1 CyberArk konfigurācija
Šajā sadaļā ir skaidrots, kā konfigurēt Zabbix, lai izgūtu noslēpumus no CyberArk Vault CV12.
Glabātuvei jābūt instalētai un konfigurētai, kā aprakstīts oficiālajā CyberArk dokumentācijā.
Lai uzzinātu par TLS konfigurēšanu Zabbix, skatiet Noslēpumu glabāšana.
Datubāzes akreditācijas dati
Piekļuve noslēpumam ar datubāzes akreditācijas datiem tiek konfigurēta katram Zabbix komponentam atsevišķi.
Serveris un starpniekserveri
Lai iegūtu datubāzes akreditācijas datus no glabātuves Zabbix serverim vai starpniekserverim, konfigurācijas failā norādiet šādus konfigurācijas parametrus:
Vault- kurš glabātuves nodrošinātājs ir jāizmanto;VaultURL- glabātuves servera HTTP[S] URL;VaultDBPath- vaicājums uz glabātuves noslēpumu, kas satur datubāzes akreditācijas datus un tiks iegūts pēc atslēgām "Content" un "UserName" (šo opciju var izmantot tikai tad, ja nav norādīti DBUser un DBPassword);VaultTLSCertFile,VaultTLSKeyFile- SSL sertifikāta un atslēgas failu nosaukumi; šo opciju iestatīšana nav obligāta, taču ir ļoti ieteicama;VaultPrefix- pielāgots prefikss glabātuves ceļam vai vaicājumam atkarībā no glabātuves; ja tas nav norādīts, tiks izmantota vispiemērotākā noklusējuma vērtība.
Konfigurācijas parametri Vault, VaultURL, VaultTLSCertFile, VaultTLSKeyFile un VaultPrefix tiek izmantoti arī glabātuves autentifikācijai, kad Zabbix serveris apstrādā slepenās glabātuves makrosus (un Zabbix starpniekserveris, ja tas ir konfigurēts). Zabbix serveris un Zabbix starpniekserveri neatvērs glabātuves slepenos makrosus, kas satur datubāzes akreditācijas datus no VaultDBPath.
Zabbix serveris un Zabbix starpniekserveris startēšanas laikā nolasa ar glabātuvi saistītos konfigurācijas parametrus no zabbix_server.conf un zabbix_proxy.conf failiem.
Piemērs
- Failā zabbix_server.conf norādiet šādus parametrus:
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?- Zabbix nosūtīs uz glabātuvi šādu API pieprasījumu:
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database- Glabātuves atbilde saturēs atslēgas "Content" un "UserName":
{
"Content": <password>,
"UserName": <username>,
"Address": <address>,
"Database": <Database>,
"PasswordChangeInProcess":<PasswordChangeInProcess>
}- Rezultātā Zabbix datubāzes autentifikācijai izmantos šādus akreditācijas datus:
- Lietotājvārds: <username>
- Parole: <password>
Lietotāja saskarne
Lai iegūtu datubāzes akreditācijas datus no glabātuves Zabbix lietotāja saskarnei, lietotāja saskarnes instalēšanas laikā norādiet šādus parametrus.
- Solī Configure DB Connection iestatiet parametru Store credentials in uz "CyberArk Vault".
