[comment]: # translation:outdated

[comment]: # ({45508041-4ce68864})
# 1 Configurazione di CyberArk

Questa sezione spiega come configurare Zabbix per recuperare i segreti da CyberArk Vault CV12.

Il vault deve essere installato e configurato come descritto nella [documentazione ufficiale di CyberArk](https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/12.1/en/Content/HomeTilesLPs/LP-Tile6.htm?tocpath=Installation%7C_____0).

Per informazioni sulla configurazione di TLS in Zabbix, vedere [*Archiviazione dei segreti*](/manual/config/secrets#tls-configuration).

[comment]: # ({/45508041-4ce68864})

[comment]: # ({4f8deba1-bf4f1f87})
### Credenziali del database

L'accesso a un secret con le credenziali del database viene configurato separatamente per ciascun componente di Zabbix.

#### Server e proxy

Per ottenere le credenziali del database dal vault per Zabbix [server](/manual/appendix/config/zabbix_server) o [proxy](/manual/appendix/config/zabbix_proxy), specificare i seguenti parametri di configurazione nel file di configurazione:

-   `Vault` - quale provider vault deve essere utilizzato;
-   `VaultURL` - URL HTTP\[S\] del server vault;
-   `VaultDBPath` - query al secret del vault contenente le credenziali del database, che verranno recuperate tramite le chiavi "Content" e "UserName" (questa opzione può essere utilizzata solo se DBUser e DBPassword non sono specificati);
-   `VaultTLSCertFile`, `VaultTLSKeyFile` - nomi dei file del certificato e della chiave SSL; la configurazione di queste opzioni non è obbligatoria, ma è fortemente consigliata;
-   `VaultPrefix` - prefisso personalizzato per il percorso o la query del vault, a seconda del vault; se non specificato, verrà utilizzato il valore predefinito più adatto.

:::noteimportant
I parametri di configurazione `Vault`, `VaultURL`, `VaultTLSCertFile`, `VaultTLSKeyFile` e `VaultPrefix` vengono utilizzati anche per l'autenticazione al vault durante l'elaborazione delle macro del vault segreto da parte di Zabbix server (e di Zabbix proxy, se [configurato](/manual/web_interface/frontend_sections/administration/general#other)). Zabbix server e i proxy non apriranno le macro del secret del vault che contengono credenziali DB da VaultDBPath.
:::

Zabbix server e Zabbix proxy leggono i parametri di configurazione relativi al vault dai file *zabbix_server.conf* e *zabbix_proxy.conf* all'avvio.

[comment]: # ({/4f8deba1-bf4f1f87})

[comment]: # ({bc54d843-c8ed5f40})
##### Esempio

1. In *zabbix_server.conf*, specificare i seguenti parametri:

```ini
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?
```

2. Zabbix invierà la seguente richiesta API al vault:

```bash
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
```

3. La risposta del vault conterrà le chiavi "Content" e "UserName":

```json
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
```

4. Di conseguenza, Zabbix utilizzerà le seguenti credenziali per l'autenticazione al database:

-   Nome utente: <username>
-   Password: <password>

[comment]: # ({/bc54d843-c8ed5f40})

[comment]: # ({28af0777-f5f1a375})
#### Frontend

Per ottenere le credenziali del database dal vault per il frontend di Zabbix, specificare i seguenti parametri durante l'[installazione](/manual/installation/frontend) del frontend.

1. Nel passaggio *Configure DB Connection*, impostare il parametro *Store credentials in* su "CyberArk Vault".

![](../../../../assets/en/manual/config/cyberark_setup.png){width="600"}

2. Quindi, compilare i parametri aggiuntivi:

|Parametro|Obbligatorio|Valore predefinito|Descrizione|
|---|-|---|------|
|Endpoint API del vault|sì|https://localhost:1858|Specificare l'URL per la connessione al vault nel formato `scheme://host:port`|
|Prefisso del vault|no|/AIMWebService/api/Accounts?|Fornire un prefisso personalizzato per il percorso o la query del vault. Se non specificato, viene utilizzato quello predefinito.|
|Stringa di query del segreto del vault|sì| |Una query che specifica da dove devono essere recuperate le credenziali del database.<br>Esempio: `AppID=foo&Query=Safe=bar;Object=buzz`|
|Certificati del vault|no| |Dopo aver selezionato la casella di controllo, verranno visualizzati parametri aggiuntivi che consentono di configurare l'autenticazione del client. Sebbene questo parametro sia facoltativo, è altamente consigliato abilitarlo per la comunicazione con il CyberArk Vault.|
|File del certificato SSL|no|conf/certs/cyberark-cert.pem|Percorso del file del certificato SSL. Il file deve essere in formato PEM.<br>Se il file del certificato contiene anche la chiave privata, lasciare vuoto il parametro del file della chiave SSL.|
|File della chiave SSL|no|conf/certs/cyberark-key.pem|Nome del file della chiave privata SSL utilizzato per l'autenticazione del client. Il file deve essere in formato PEM.|

