Configuración del nombre principal del servicio (SNP) para la autenticación de Kerberos

Si se utilizan los siguientes modos de conexión con una conexión de servidor de Blue Prism, se debe configurar un nombre de principal del servicio (SPN) contra la cuenta de Directorio Activo (AD) en la que se ejecuta cada instancia de servicio del servidor de Blue Prism:

  • WCF: SOAP con cifrado de mensajes y autenticación de Windows
  • WCF: SOAP con cifrado de transporte y autenticación de Windows

  • .NET Remoting seguro

Esto se debe a que cuando un cliente interactivo de Blue Prism o un recurso de tiempo de ejecución se conecta a un servidor de aplicaciones mediante uno de los modos de conexión anteriores, el Paquete de seguridad de Microsoft Negotiate se utiliza para seleccionar el mejor Proveedor de soporte de seguridad (SSP) a fin de autenticar la conexión. El código interno del cliente interactivo de Blue Prism proporciona el SPN esperado al Paquete de seguridad de Microsoft Negotiation, que solicita a Microsoft Negotiation que seleccione el SSP de Kerberos sobre el SSP de New Technology LAN Manager (NTLM), siempre que el SPN esté presente en Directorio Activo. Si el SPN no está presente en Directorio Activo, la autenticación de Kerberos generará un error. Consulte este artículo de la Base de conocimientos para obtener más detalles sobre la actualización de seguridad de Windows para CVE-2022-21920 que afecta este comportamiento. Desde Blue Prism 7.0.2, si el SPN no está presente en Directorio Activo, y si el /forcentlm <flag> está configurado en Automate C, se utilizará el NTLM SSP.

Se recomienda comunicarse con el equipo de TI de su organización para obtener ayuda con esta configuración y que primero pruebe la configuración en un entorno que no sea de producción.

Esta configuración se aplica a todos los entornos de Blue Prism; sin embargo, si la cuenta de Directorio Activo en la que se ejecutan las instancias del servidor de Blue Prism reside en un dominio diferente a la cuenta de Directorio Activo utilizada para el cliente interactivo de Blue Prism y el recurso de tiempo de ejecución, recomendamos que no instale la actualización de seguridad de Windows para CVE-2022-21920. Si ya la instaló, le recomendamos que la desinstale. Desde Blue Prism 7.0.2, se requiere la configuración adicional en Automate C que se describe a continuación.

Para configurar el SPN, siga los pasos a continuación en cada instancia del servicio del servidor de Blue Prism:

  1. Inicie sesión en el servidor de Blue Prism utilizando una cuenta de usuario de Windows privilegiado que sea miembro del grupo de Administradores de dominio o Administradores de empresa.

    Consulte la documentación de Microsoft en este tema para obtener más detalles, incluidos los permisos requeridos. Este es un paso esencial para revisar con el equipo de TI de su organización a fin de asegurarse de que el comando Setspn no falle al ejecutarse debido a la falta de permisos de cuenta.

  2. Abra el símbolo del sistema como administrador en el servidor de aplicaciones y ejecute el comando a continuación.

    Si el servidor de Blue Prism se ejecuta como una cuenta del sistema local:

    Copiar 
    Setspn -S HTTP/SERVER_FQDN:SERVER_PORT/BPServer COMPUTER_HOSTNAME 

    Si el servidor de Blue Prism se ejecuta como una cuenta de usuario:

    Copiar 
    Setspn -S HTTP/SERVER_FQDN:SERVER_PORT/BPServer DOMAIN\Username

    Donde:

    • HTTP representa tanto HTTP como HTTPS. No cambie el comando para incluir HTTPS específicamente, ya que la configuración fracasará.

    • SERVER_FQDN:SERVER_PORT debe ser el nombre de dominio completo (FQDN) del servidor de aplicaciones de Blue Prism.

    • COMPUTER_HOSTNAME es el nombre de host del equipo si el servicio del servidor de Blue Prism se ejecuta como una cuenta del sistema local.

    • DOMAIN\Username es el nombre de usuario de dominio si el servicio del servidor de Blue Prism se ejecuta como una cuenta de usuario.

      Esto debe coincidir con la configuración Iniciar sesión como en la ventana Propiedades del servidor de Blue Prism (equipo local).

