Овај одељак објашњава како да конфигуришете Zabbix да преузима тајне из CyberArk Vault CV12.
Трезор треба да буде инсталиран и конфигурисан као што је описано у званичној CyberArk документацији.
Да бисте сазнали више о конфигурисању TLS-а у Zabbix-у, погледајте Складиштење тајни.
Приступ тајни са акредитивима базе података конфигурише се за сваку Zabbix компоненту посебно.
Да бисте добили акредитиве базе података из трезора за Zabbix сервер или proxy, наведите следеће параметре конфигурације у конфигурационој датотеци:
Vault
- који провајдер трезора треба користити;VaultURL
- HTTP[S] URL сервера трезора;VaultDBPath
- упит за тајну трезора која садржи акредитиве базе података који ће бити преузети помоћу кључева "Content" и "UserName" (ова опција се може користити само ако DBUser и DBPassword нису наведени);VaultTLSCertFile
, VaultTLSKeyFile
- имена SSL сертификата и датотека кључева; подешавање ових опција није обавезно, али се топло препоручује;VaultPrefix
- прилагођени префикс за путању или упит до трезора, у зависности од трезора; ако није наведен, користиће се најприкладнији подразумевани префикс.Zabbix сервер такође користи конфигурационе параметре Vault
, VaultURL
, VaultTLSCertFile
, VaultTLSKeyFile
и VaultPrefix
за аутентификацију трезора приликом обраде макроа тајних наредби трезора.
Zabbix сервер и Zabbix прокси читају конфигурационе параметре везане за трезор из датотека zabbix_server.conf и zabbix_proxy.conf приликом покретања.
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?
curl \
--header "Content type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
{
"Content": <password>,
"UserName": <username>,
"Address": <address>,
"Database": <Database>,
"PasswordChangeInProcess":<PasswordChangeInProcess>
}
Да бисте добили акредитиве базе података из трезора за Zabbix кориснички интерфејс, наведите следеће параметре током инсталације корисничког интерфејса (/manual/installation/frontend).
Parameter | Mandatory | Default value | Description |
---|---|---|---|
Крајња тачка API трезора | да | https://localhost:1858 | Наведите URL за повезивање са трезором у формату scheme://host:port |
Префикс трезора | не | /AIMWebService/api/Accounts? | Наведите прилагођени префикс за путању или упит трезора. Ако није наведено, користи се подразумевана вредност. |
Низ тајног упита трезора | да | Упит који одређује одакле треба преузети акредитиве базе података. Пример: AppID=foo&Query=Safe=bar;Object=buzz |
|
Сертификати трезора | не | Након означавања поља за потврду, појавиће се додатни параметри који омогућавају конфигурисање аутентификације клијента. Иако је овај параметар опционалан, препоручује се да га омогућите за комуникацију са CyberArk трезором. | |
Датотека SSL сертификата | не | conf/certs/cyberark-cert.pem | Путања до датотеке SSL сертификата. Датотека мора бити у PEM формату. Ако датотека сертификата такође садржи приватни кључ, оставите параметар датотеке SSL кључа празан. |
Датотека SSL кључа | не | conf/certs/cyberark-key.pem | Назив датотеке SSL приватног кључа која се користи за аутентификацију клијента. Датотека мора бити у PEM формату. |
Да бисте користили CyberArk Vault за чување вредности Вредност тајне корисничких макроа, уверите се да:
Само Zabbix сервер захтева приступ Вредност тајне вредностима макроа из трезора. Остале Zabbix компоненте (прокси, кориснички интерфејс) не требају такав приступ.
Вредност макроа треба да садржи упит (као query:key
).
Погледајте Vault secret macros за детаљне информације о обради вредности макроа од стране Zabbix-а.
Симбол двотачка (":") је резервисан за одвајање упита од кључа.
Ако сам упит садржи косу црту или двотачку, ови симболи треба да буду кодирани у УРЛ-у ("/" је кодирано као "%2F", ":" је кодирано као "%3A").
AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content
curl \
--header "Content type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
{
"Content": <password>,
"UserName": <username>,
"Address": <address>,
"Database" :<Database>,
"PasswordChangeInProcess":<PasswordChangeInProcess>
}
Да бисте ажурирали постојећу конфигурацију за преузимање тајни из CyberArk трезора:
Ажурирајте параметре Zabbix сервера или прокси конфигурационе датотеке као што је описано у одељку Database credentials.
Ажурирајте подешавања везе са базом података тако што ћете поново конфигурисати Zabbix кориснички интерфејс и навести потребне параметре као што је описано у одељку Frontend. Да бисте поново конфигурисали Zabbix кориснички интерфејс, отворите URL адресу за подешавање корисничког интерфејса у прегледачу:
Алтернативно, ови параметри се могу подесити у кориснички интерфејс конфигурационој датотеци (zabbix.conf.php):
$DB['VAULT'] = 'CyberArk';
$DB['VAULT_URL'] = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN'] = '';
$DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX'] = '';
Да бисте ажурирали постојећу конфигурацију за преузимање тајни из HashiCorp трезора, погледајте HashiCorp конфигурација.