[comment]: # ({b388e3c9-4ce68864}) # Configuració de CyberArk En aquesta secció s'explica com configurar Zabbix per recuperar secrets de CyberArk Vault CV12. El vault s'ha d'instal·lar i configurar segons la [documentació] oficial de CyberArk (https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/12.1/en/Content/HomeTilesLPs/LP-Tile6.htm?tocpath= Instal·lació%7C_____0). Per obtindre informació sobre la configuració de TLS a Zabbix, consulteu la secció [Emmagatzematge de secrets](/manual/config/secrets). [comment]: # ({/b388e3c9-4ce68864}) [comment]: # ({259af70d-bf4f1f87}) ### Credencials de Base de dades L'accés a un secret amb credencials de base de dades es configura per a cada component Zabbix per separat. #### Servidor i proxys Per obtindre les credencials de la base de dades del [servidor](/manual/appendix/config/zabbix_server) o [proxy](/manual/appendix/config/zabbix_proxy) Zabbix des de la caixa de seguretat, especifiqueu els paràmetres de configuració següents al fitxer de configuració: - *Vault* - quin proveïdor de vault s'ha d'emprar. - *VaultURL* - URL HTTP\[S\] del servidor de vault. - *VaultDBPath* - consulta al secret de la caixa forta que conté les credencials de la base de dades. Les credencials es recuperaran mitjançant les claus "Contingut" i "Nom d'usuari". - *VaultTLSCertFile*, *VaultTLSKeyFile* - Noms dels fitxers de clau i certificat SSL. Configurar aquestes opcions no és obligatori, però molt recomanable. :::noteimportant El servidor Zabbix també empra aquests paràmetres de configuració (excepte VaultDBPath) per a l'autenticació de vault quan es processen macros secretes de vault. ::: El servidor Zabbix i el proxy Zabbix llegeixen els paràmetres de configuració relacionats amb la vault de zabbix_server.conf i zabbix_proxy.conf en iniciar-se. [comment]: # ({/259af70d-bf4f1f87}) [comment]: # ({594e5317-c8ed5f40}) **Exemple** Especificar a zabbix_server.conf: Vault=CyberArk VaultURL=https://127.0.0.1:1858 VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database VaultTLSCertFile=cert.pem VaultTLSKeyFile=key.pem Zabbix enviarà aquesta petició API al vault: $ curl \ --header "Content type: application/json" \ --cert cert.pem \ --key key.pem \ https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database Resposta del vault, de quines claus "Content" i "UserName" s'han de recuperar: { "Content": , "UserName": , "Address":
, "Database" :, "PasswordChangeInProcess": } Finalment, Zabbix emprarà les credencials següents per autenticar-se a la base de dades: - Username: - Password: [comment]: # ({/594e5317-c8ed5f40}) [comment]: # ({34046c4c-f5f1a375}) #### Tauler Per obtindre les credencials de la base de dades per a la interfície Zabbix des de la caixa de seguretat, especifiqueu la configuració necessària durant la [instal·lació] de l'interfície (/manual/installation/frontend). A l pasA *Configurar la connexió de la base de dades*, configureu el paràmetre *Emgatzemar les credencials a* a CyberArk Vault. ![](../../../../assets/en/manual/config/cyberark_setup.png) Tot seguit, empleneu els paràmetres addicionals: |Paràmetre|Obligatori|Valor per defecte| Descripció| |--|-|--|--------| |Punt final de l'API Vault | sí | https://localhost:1858 | Especifiqueu l'URL per connectar-vos a la vault amb el format `scheme://host:port` | |Cadena de consulta secreta de Vault | sí | | Una consulta que especifica d'on s'han de recuperar les credencials de la base de dades.
**Exemple:** `AppID=foo&Query=Safe=bar;Object=buzz:key` | |Certificats de vault | no | |Després de marcar la casella de selecció, apareixeran paràmetres addicionals que permetran configurar l'autenticació del client.
Tot i que aquest paràmetre és opcional, és molt recomanable habilitar-lo per a la comunicació amb CyberArk Vault. | |Fitxer de certificat SSL | no | conf/certs/cyberark-cert.pem | Camí al fitxer del certificat SSL. El fitxer ha de ser en format PEM.
