[comment]: # ({45508041-4ce68864})
# 1 CyberArk конфигурација

Овај одељак објашњава како да конфигуришете Zabbix да преузима тајне из CyberArk Vault CV12.

Трезор треба да буде инсталиран и конфигурисан као што је описано у званичној [CyberArk документацији](https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/12.1/en/Content/HomeTilesLPs/LP-Tile6.htm?tocpath=Installation%7C_____0).

Да бисте сазнали више о конфигурисању TLS-а у Zabbix-у, погледајте [*Складиштење тајни*](/manual/config/secrets).

[comment]: # ({/45508041-4ce68864})

[comment]: # ({4f8deba1-bf4f1f87})
### Креденцијали базе података

Приступ тајни са креденцијалима базе података конфигурише се за сваку Zabbix компоненту посебно.

#### Сервер и проксији

Да бисте добили креденцијале базе података из трезора за Zabbix [сервер](/manual/appendix/config/zabbix_server) или [прокси](/manual/appendix/config/zabbix_proxy), наведите следеће параметре конфигурације у конфигурационој датотеци:

-  `Vault` - који провајдер трезора треба користити;
-  `VaultURL` - HTTP\[S\] URL сервера трезора;
-  `VaultDBPath` - упит за тајну трезора која садржи креденцијале базе података који ће бити преузети помоћу кључева "Content" и "UserName" (ова опција се може користити само ако DBUser и DBPassword нису наведени);
-  `VaultTLSCertFile`, `VaultTLSKeyFile` - имена SSL сертификата и датотека кључева; подешавање ових опција није обавезно, али се топло препоручује;
-  `VaultPrefix` - прилагођени префикс за путању или упит до трезора, у зависности од трезора; ако није наведен, користиће се најприкладнији подразумевани префикс.

:::noteimportant
Параметри конфигурације `Vault`, `VaultURL`, `VaultTLSCertFile`, `VaultTLSKeyFile` и `VaultPrefix` се такође користе за аутентификацију трезора приликом обраде макроа тајног трезора од стране Zabbix сервера (и Zabbix проксија, ако је [конфигурисано](/manual/web_interface/frontend_sections/administration/general#other)). Zabbix сервер и проксији неће отворити макрое тајног трезора који садрже DB креденцијале из VaultDBPath.
:::

Zabbix сервер и Zabbix прокси читају конфигурационе параметре везане за трезор из датотека *zabbix_server.conf* и *zabbix_proxy.conf* приликом покретања.

[comment]: # ({/4f8deba1-bf4f1f87})

[comment]: # ({bc54d843-c8ed5f40})
##### Пример

1. У *zabbix_server.conf*, наведите следеће параметре:

```ini
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?
```

2. Zabbix ће послати следећи API захтев у трезор:

```bash
curl \
--header "Content type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
```

3. Одговор трезора ће садржати кључеве "Content" и "UserName":

```json
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
```

4. Као резултат тога, Zabbix ће користити следеће акредитиве за аутентификацију базе података:

-  Корисничко име: <username>
-  Лозинка: <password>

[comment]: # ({/bc54d843-c8ed5f40})

[comment]: # ({28af0777-f5f1a375})
#### Кориснички интерфејс

Да бисте добили акредитиве базе података из трезора за Zabbix кориснички интерфејс, наведите следеће параметре током инсталације корисничког интерфејса (/manual/installation/frontend).

1. У кораку *Конфигуриши везу са базом података*, подесите параметар *Складиштење акредитива у* на "CyberArk Vault".

![](../../../../assets/en/manual/config/cyberark_setup.png){width="600"}

2. Затим, попуните додатне параметре:

|Parameter|Mandatory|Default value| Description|
|---|-|---|------|
|Крајња тачка API трезора|да|https://localhost:1858|Наведите URL за повезивање са трезором у формату `scheme://host:port`|
|Префикс трезора|не|/AIMWebService/api/Accounts?|Наведите прилагођени префикс за путању или упит трезора. Ако није наведено, користи се подразумевана вредност.|
|Низ тајног упита трезора|да| |Упит који одређује одакле треба преузети акредитиве базе података.<br>Пример: `AppID=foo&Query=Safe=bar;Object=buzz`|
|Сертификати трезора|не| |Након означавања поља за потврду, појавиће се додатни параметри који омогућавају конфигурисање аутентификације клијента. Иако је овај параметар опционалан, препоручује се да га омогућите за комуникацију са CyberArk трезором.|
|Датотека SSL сертификата|не|conf/certs/cyberark-cert.pem|Путања до датотеке SSL сертификата. Датотека мора бити у PEM формату.<br>Ако датотека сертификата такође садржи приватни кључ, оставите параметар датотеке SSL кључа празан.|
|Датотека SSL кључа|не|conf/certs/cyberark-key.pem|Назив датотеке SSL приватног кључа која се користи за аутентификацију клијента. Датотека мора бити у PEM формату.|

