1 CyberArk konfigurācija

Šajā sadaļā ir skaidrots, kā konfigurēt Zabbix, lai izgūtu noslēpumus no CyberArk Vault CV12.

Glabātuvei jābūt instalētai un konfigurētai, kā aprakstīts oficiālajā CyberArk dokumentācijā.

Lai uzzinātu par TLS konfigurēšanu Zabbix, skatiet Noslēpumu glabāšana.

Datubāzes akreditācijas dati

Piekļuve noslēpumam ar datubāzes akreditācijas datiem tiek konfigurēta katram Zabbix komponentam atsevišķi.

Serveris un starpniekserveri

Lai iegūtu datubāzes akreditācijas datus no seifa Zabbix serverim vai starpniekserverim, konfigurācijas failā norādiet šādus konfigurācijas parametrus:

  • Vault - kuru seifa pakalpojumu sniedzēju izmantot;
  • VaultURL - seifa servera HTTP[S] URL;
  • VaultDBPath - vaicājums uz seifa noslēpumu, kas satur datubāzes akreditācijas datus un kas tiks izgūts pēc atslēgām "Content" un "UserName" (šo opciju var izmantot tikai tad, ja DBUser un DBPassword nav norādīti);
  • VaultTLSCertFile, VaultTLSKeyFile - SSL sertifikāta un atslēgas failu nosaukumi; šo opciju iestatīšana nav obligāta, taču ir ļoti ieteicama;
  • VaultPrefix - pielāgots prefikss seifa ceļam vai vaicājumam atkarībā no seifa; ja nav norādīts, tiks izmantots vispiemērotākais noklusējuma variants.

Konfigurācijas parametri Vault, VaultURL, VaultTLSCertFile, VaultTLSKeyFile un VaultPrefix tiek izmantoti arī seifa autentifikācijai, kad Zabbix serveris apstrādā slepenā seifa makro (un Zabbix starpniekserveris, ja tas ir konfigurēts). Zabbix serveris un starpniekserveri neatvērs seifa noslēpuma makro, kas satur DB akreditācijas datus no VaultDBPath.

Zabbix serveris un Zabbix starpniekserveris palaišanas laikā nolasa ar seifu saistītos konfigurācijas parametrus no failiem zabbix_server.conf un zabbix_proxy.conf.

Piemērs
  1. Failā zabbix_server.conf norādiet šādus parametrus:
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?
  1. Zabbix nosūtīs šādu API pieprasījumu uz vault:
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. Vault atbildē būs atslēgas "Content" un "UserName":
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
  1. Rezultātā Zabbix datubāzes autentifikācijai izmantos šādus akreditācijas datus:
  • Lietotājvārds: <username>
  • Parole: <password>

Lietotāja saskarne

Lai iegūtu datubāzes akreditācijas datus no glabātuves Zabbix lietotāja saskarnei, lietotāja saskarnes instalēšanas laikā norādiet šādus parametrus.

  1. Solī Configure DB Connection iestatiet parametru Store credentials in uz "CyberArk Vault".

  1. Pēc tam aizpildiet papildu parametrus:
Parametrs Obligāts Noklusējuma vērtība Apraksts
Vault API endpoint https://localhost:1858 Norādiet URL savienojumam ar glabātuvi formātā scheme://host:port
Vault prefix /AIMWebService/api/Accounts? Norādiet pielāgotu prefiksu glabātuves ceļam vai vaicājumam. Ja tas nav norādīts, tiek izmantota noklusējuma vērtība.
Vault secret query string Vaicājums, kas nosaka, no kurienes jāiegūst datubāzes akreditācijas dati.
Piemērs: AppID=foo&Query=Safe=bar;Object=buzz
Vault certificates Atzīmējot izvēles rūtiņu, tiks parādīti papildu parametri, kas ļaus konfigurēt klienta autentifikāciju. Lai gan šis parametrs nav obligāts, ir ļoti ieteicams to iespējot saziņai ar CyberArk Vault.
SSL certificate file conf/certs/cyberark-cert.pem Ceļš uz SSL sertifikāta failu. Failam jābūt PEM formātā.
Ja sertifikāta fails satur arī privāto atslēgu, atstājiet parametru SSL key file tukšu.
SSL key file conf/certs/cyberark-key.pem SSL privātās atslēgas faila nosaukums, kas tiek izmantots klienta autentifikācijai. Failam jābūt PEM formātā.

Lietotāja makro vērtības

Lai izmantotu CyberArk Vault Vault secret lietotāja makro vērtību glabāšanai, pārliecinieties, ka:

Zabbix serverim (un Zabbix starpniekserverim, ja tas ir konfigurēts) ir nepieciešama piekļuve Vault secret makro vērtībām no glabātuves. Zabbix lietotāja saskarnei šāda piekļuve nav nepieciešama.

Makro vērtībai jāietver vaicājums (kā query:key).

Skatiet Vault secret macros, lai iegūtu detalizētu informāciju par makro vērtību apstrādi Zabbix.

Vaicājuma sintakse

Kola simbols (":") ir rezervēts vaicājuma atdalīšanai no atslēgas.

Ja pats vaicājums satur slīpsvītru vai kolu, šie simboli ir jākodē URL formātā ("/" tiek kodēts kā "%2F", ":" tiek kodēts kā "%3A").

Piemērs

  1. Zabbix pievienojiet lietotāja makrosu {$PASSWORD} ar tipu Vault secret un vērtību AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content

  1. Zabbix nosūtīs uz glabātuvi šādu API pieprasījumu:
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. Glabātuves atbilde saturēs atslēgu "Content":
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
  1. Rezultātā Zabbix atrisinās makrosu {$PASSWORD} uz vērtību - <password>

Esošas konfigurācijas atjaunināšana

Lai atjauninātu esošu konfigurāciju slepeno datu izgūšanai no CyberArk Vault:

  1. Atjauniniet Zabbix serveris vai starpniekserveris konfigurācijas faila parametrus, kā aprakstīts sadaļā Datubāzes akreditācijas dati.

  2. Atjauniniet DB savienojuma iestatījumus, pārkonfigurējot Zabbix lietotāja saskarne un norādot nepieciešamos parametrus, kā aprakstīts sadaļā Lietotāja saskarne. Lai pārkonfigurētu Zabbix lietotāja saskarne, pārlūkprogrammā atveriet lietotāja saskarnes iestatīšanas URL:

  • Apache gadījumā: http://<server_ip_or_name>/zabbix/setup.php
  • Nginx gadījumā: http://<server_ip_or_name>/setup.php

Alternatīvi šos parametrus var iestatīt lietotāja saskarnes konfigurācijas failā (zabbix.conf.php):

$DB['VAULT']                    = 'CyberArk';
$DB['VAULT_URL']                = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH']            = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN']              = '';
$DB['VAULT_CERT_FILE']          = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE']           = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX']             = '';
  1. Ja nepieciešams, konfigurējiet lietotāja makro, kā aprakstīts sadaļā Lietotāja makro vērtības.

Lai atjauninātu esošu konfigurāciju slepeno datu izgūšanai no HashiCorp Vault, skatiet HashiCorp konfigurācija.