1 CyberArk конфигурација

Овај одељак објашњава како да конфигуришете Zabbix да преузима тајне из CyberArk Vault CV12.

Трезор треба да буде инсталиран и конфигурисан као што је описано у званичној CyberArk документацији.

Да бисте сазнали више о конфигурисању TLS-а у Zabbix-у, погледајте Складиштење тајни.

Акредитиви базе података

Приступ тајни са акредитивима базе података конфигурише се за сваку Zabbix компоненту посебно.

Сервер и проксији

Да бисте добили акредитиве базе података из трезора за Zabbix сервер или proxy, наведите следеће параметре конфигурације у конфигурационој датотеци:

• Vault - који провајдер трезора треба користити;
• VaultURL - HTTP[S] URL сервера трезора;
• VaultDBPath - упит за тајну трезора која садржи акредитиве базе података који ће бити преузети помоћу кључева "Content" и "UserName" (ова опција се може користити само ако DBUser и DBPassword нису наведени);
• VaultTLSCertFile, VaultTLSKeyFile - имена SSL сертификата и датотека кључева; подешавање ових опција није обавезно, али се топло препоручује;
• VaultPrefix - прилагођени префикс за путању или упит до трезора, у зависности од трезора; ако није наведен, користиће се најприкладнији подразумевани префикс.

Zabbix сервер и Zabbix прокси читају конфигурационе параметре везане за трезор из датотека zabbix_server.conf и zabbix_proxy.conf приликом покретања.

Пример

1. У zabbix_server.conf, наведите следеће параметре:

Vault=CyberArk
       VaultURL=https://127.0.0.1:1858
       VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
       VaultTLSCertFile=cert.pem
       VaultTLSKeyFile=key.pem
       VaultPrefix=/AIMWebService/api/Accounts?

2. Zabbix ће послати следећи API захтев у трезор:

curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. Одговор трезора ће садржати кључеве "Content" и "UserName":

{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database": <Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }

4. Као резултат тога, Zabbix ће користити следеће акредитиве за аутентификацију базе података:

• Корисничко име: <username>
• Лозинка: <password>

Кориснички интерфејс

Да бисте добили акредитиве базе података из трезора за Zabbix кориснички интерфејс, наведите следеће параметре током инсталације корисничког интерфејса (/manual/installation/frontend).

1. У кораку Конфигуриши везу са базом података, подесите параметар Складиштење акредитива у на "CyberArk Vault".

2. Затим, попуните додатне параметре:

Вредности корисничког макроа

Да бисте користили CyberArk Vault за чување вредности Вредност тајне корисничких макроа, уверите се да:

• Zabbix сервер је конфигурисан за рад са CyberArk Vault-ом;
• параметар Провајдер трезора у Администрација → Опште → Друго је подешен на "CyberArk Vault".

Вредност макроа треба да садржи упит (као query:key).

Погледајте Vault secret macros за детаљне информације о обради вредности макроа од стране Zabbix-а.

Синтакса упита

Симбол двотачка (":") је резервисан за одвајање упита од кључа.

Ако сам упит садржи косу црту или двотачку, ови симболи треба да буду кодирани у УРЛ-у ("/" је кодирано као "%2F", ":" је кодирано као "%3A").

Пример

1. У Zabbix-у додајте кориснички макро {$PASSWORD} типа Вредност тајне и са вредношћу AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content

2. Zabbix ће послати следећи API захтев у трезор:

curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. Одговор трезора ће садржати кључ "Садржај":

{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database" :<Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }

4. Као резултат тога, Zabbix ће разрешити макро {$PASSWORD} на вредност - <password>

Ажурирање постојеће конфигурације

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из CyberArk трезора:

1. Ажурирајте параметре Zabbix сервера или прокси конфигурационе датотеке као што је описано у одељку Database credentials.

2. Ажурирајте подешавања везе са базом података тако што ћете поново конфигурисати Zabbix кориснички интерфејс и навести потребне параметре као што је описано у одељку Frontend. Да бисте поново конфигурисали Zabbix кориснички интерфејс, отворите URL адресу за подешавање корисничког интерфејса у прегледачу:

• за Apache: http://<server_ip_or_name>/zabbix/setup.php
• за Nginx: http://<server_ip_or_name>/setup.php

Алтернативно, ови параметри се могу подесити у кориснички интерфејс конфигурационој датотеци (zabbix.conf.php):

$DB['VAULT'] = 'CyberArk';
       $DB['VAULT_URL'] = 'https://127.0.0.1:1858';
       $DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
       $DB['VAULT_TOKEN'] = '';
       $DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
       $DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
       $DB['VAULT_PREFIX'] = '';

3. Конфигуришите корисничке макрое као што је описано у одељку Вредности корисничких макроа, ако је потребно.

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из HashiCorp трезора, погледајте HashiCorp конфигурација.