Si el fitxer de certificat també conté la clau privada, deixeu el paràmetre del fitxer de clau SSL buit. | |Fitxer de clau SSL |no | conf/certs/cyberark-key.pem |Nom del fitxer de clau privada SSL emprat per a l'autenticació del client. El fitxer ha de ser en format PEM.| [comment]: # ({/34046c4c-f5f1a375}) [comment]: # ({8a3a00f5-11bde60a}) ### Valors de macro d'usuari Per emprar CyberArk Vault per emmagatzemar els valors de macro d'usuari *Vault secret*: - Establiu el paràmetre *Proveïdor de Vault* a la interfície web *Administració -> General -> Altres* [secció](/manual/web_interface/frontend_sections/administration/general#other-parameters) a CyberArk Vault. ![](../../../../assets/en/manual/config/provider_cyberark.png) - Assegureu-vos que el servidor Zabbix sigui [configurat](/manual/config/secrets/cyberark#server_and_proxies) per treballar amb CyberArk Vault. El valor de la macro ha de contindre una consulta (com a "consulta:clau"). Consulteu [Macros secretes de Vault](/manual/config/macros/secret_macros#vault_secret) per obtindre informació detallada sobre el processament de valors de macro per part de Zabbix. [comment]: # ({/8a3a00f5-11bde60a}) [comment]: # ({d8f91274-1b41be0a}) #### Sintaxi de la consulta El símbol de dos punts (`:`) es reserva per separar la consulta de la clau. Si una consulta conté una barra inclinada o dos punts, aquests símbols haurien de ser codificats per URL (`/` es codifica com a `%2F`, `:` es codifica com a `%3A`). [comment]: # ({/d8f91274-1b41be0a}) [comment]: # ({71cb2731-423b1929}) **Exemple** 1. A Zabbix: afegiu la macro d'usuari {$PASSWORD} amb el tipus *Vault secret* i el valor: `AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content` ![](../../../../assets/en/manual/config/cyberark_macro.png) 2. Zabbix enviarà una petició d'API a la vault: ```bash $ curl \ --header "Content type: application/json" \ --cert cert.pem \ --key key.pem \ https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database ``` 3. Resposta de Vault, de la qual s'ha de recuperar la clau "Content": ```json { "Content": , "UserName": , "Address":
, "Database" :, "PasswordChangeInProcess": } ``` 4. Com a resultat, Zabbix resoldrà la macro {$PASSWORD} amb el valor - [comment]: # ({/71cb2731-423b1929}) [comment]: # ({57ea6440-76721e71}) ### Actualitzar la configuració existent Per actualitzar una configuració existent per recuperar secrets d'un CyberArk Vault: 1. Actualitzeu els paràmetres del fitxer de configuració del servidor Zabbix o del proxy tal com es descriu a la secció [*Credencials de la base de dades*](#database-credentials). 2. Actualitzeu la configuració de la connexió a la base de dades reconfigurant la interfície Zabbix i especificant els paràmetres necessaris tal com es descriu a la secció [*Interfície*](#frontend). Per reconfigurar la interfície de Zabbix, obriu l'URL de configuració de la interfície al navegador: - per a Apache: http:///zabbix/setup.php - per a Nginx: http:///setup.php Com a alternativa, aquests paràmetres es poden establir al [fitxer de configuració del front-end](/manual/installation/frontend#install) (*zabbix.conf.php*): ```ini $DB['VAULT'] = 'CyberArk'; $DB['VAULT_URL'] = 'https://127.0.0.1:1858'; $DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz'; $DB['VAULT_TOKEN'] = ''; $DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem'; $DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem'; ``` 3. Configureu les macros d'usuari tal com es descriu a la secció [*Valors de macro d'usuari*](#frontend), si cal. Per actualitzar una configuració existent per recuperar secrets d'una Vault de HashiCorp, consulteu [*Configuració de HashiCorp*](/manual/config/secrets/hashicorp#update-existing-configuration). [comment]: # ({/57ea6440-76721e71})