- Pēc tam aizpildiet papildu parametrus:
| Parametrs | Obligāts | Noklusējuma vērtība | Apraksts |
|---|---|---|---|
| Vault API endpoint | jā | https://localhost:1858 | Norādiet URL savienojumam ar glabātuvi formātā scheme://host:port |
| Vault prefix | nē | /AIMWebService/api/Accounts? | Norādiet pielāgotu prefiksu glabātuves ceļam vai vaicājumam. Ja tas nav norādīts, tiek izmantota noklusējuma vērtība. |
| Vault secret query string | jā | Vaicājums, kas nosaka, no kurienes jāiegūst datubāzes akreditācijas dati. Piemērs: AppID=foo&Query=Safe=bar;Object=buzz |
|
| Vault certificates | nē | Atzīmējot izvēles rūtiņu, tiks parādīti papildu parametri, kas ļaus konfigurēt klienta autentifikāciju. Lai gan šis parametrs nav obligāts, ir ļoti ieteicams to iespējot saziņai ar CyberArk Vault. | |
| SSL certificate file | nē | conf/certs/cyberark-cert.pem | Ceļš uz SSL sertifikāta failu. Failam jābūt PEM formātā. Ja sertifikāta fails satur arī privāto atslēgu, atstājiet parametru SSL key file tukšu. |
| SSL key file | nē | conf/certs/cyberark-key.pem | SSL privātās atslēgas faila nosaukums, kas tiek izmantots klienta autentifikācijai. Failam jābūt PEM formātā. |
Lietotāja makro vērtības
Lai izmantotu CyberArk Vault Vault secret lietotāja makro vērtību glabāšanai, pārliecinieties, ka:
- Zabbix serveris ir konfigurēts darbam ar CyberArk Vault;
- parametrs Vault provider sadaļā Administrēšana → Vispārīgi → Citi ir iestatīts uz "CyberArk Vault".
Zabbix serverim (un Zabbix starpniekserverim, ja tas ir konfigurēts) ir nepieciešama piekļuve Vault secret makro vērtībām no glabātuves. Zabbix lietotāja saskarnei šāda piekļuve nav nepieciešama.
Makro vērtībai jāsatur vaicājums (formātā query:key).
Detalizētu informāciju par makro vērtību apstrādi Zabbix skatiet sadaļā Vault secret macros.
Vaicājuma sintakse
Kola simbols (":") ir rezervēts vaicājuma atdalīšanai no atslēgas.
Ja pats vaicājums satur slīpsvītru vai kolu, šie simboli ir jākodē URL formātā ("/" tiek kodēts kā "%2F", ":" tiek kodēts kā "%3A").
Piemērs
- Zabbix pievienojiet lietotāja makrosu {$PASSWORD} ar tipu Vault secret un vērtību
AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content
- Zabbix nosūtīs uz glabātuvi šādu API pieprasījumu:
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database- Glabātuves atbilde saturēs atslēgu "Content":
{
"Content": <password>,
"UserName": <username>,
"Address": <address>,
"Database" :<Database>,
"PasswordChangeInProcess":<PasswordChangeInProcess>
}- Rezultātā Zabbix atrisinās makrosu {$PASSWORD} uz vērtību - <password>
Esošās konfigurācijas atjaunināšana
Lai atjauninātu esošu konfigurāciju noslēpumu iegūšanai no CyberArk Vault:
-
Atjauniniet Zabbix servera vai starpniekservera konfigurācijas faila parametrus, kā aprakstīts sadaļā Datubāzes akreditācijas dati.
-
Atjauniniet DB savienojuma iestatījumus, pārkonfigurējot Zabbix lietotāja saskarni un norādot nepieciešamos parametrus, kā aprakstīts sadaļā Lietotāja saskarne. Lai pārkonfigurētu Zabbix lietotāja saskarni, atveriet lietotāja saskarnes iestatīšanas URL pārlūkprogrammā:
- Apache gadījumā: http://<server_ip_or_name>/zabbix/setup.php
- Nginx gadījumā: http://<server_ip_or_name>/setup.php
Alternatīvi, šos parametrus var iestatīt lietotāja saskarnes konfigurācijas failā (zabbix.conf.php):
$DB['VAULT'] = 'CyberArk';
$DB['VAULT_URL'] = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN'] = '';
$DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX'] = '';- Ja nepieciešams, konfigurējiet lietotāja makrosus, kā aprakstīts sadaļā Lietotāja makrosu vērtības.
Lai atjauninātu esošu konfigurāciju noslēpumu iegūšanai no HashiCorp Vault, skatiet HashiCorp konfigurācija.