1 Configuración de CyberArk

Esta sección explica cómo configurar Zabbix para recuperar secretos de CyberArk Vault CV12.

La bóveda debe instalarse y configurarse como se describe en la [documentación oficial de CyberArk] (https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/12.1/en/Content/HomeTilesLPs/LP-Tile6.htm?tocpath =Instalación%7C_____0).

Para obtener información sobre cómo configurar TLS en Zabbix, consulte Almacenamiento de secretos.

Credenciales de base de datos

El acceso a un secreto con credenciales de base de datos se configura para cada componente de Zabbix por separado.

Servidor y servidores proxy

Para obtener las credenciales de la base de datos del almacén para Zabbix servidor o proxy, especifique los siguientes parámetros de configuración en el archivo de configuración:

  • Vault: qué proveedor de bóveda se debe utilizar;
  • VaultURL - URL HTTP[S] del servidor de bóveda;
  • VaultDBPath: consulta al secreto de la bóveda que contiene las credenciales de la base de datos que se recuperarán mediante las claves "Contenido" y "Nombre de usuario";
  • VaultTLSCertFile, VaultTLSKeyFile: certificado SSL y nombres de archivos clave; configurar estas opciones no es obligatorio, pero sí muy recomendable;
  • VaultPrefix: prefijo personalizado para la ruta o consulta de la bóveda, según la bóveda; si no se especifica, se utilizará el valor predeterminado más adecuado.

El servidor Zabbix también utiliza los parámetros de configuración Vault, VaultURL, VaultTLSCertFile y VaultTLSKeyFile, y VaultPrefix para la autenticación de la bóveda cuando se procesan macros secretas de la bóveda.

El servidor Zabbix y el proxy Zabbix leen los parámetros de configuración relacionados con la bóveda de los archivos zabbix_server.conf y zabbix_proxy.conf al inicio.

Ejemplo
  1. En zabbix_server.conf, especifique los siguientes parámetros:
Bóveda = CyberArk
       URL de la bóveda=https://127.0.0.1:1858
       VaultDBPath=AppID=zabbix_server&Query=Safe=contraseñaSafe;Object=zabbix_server_database
       VaultTLSCertFile=cert.pem
       VaultTLSKeyFile=clave.pem
       VaultPrefix=/AIMWebService/api/Cuentas?
  1. Zabbix enviará la siguiente solicitud API a la bóveda:
rizo \
       --header "Tipo de contenido: aplicación/json" \
       --cert cert.pem \
       --key clave.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. La respuesta de la bóveda contendrá las claves "Contenido" y "Nombre de usuario":
{
           "Contenido": <contraseña>,
           "Nombre de usuario": <nombre de usuario>,
           "Dirección": <dirección>,
           "Base de datos": <Base de datos>,
           "Cambio de contraseña en proceso":<Cambio de contraseña en proceso>
       }
  1. Como resultado, Zabbix utilizará las siguientes credenciales para la autenticación de la base de datos:
  • Nombre de usuario: <nombre de usuario>
  • Contraseña: <contraseña>

Interfaz

Para obtener las credenciales de la base de datos de la bóveda para la interfaz de Zabbix, especifique los siguientes parámetros durante la [instalación] de la interfaz (/manual/installation/frontend).

  1. En el paso Configurar conexión de base de datos, establezca el parámetro Almacenar credenciales en en "CyberArk Vault".

  1. Luego, complete los parámetros adicionales:
Parámetro Obligatorio Valor predeterminado Descripción
Punto final de API de Vault https://localhost:1858 Especifique la URL para conectarse a la bóveda en el formato scheme://host:port
Prefijo de bóveda no /AIMWebService/api/Accounts? Proporcione un prefijo personalizado para la consulta o ruta de la bóveda. Si no se especifica, se utiliza el valor predeterminado.
Cadena de consulta secreta de Vault Una consulta que especifica desde dónde se deben recuperar las credenciales de la base de datos.
Ejemplo: AppID=foo&Query=Safe=bar;Object=buzz
Certificados de bóveda no Después de marcar la casilla de verificación, aparecerán parámetros adicionales que permitirán configurar la autenticación del cliente. Si bien este parámetro es opcional, se recomienda habilitarlo para la comunicación con CyberArk Vault.
Archivo de certificado SSL no conf/certs/cyberark-cert.pem Ruta al archivo de certificado SSL. El archivo debe estar en formato PEM.
Si el archivo del certificado también contiene la clave privada, deje el parámetro del archivo de clave SSL vacío.
Archivo de clave SSL no conf/certs/cyberark-key.pem Nombre del archivo de clave privada SSL utilizado para la autenticación del cliente. El archivo debe estar en formato PEM.

Valores de macro de usuario

Para utilizar CyberArk Vault para almacenar valores de macro de usuario secretos de Vault, asegúrese de que:

Solo el servidor Zabbix requiere acceso a los valores de macro Vault secret desde la bóveda. Otros componentes de Zabbix (proxy, frontend) no necesitan dicho acceso.

El valor de la macro debe contener una consulta (como consulta:clave).

Consulte Macros secretas de Vault para obtener información detallada sobre el procesamiento de valores de macro por parte de Zabbix.

Sintaxis de consulta

El símbolo de dos puntos (":") está reservado para separar la consulta de la clave.

Si una consulta contiene una barra diagonal o dos puntos, estos símbolos deben estar codificados en URL ("/" está codificado como "%2F", ":" está codificado como "%3A").

Ejemplo

  1. En Zabbix, agregue una macro de usuario {$PASSWORD} de tipo Vault secret y con el valor AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content

  1. Zabbix enviará la siguiente solicitud API a la bóveda:
curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. La respuesta del almacén contendrá la clave "Content":
{
           "Content": <contraseña>,
           "UserName": <nombre de usuario>,
           "Address": <dirección>,
           "Database":<Base de datos>,
           "PasswordChangeInProcess":<Cambio de contraseña en proceso>
       }
  1. Como resultado, Zabbix resolverá la macro {$PASSWORD} al valor - <contraseña>

Actualizar la configuración existente

Para actualizar una configuración existente para recuperar secretos de CyberArk Vault:

  1. Actualice los parámetros del servidor Zabbix o del archivo de configuración del proxy como se describe en la sección Credenciales de base de datos.

  2. Actualice la configuración de la conexión de base de datos reconfigurando la interfaz de Zabbix y especificando los parámetros requeridos como se describe en la sección Frontend. Para reconfigurar la interfaz de Zabbix, abra la URL de configuración de la interfaz en el navegador:

  • para Apache: http://<server_ip_or_name>/zabbix/setup.php
  • para Nginx: http://<server_ip_or_name>/setup.php

Alternativamente, estos parámetros se pueden configurar en el archivo de configuración de frontend (zabbix.conf.php):

$DB['VAULT'] = 'CyberArk';
       $DB['VAULT_URL'] = 'https://127.0.0.1:1858';
       $DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
       $DB['VAULT_TOKEN'] = '';
       $DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
       $DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
       $DB['VAULT_PREFIX'] = '';
  1. Configure las macros de usuario como se describe en la sección Valores de macros de usuario, si es necesario.

Para actualizar una configuración existente para recuperar secretos de HashiCorp Vault, consulte Configuración de HashiCorp.