Table of Contents

1 CyberArk конфигурација

1 CyberArk конфигурација

Овај одељак објашњава како да конфигуришете Zabbix да преузима тајне из CyberArk Vault CV12.

Трезор треба да буде инсталиран и конфигурисан као што је описано у званичној CyberArk документацији.

Да бисте сазнали више о конфигурисању TLS-а у Zabbix-у, погледајте Складиштење тајни.

Акредитиви базе података

Приступ тајни са акредитивима базе података је конфигурисан за сваку Zabbix компоненту посебно.

Сервер и проксији

Да бисте добили акредитиве базе података из трезора за Zabbix сервер или прокси, наведите следеће конфигурационе параметре у конфигурационој датотеци:

Vault - који провајдер трезора треба користити;
VaultURL - HTTP[S] URL сервера трезора;
VaultDBPath - упит до тајне трезора која садржи акредитиве базе података који ће бити преузети кључевима "Content" и "UserName";
VaultTLSCertFile, VaultTLSKeyFile - SSL сертификат и називи датотека кључева; постављање ових опција није обавезно, али се препоручује;
VaultPrefix - прилагођени префикс за путању трезора или упит, у зависности од трезора; ако није наведено, користиће се најпогоднија подразумевана вредност.

Zabbix сервер такође користи конфигурационе параметре Vault, VaultURL, VaultTLSCertFile и VaultTLSKeyFile и VaultPrefix за аутентификацију трезора приликом обраде тајних макроа трезора.

Zabbix сервер и Zabbix прокси читају конфигурационе параметре који се односе на трезор из датотека zabbix_server.conf и zabbix_proxy.conf након покретања.

Пример

У zabbix_server.conf, наведите следеће параметре:

Vault=CyberArk
       VaultURL=https://127.0.0.1:1858
       VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
       VaultTLSCertFile=cert.pem
       VaultTLSKeyFile=key.pem
       VaultPrefix=/AIMWebService/api/Accounts?

Zabbix ће послати следећи API захтев у трезор:

curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

Одговор трезора ће садржати кључеве "Content" и "UserName":

{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database": <Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }

Као резултат тога, Zabbix ће користити следеће акредитиве за аутентификацију базе података:

Корисничко име: <username>
Лозинка: <password>

Кориснички интерфејс

Да бисте добили акредитиве базе података из трезора за Zabbix кориснички интерфејс, наведите следеће параметре током кориснички интерфејс инсталација.

У кораку Configure DB Connection, поставите параметар Store credentials in на "CyberArk Vault".

Затим попуните додатне параметре:

Parameter	Mandatory	Default value	Description
Крајња тачка API-ја трезора	да	https://localhost:1858	Наведите URL за повезивање са трезором у формату `scheme://host:port`
Префикс трезора	не	/AIMWebService/api/Accounts?	Наведите прилагођени префикс за путању трезора или упит. Ако није наведено, користи се подразумевана вредност.
Стринг тајног упита трезора	да		Упит који наводи одакле треба преузети акредитиве базе података. Пример: `AppID=foo&Query=Safe=bar;Object=buzz`
Сертификати трезора	не	Након што означите поље за потврду, појавиће се додатни параметри који омогућавају конфигурисање аутентификације клијента. Иако је овај параметар опциони, топло се препоручује да га омогућите за комуникацију са CyberArk трезором.
Датотека SSL сертификата	но	цонф/цертс/циберарк-церт.пем	Путања до датотеке SSL сертификата. Датотека мора бити у PEM формату.<бр>Ако датотека сертификата такође садржи приватни кључ, оставите параметар датотеке SSL кључа празан.
Датотека SSL кључа	но	conf/certs/cyberark-cert.pem	Назив датотеке SSL приватног кључа која се користи за аутентификацију клијента. Датотека мора бити у PEM формату.

Вредности корисничког макроа

Да бисте користили CyberArk Вредност за чување вредности Вредност тајне корисничких макроа, уверите се да:

Zabbix сервер је конфигурисан за рад са CyberArk Vault-ом;
параметар Провајдер трезора у Администрација → Опште → Друго је подешен на "CyberArk Vault".

Само Zabbix сервер захтева приступ Вредност тајне вредностима макроа из трезора. Остале Zabbix компоненте (прокси, кориснички интерфејс) не требају такав приступ.

Вредност макроа треба да садржи упит (као query:key).

Погледајте Vault secret macros за детаљне информације о обради вредности макроа од стране Zabbix-а.

Синтакса упита

Симбол двотачка (":") је резервисан за одвајање упита од кључа.

Ако сам упит садржи косу црту или двотачку, ови симболи треба да буду кодирани у УРЛ-у ("/" је кодирано као "%2F", ":" је кодирано као "%3A").

Пример

У Zabbix-у додајте кориснички макро {$PASSWORD} типа Вредност тајне и са вредношћу AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content

Zabbix ће послати следећи API захтев у трезор:

curl \
       --header "Content type: application/json" \
       --cert cert.pem \
       --key key.pem \
       https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

Одговор трезора ће садржати кључ "Садржај":

{
           "Content": <password>,
           "UserName": <username>,
           "Address": <address>,
           "Database" :<Database>,
           "PasswordChangeInProcess":<PasswordChangeInProcess>
       }

Као резултат тога, Zabbix ће разрешити макро {$PASSWORD} на вредност - <password>

Ажурирајте постојећу конфигурацију

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из CyberArk трезора:

Ажурирајте параметре конфигурационе датотеке Zabbix сервера или проксија као што је описано у одељку акредитиви базе података.
Ажурирајте поставке DB везе тако што ћете поново конфигурисати Zabbix кориснички интерфејс и навести потребне параметре као што је описано у одељку Кориснички интерфејс. Да бисте поново конфигурисали Zabbix кориснички интерфејс, отворите URL за подешавање корисничког интерфејса у прегледачу:

за Apache: http://<server_ip_or_name>/zabbix/setup.php
за Nginx: http://<server_ip_or_name>/setup.php

Алтернативно, ови параметри се могу подесити у конфигурационој датотеци корисничког интерфејса(zabbix.conf.php):

$DB['VAULT']  = 'CyberArk';
       $DB['VAULT_URL']  = 'https://127.0.0.1:1858';
       $DB['VAULT_DB_PATH']  = 'AppID=foo&Query=Safe=bar;Object=buzz';
       $DB['VAULT_TOKEN']  = '';
       $DB['VAULT_CERT_FILE']  = 'conf/certs/cyberark-cert.pem';
       $DB['VAULT_KEY_FILE']  = 'conf/certs/cyberark-key.pem';
       $DB['VAULT_PREFIX']  = '';

Конфигуришите корисничке макрое као што је описано у одељку Вредности макроа корисника, ако је потребно.

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из HashiCorp трезора, погледајте HashiCorp конфигурација.

Documentation

1 CyberArk конфигурација

Акредитиви базе података

Сервер и проксији

Пример

Кориснички интерфејс

Вредности корисничког макроа

Синтакса упита

Пример

Ажурирајте постојећу конфигурацију