[comment]: # ({/28af0777-f5f1a375})

[comment]: # ({dcf47002-11bde60a})
### Valori delle macro utente

Per utilizzare CyberArk Vault per memorizzare i valori delle macro utente *Vault secret*, assicurarsi che:

-   Zabbix server sia [configurato](/manual/config/secrets/cyberark#server-and-proxies) per funzionare con CyberArk Vault;
-   il parametro *Vault provider* in [*Amministrazione → Generale → Altro*](/manual/web_interface/frontend_sections/administration/general#other) sia impostato su "CyberArk Vault".

![](../../../../assets/en/manual/config/provider_cyberark.png)

:::noteclassic
Zabbix server (e Zabbix proxy, se [configurato](/manual/web_interface/frontend_sections/administration/general#other)) richiedono l'accesso ai valori delle macro *Vault secret* dal vault.
Zabbix frontend non necessita di tale accesso.
:::

Il valore della macro deve contenere una query (come `query:key`).

Per informazioni dettagliate sull'elaborazione dei valori delle macro da parte di Zabbix, vedere [*Macro Vault secret*](/manual/config/macros/secret_macros#vault-secret).

[comment]: # ({/dcf47002-11bde60a})

[comment]: # ({d8f91274-1b41be0a})
#### Sintassi della query

Il simbolo dei due punti (":") è riservato per separare la query dalla chiave.

Se una query contiene a sua volta una barra obliqua o i due punti, questi simboli devono essere codificati tramite URL ("/" viene codificato come "%2F", ":" viene codificato come "%3A").

[comment]: # ({/d8f91274-1b41be0a})

[comment]: # ({6ca402c3-423b1929})
#### Esempio

1. In Zabbix, aggiungere una macro utente {$PASSWORD} di tipo *Vault secret* con il valore `AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content`

![](../../../../assets/en/manual/config/cyberark_macro.png)

2. Zabbix invierà al vault la seguente richiesta API:

```bash
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
```

3. La risposta del vault conterrà la chiave "Content":

```json
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
```

4. Di conseguenza, Zabbix risolverà la macro {$PASSWORD} nel valore - <password>

[comment]: # ({/6ca402c3-423b1929})

[comment]: # ({4f5314a4-f5e60a12})
### Aggiornare una configurazione esistente

Per aggiornare una configurazione esistente per il recupero dei segreti da un Vault CyberArk:

1. Aggiornare i parametri del file di configurazione del server o del proxy Zabbix come descritto nella sezione [*Credenziali del database*](#database-credentials).

2. Aggiornare le impostazioni di connessione al DB riconfigurando il frontend Zabbix e specificando i parametri richiesti come descritto nella sezione [*Frontend*](#frontend).
Per riconfigurare il frontend Zabbix, aprire nel browser l'URL di configurazione del frontend:

-   per Apache: http://<server_ip_or_name>/zabbix/setup.php
-   per Nginx: http://<server_ip_or_name>/setup.php

In alternativa, questi parametri possono essere impostati nel [file di configurazione del frontend](/manual/installation/frontend#install) (*zabbix.conf.php*):

```ini
$DB['VAULT']                    = 'CyberArk';
$DB['VAULT_URL']                = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH']            = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN']              = '';
$DB['VAULT_CERT_FILE']          = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE']           = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX']             = '';
```

3. Configurare le macro utente come descritto nella sezione [*Valori delle macro utente*](#user-macro-values), se necessario.

Per aggiornare una configurazione esistente per il recupero dei segreti da un Vault HashiCorp, vedere [*Configurazione HashiCorp*](/manual/config/secrets/hashicorp#update-existing-configuration).

[comment]: # ({/4f5314a4-f5e60a12})