Esta sección explica cómo configurar Zabbix para recuperar secretos de CyberArk Vault CV12.
La bóveda debe instalarse y configurarse como se describe en la [documentación oficial de CyberArk] (https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/12.1/en/Content/HomeTilesLPs/LP-Tile6.htm?tocpath =Instalación%7C_____0).
Para obtener información sobre cómo configurar TLS en Zabbix, consulte Almacenamiento de secretos.
El acceso a un secreto con credenciales de base de datos se configura para cada componente de Zabbix por separado.
Para obtener las credenciales de la base de datos del almacén para Zabbix servidor o proxy, especifique los siguientes parámetros de configuración en el archivo de configuración:
Vault
: qué proveedor de bóveda se debe utilizar;VaultURL
- URL HTTP[S] del servidor de bóveda;VaultDBPath
: consulta al secreto de la bóveda que contiene las credenciales de la base de datos que se recuperarán mediante las claves "Contenido" y "Nombre de usuario";VaultTLSCertFile
, VaultTLSKeyFile
: certificado SSL y nombres de archivos clave; configurar estas opciones no es obligatorio, pero sí muy recomendable;VaultPrefix
: prefijo personalizado para la ruta o consulta de la bóveda, según la bóveda; si no se especifica, se utilizará el valor predeterminado más adecuado.El servidor Zabbix también utiliza los parámetros de configuración Vault
, VaultURL
, VaultTLSCertFile
y VaultTLSKeyFile
, y VaultPrefix
para la autenticación de la bóveda cuando se procesan macros secretas de la bóveda.
El servidor Zabbix y el proxy Zabbix leen los parámetros de configuración relacionados con la bóveda de los archivos zabbix_server.conf y zabbix_proxy.conf al inicio.
Bóveda = CyberArk
URL de la bóveda=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=contraseñaSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=clave.pem
VaultPrefix=/AIMWebService/api/Cuentas?
rizo \
--header "Tipo de contenido: aplicación/json" \
--cert cert.pem \
--key clave.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
{
"Contenido": <contraseña>,
"Nombre de usuario": <nombre de usuario>,
"Dirección": <dirección>,
"Base de datos": <Base de datos>,
"Cambio de contraseña en proceso":<Cambio de contraseña en proceso>
}
Para obtener las credenciales de la base de datos de la bóveda para la interfaz de Zabbix, especifique los siguientes parámetros durante la [instalación] de la interfaz (/manual/installation/frontend).
Parámetro | Obligatorio | Valor predeterminado | Descripción |
---|---|---|---|
Punto final de API de Vault | sí | https://localhost:1858 | Especifique la URL para conectarse a la bóveda en el formato scheme://host:port |
Prefijo de bóveda | no | /AIMWebService/api/Accounts? | Proporcione un prefijo personalizado para la consulta o ruta de la bóveda. Si no se especifica, se utiliza el valor predeterminado. |
Cadena de consulta secreta de Vault | sí | Una consulta que especifica desde dónde se deben recuperar las credenciales de la base de datos. Ejemplo: AppID=foo&Query=Safe=bar;Object=buzz |
|
Certificados de bóveda | no | Después de marcar la casilla de verificación, aparecerán parámetros adicionales que permitirán configurar la autenticación del cliente. Si bien este parámetro es opcional, se recomienda habilitarlo para la comunicación con CyberArk Vault. | |
Archivo de certificado SSL | no | conf/certs/cyberark-cert.pem | Ruta al archivo de certificado SSL. El archivo debe estar en formato PEM. Si el archivo del certificado también contiene la clave privada, deje el parámetro del archivo de clave SSL vacío. |
Archivo de clave SSL | no | conf/certs/cyberark-key.pem | Nombre del archivo de clave privada SSL utilizado para la autenticación del cliente. El archivo debe estar en formato PEM. |
Para utilizar CyberArk Vault para almacenar valores de macro de usuario secretos de Vault, asegúrese de que:
Solo el servidor Zabbix requiere acceso a los valores de macro Vault secret desde la bóveda. Otros componentes de Zabbix (proxy, frontend) no necesitan dicho acceso.
El valor de la macro debe contener una consulta (como consulta:clave
).
Consulte Macros secretas de Vault para obtener información detallada sobre el procesamiento de valores de macro por parte de Zabbix.
El símbolo de dos puntos (":") está reservado para separar la consulta de la clave.
Si una consulta contiene una barra diagonal o dos puntos, estos símbolos deben estar codificados en URL ("/" está codificado como "%2F", ":" está codificado como "%3A").
AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content
curl \
--header "Content type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
{
"Content": <contraseña>,
"UserName": <nombre de usuario>,
"Address": <dirección>,
"Database":<Base de datos>,
"PasswordChangeInProcess":<Cambio de contraseña en proceso>
}
Para actualizar una configuración existente para recuperar secretos de CyberArk Vault:
Actualice los parámetros del servidor Zabbix o del archivo de configuración del proxy como se describe en la sección Credenciales de base de datos.
Actualice la configuración de la conexión de base de datos reconfigurando la interfaz de Zabbix y especificando los parámetros requeridos como se describe en la sección Frontend. Para reconfigurar la interfaz de Zabbix, abra la URL de configuración de la interfaz en el navegador:
Alternativamente, estos parámetros se pueden configurar en el archivo de configuración de frontend (zabbix.conf.php):
$DB['VAULT'] = 'CyberArk';
$DB['VAULT_URL'] = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN'] = '';
$DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX'] = '';
Para actualizar una configuración existente para recuperar secretos de HashiCorp Vault, consulte Configuración de HashiCorp.