configurations valid
        Key Vault configurations successfully updated
    • HashiCorp에 대한 데이터베이스 인증 업데이트: UPDATE_DB_AUTHENTICATION_CONFIGURATION을 구성 작업으로 입력한 경우:
      1. 유틸리티가 현재 데이터베이스 구성 정보를 로드한 후 다음 프롬프트가 표시됩니다.
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        KEY_VAULT을 입력합니다.

      2. Please enter Secret name: 프롬프트에서 (예를 들면): aadbuser를 입력합니다.

      키 저장소 유틸리티가 실행됩니다. 데이터베이스 구성이 성공하면(유틸리티가 HashiCorp에 연결하고 지정된 자격증명을 검색한 후 자격증명을 사용하여 데이터베이스에 연결할 수 있음) 다음 메시지가 콘솔에 표시됩니다.

      Database Credentials are valid
      Database authentication configurations successfully updated