This is a translation of the original English documentation page. Help us make it better.

1 CyberArk конфигурација

Овај одељак објашњава како да конфигуришете Zabbix да преузима тајне из CyberArk Vault CV12.

Трезор треба да буде инсталиран и конфигурисан као што је описано у званичној CyberArk документацији.

Да бисте сазнали више о конфигурисању TLS-а у Zabbix-у, погледајте Складиштење тајни.

Акредитиви базе података

Приступ тајни са акредитивима базе података конфигурише се за сваку Zabbix компоненту посебно.

Сервер и проксији

Да бисте добили акредитиве базе података из трезора за Zabbix сервер или proxy, наведите следеће параметре конфигурације у конфигурационој датотеци:

  • Vault - који провајдер трезора треба користити;
  • VaultURL - HTTP[S] URL сервера трезора;
  • VaultDBPath - упит за тајну трезора која садржи акредитиве базе података који ће бити преузети помоћу кључева "Content" и "UserName" (ова опција се може користити само ако DBUser и DBPassword нису наведени);
  • VaultTLSCertFile, VaultTLSKeyFile - имена SSL сертификата и датотека кључева; подешавање ових опција није обавезно, али се топло препоручује;
  • VaultPrefix - прилагођени префикс за путању или упит до трезора, у зависности од трезора; ако није наведен, користиће се најприкладнији подразумевани префикс.

Zabbix сервер такође користи конфигурационе параметре Vault, VaultURL, VaultTLSCertFile, VaultTLSKeyFile и VaultPrefix за аутентификацију трезора приликом обраде макроа тајних наредби трезора.

Zabbix сервер и Zabbix прокси читају конфигурационе параметре везане за трезор из датотека zabbix_server.conf и zabbix_proxy.conf приликом покретања.

Пример
  1. У zabbix_server.conf, наведите следеће параметре:
Vault=CyberArk
       VaultURL=https://127.0.0.1:1858
       VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
       VaultTLSCertFile=cert.pem
       VaultTLSKeyFile=key.pem
       VaultPrefix=/AIMWebService/api/Accounts?
  1. Zabbix ће послати следећи API захтев у трезор:
curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. Одговор трезора ће садржати кључеве "Content" и "UserName":
{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database": <Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }
  1. Као резултат тога, Zabbix ће користити следеће акредитиве за аутентификацију базе података:
  • Корисничко име: <username>
  • Лозинка: <password>

Кориснички интерфејс

Да бисте добили акредитиве базе података из трезора за Zabbix кориснички интерфејс, наведите следеће параметре током инсталације корисничког интерфејса (/manual/installation/frontend).

  1. У кораку Конфигуриши везу са базом података, подесите параметар Складиштење акредитива у на "CyberArk Vault".

  1. Затим, попуните додатне параметре:
Parameter Mandatory Default value Description
Крајња тачка API трезора да https://localhost:1858 Наведите URL за повезивање са трезором у формату scheme://host:port
Префикс трезора не /AIMWebService/api/Accounts? Наведите прилагођени префикс за путању или упит трезора. Ако није наведено, користи се подразумевана вредност.
Низ тајног упита трезора да Упит који одређује одакле треба преузети акредитиве базе података.
Пример: AppID=foo&Query=Safe=bar;Object=buzz
Сертификати трезора не Након означавања поља за потврду, појавиће се додатни параметри који омогућавају конфигурисање аутентификације клијента. Иако је овај параметар опционалан, препоручује се да га омогућите за комуникацију са CyberArk трезором.
Датотека SSL сертификата не conf/certs/cyberark-cert.pem Путања до датотеке SSL сертификата. Датотека мора бити у PEM формату.
Ако датотека сертификата такође садржи приватни кључ, оставите параметар датотеке SSL кључа празан.
Датотека SSL кључа не conf/certs/cyberark-key.pem Назив датотеке SSL приватног кључа која се користи за аутентификацију клијента. Датотека мора бити у PEM формату.

Вредности корисничког макроа

Да бисте користили CyberArk Vault за чување вредности Вредност тајне корисничких макроа, уверите се да:

Само Zabbix сервер захтева приступ Вредност тајне вредностима макроа из трезора. Остале Zabbix компоненте (прокси, кориснички интерфејс) не требају такав приступ.

Вредност макроа треба да садржи упит (као query:key).

Погледајте Vault secret macros за детаљне информације о обради вредности макроа од стране Zabbix-а.

Синтакса упита

Симбол двотачка (":") је резервисан за одвајање упита од кључа.

Ако сам упит садржи косу црту или двотачку, ови симболи треба да буду кодирани у УРЛ-у ("/" је кодирано као "%2F", ":" је кодирано као "%3A").

Пример

  1. У Zabbix-у додајте кориснички макро {$PASSWORD} типа Вредност тајне и са вредношћу AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content

  1. Zabbix ће послати следећи API захтев у трезор:
curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. Одговор трезора ће садржати кључ "Садржај":
{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database" :<Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }
  1. Као резултат тога, Zabbix ће разрешити макро {$PASSWORD} на вредност - <password>

Ажурирање постојеће конфигурације

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из CyberArk трезора:

  1. Ажурирајте параметре Zabbix сервера или прокси конфигурационе датотеке као што је описано у одељку Database credentials.

  2. Ажурирајте подешавања везе са базом података тако што ћете поново конфигурисати Zabbix кориснички интерфејс и навести потребне параметре као што је описано у одељку Frontend. Да бисте поново конфигурисали Zabbix кориснички интерфејс, отворите URL адресу за подешавање корисничког интерфејса у прегледачу:

  • за Apache: http://<server_ip_or_name>/zabbix/setup.php
  • за Nginx: http://<server_ip_or_name>/setup.php

Алтернативно, ови параметри се могу подесити у кориснички интерфејс конфигурационој датотеци (zabbix.conf.php):

$DB['VAULT'] = 'CyberArk';
       $DB['VAULT_URL'] = 'https://127.0.0.1:1858';
       $DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
       $DB['VAULT_TOKEN'] = '';
       $DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
       $DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
       $DB['VAULT_PREFIX'] = '';
  1. Конфигуришите корисничке макрое као што је описано у одељку Вредности корисничких макроа, ако је потребно.

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из HashiCorp трезора, погледајте HashiCorp конфигурација.