[comment]: # ({/28af0777-f5f1a375})

[comment]: # ({2d25ec8c-11bde60a})
### Вредности корисничког макроа

Да бисте користили CyberArk Vault за чување вредности *Вредност тајне* корисничких макроа, уверите се да је:

-  Zabbix сервер [конфигурисан](/manual/config/secrets/cyberark#server_and_proxies) за рад са CyberArk Vault-ом;
-  параметар *Провајдер трезора* у [*Администрација → Опште → Друго*](/manual/web_interface/frontend_sections/administration/general#other) је подешен на "CyberArk Vault".

![](../../../../assets/en/manual/config/provider_cyberark.png)

:::noteclassic
Zabbix сервер (и Zabbix прокси, ако је [конфигурисан](/manual/web_interface/frontend_sections/administration/general#other)) захтевају приступ макро вредностима *Тајна трезора* из трезора.
Zabbix корисничком интерфејсу није потребан такав приступ.
:::

Вредност макроа треба да садржи упит (као `query:key`).

Погледајте [*Макрое за тајне податке трезора*](/manual/config/macros/secret_macros#vault_secret) за детаљне информације о обради вредности макроа од стране Zabbix-а.

[comment]: # ({/2d25ec8c-11bde60a})

[comment]: # ({d8f91274-1b41be0a})
#### Синтакса упита

Симбол двотачка (":") је резервисан за одвајање упита од кључа.

Ако сам упит садржи косу црту или двотачку, ови симболи треба да буду кодирани у УРЛ-у ("/" је кодирано као "%2F", ":" је кодирано као "%3A").

[comment]: # ({/d8f91274-1b41be0a})

[comment]: # ({6ca402c3-423b1929})
#### Пример

1. У Zabbix-у додајте кориснички макро {$PASSWORD} типа *Вредност тајне* и са вредношћу `AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Content`

![](../../../../assets/en/manual/config/cyberark_macro.png)

2. Zabbix ће послати следећи API захтев у трезор:

```bash
curl \
--header "Content type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
```

3. Одговор трезора ће садржати кључ "Садржај":

```json
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
```

4. Као резултат тога, Zabbix ће разрешити макро {$PASSWORD} на вредност - <password>

[comment]: # ({/6ca402c3-423b1929})

[comment]: # ({4f5314a4-f5e60a12})
### Ажурирање постојеће конфигурације

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из CyberArk трезора:

1. Ажурирајте параметре Zabbix сервера или прокси конфигурационе датотеке као што је описано у одељку [*Database credentials*](#database-credentials).

2. Ажурирајте подешавања везе са базом података тако што ћете поново конфигурисати Zabbix кориснички интерфејс и навести потребне параметре као што је описано у одељку [*Frontend*](#frontend).
Да бисте поново конфигурисали Zabbix кориснички интерфејс, отворите URL адресу за подешавање корисничког интерфејса у прегледачу:

- за Apache: http://<server_ip_or_name>/zabbix/setup.php
- за Nginx: http://<server_ip_or_name>/setup.php

Алтернативно, ови параметри се могу подесити у [кориснички интерфејс конфигурационој датотеци](/manual/installation/frontend#install) (*zabbix.conf.php*):

```ini
$DB['VAULT'] = 'CyberArk';
$DB['VAULT_URL'] = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH'] = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN'] = '';
$DB['VAULT_CERT_FILE'] = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE'] = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX'] = '';
```

3. Конфигуришите корисничке макрое као што је описано у одељку [*Вредности корисничких макроа*](#user-macro-values), ако је потребно.

Да бисте ажурирали постојећу конфигурацију за преузимање тајни из HashiCorp трезора, погледајте [*HashiCorp конфигурација*](/manual/config/secrets/hashicorp#update-existing-configuration).

[comment]: # ({/4f5314a4-f5e60a12})