    Ejemplo con el sistema local:

    Ejemplo con DOMAIN\Username:

  3. Después de configurar el SPN, deberá esperar a que se renueve la cache de tickets de Kerberos (la configuración predeterminada es de 15 minutos, pero se puede cambiar a través de la política de grupo). Para obtener más detalles, consulte la documentación de autenticación de Kerberos.

    Como alternativa, puede realizar lo siguiente:

    • reiniciar el cliente interactivo de Blue Prism o el recurso de tiempo de ejecución; o

    • en la máquina que ejecuta el cliente interactivo o el recurso de tiempo de ejecución, abra el símbolo del sistema y ejecute la purga de klist para actualizar los tickets de Kerberos.

      Este comando no se debe realizar dentro de un símbolo del sistema elevado, ya que no purgará todos los tickets de Kerberos del usuario.

  4. Verifique que esto funcione como se espera al conectarse al servidor de Blue Prism desde un cliente interactivo de Blue Prism que se ejecuta en otra máquina.

  5. Repita los pasos anteriores en cada instancia del servicio del servidor de Blue Prism que se ejecuta en cada servidor de Blue Prism.

Verifique las entradas del SPN y elimine un SPN incorrecto

  1. Para verificar las entradas de SPN a fin de resolver problemas, puede ver una lista de los SPN agregados en el servidor de aplicaciones con el siguiente comando:

    Copiar

    Setspn -L ACCOUNTNAME

    2. Ejemplo de lista de SPN:

  2. Verifique las entradas de los SPN que agregó para el servicio del servidor de Blue Prism. Puede eliminar el agregado por error con el comando que se indica a continuación:

    Copiar 
    Setspn -D SPN_NAME ACCOUNTNAME

    Si SPN_NAME es el nombre que se muestra en la lista de entradas de SPN, por ejemplo, HTTP/SERVER_FQDN:SERVER_PORT/BPServer.

Configuración adicional para servidores de aplicaciones de Blue Prism en entornos de carga equilibrada

Es fundamental que todas las instancias del servicio del servidor de Blue Prism en el mismo grupo de balanceadores de carga se ejecuten en la misma cuenta de servicio y que el SPN esté registrado en esta cuenta.

Además, se recomienda registrar los SPN para los FQDN del servidor de aplicaciones en la misma cuenta de servicio, ya que esto permitirá probar una conexión directa con los servidores de aplicaciones. Para obtener más información, consulte Solución de problemas de SPN.

Configuración adicional para la autenticación de Directorio Activo en entornos multibosque

Esta funcionalidad solo está disponible en Blue Prism 7.0.2 y en adelante.

Para admitir la autenticación de Kerberos en entornos de Blue Prism configurados para usar la autenticación de Directorio Activo en varios bosques, se debe establecer la siguiente configuración en Automate C:

  • /setkerberosrealm (por ejemplo, /setkerberosrealm mycompany.com). Se debe configurar en cada conexión del servidor de Blue Prism en el cliente interactivo donde el dominio Kerberos del usuario es diferente al de la cuenta de usuario configurada para ejecutar el servidor de Blue Prism.

    El dominio Kerberos suele ser el mismo que el nombre de dominio; sin embargo, consulte con su equipo de TI para obtener el valor correcto. Este debe ser el dominio de la cuenta de servicio que ejecuta el servicio del servidor de Blue Prism. En algunos entornos, puede ser necesario aplicar la misma configuración donde la cuenta de servicio existe en otro dominio dentro del mismo bosque. Puede verificar si el dominio Kerberos debe especificarse ejecutando un comando klist get contra un SPN. Para obtener más información, consulte Solución de problemas de SPN.

  • /forcentlm <flag> (por ejemplo, /forcentlm true). Obliga a Microsoft Negotiate Security Package a seleccionar New Technology LAN Manager (NTLM) como Proveedor de Soporte de Seguridad (SSP) para la última conexión utilizada o especificada (usando el modificador /dbconname) al autenticar la conexión del servidor de Blue Prism. Esta opción se proporciona para que se pueda utilizar NTLM cuando Kerberos no está disponible o no está configurado.

    Consulte con su equipo de seguridad antes de habilitar esta opción, ya que NTLM se considera un protocolo menos seguro.