韓誥傭痔

Table of Contents

唬棗紳款勳眶喝娶硃釵勳車 HashiCorp

唬棗紳款勳眶喝娶硃釵勳車 HashiCorp

Aquesta secci車 explica com configurar 韓誥傭痔 per recuperar secrets de HashiCorp Vault KV Secrets Engine - versi車 2.

La vault s'ha de desplegar i configurar segons la [documentaci車] oficial de HashiCorp (https://www.vaultproject.io/docs/secrets/kv/kv-v2).

Per obtindre m谷s informaci車 sobre la configuraci車 de TLS a 韓誥傭痔, consulteu la secci車 Emmagatzematge de secrets.

Credencials de Base de dades

L'acc谷s a un secret amb credencials de base de dades es configura per a cada component 韓誥傭痔 per separat.

Servidor i proxys

Per obtindre les credencials de la base de dades del servidor o proxy 韓誥傭痔 des de la vault, especifiqueu els par角metres de configuraci車 seg邦ents al fitxer de configuraci車:

Vault - quin prove?dor de vault s'ha d'emprar.
VaultToken - testimoni d'autenticaci車 de vault (veieu el fitxer de configuraci車 del servidor/proxy 韓誥傭痔 per a m谷s informaci車).
VaultURL` - URL HTTP[S] del servidor de vault.
VaultDBPath - cam赤 al secret de la vault que cont谷 les credencials de la base de dades. El servidor o el proxy 韓誥傭痔 recuperaran les credencials mitjan?ant les claus "mot de pas" i "nom d'usuari".

El servidor 韓誥傭痔 tamb谷 empra aquests par角metres de configuraci車 (excepte VaultDBPath) per a l'autenticaci車 de vault quan es processen macros secretes de vault.

El servidor 韓誥傭痔 i el proxy 韓誥傭痔 llegeixen els par角metres de configuraci車 relacionats amb la vault de zabbix_server.conf i zabbix_proxy.conf en iniciar-se.

El servidor 韓誥傭痔 i el proxy 韓誥傭痔 tamb谷 llegiran la variable d'entorn VAULT_TOKEN una vegada durant l'inici i la desactivaran de manera que no sigui disponible mitjan?ant scripts bifurcats; 谷s un error si tant VaultToken com VAULT_TOKEN contenen valor.

Exemple

Especifiqueu a zabbix_server.conf:

    Vault=HashiCorp
           VaultToken=hvs.CAESIIG_PILmULFYOsEyWHxkZ2mF2a8VPKNLE8eHqd4autYGGh4KHGh2cy5aeTY0NFNSaUp3ZnpWbDF1RUNjUkNTZEg
           VaultURL=https://127.0.0.1:8200
           VaultDBPath=secret/zabbix/database

Executeu les ordres CLI seg邦ents per crear el secret necessari al magatzem de claus:

     # Habiliteu el punt de muntatge "secret/" si encara no 谷s habilitat, tingueu en compte que s'ha d'emprar "kv-v2"
           $ vault secrets enable -path=secret/ kv-v2
       
            # Col﹞loqueu nous secrets amb el nom d'usuari i el mot de pas de les claus al punt de muntatge "secret/" i el cam赤 "secret/zabbix/base de dades"
           $ vault kv put secret/zabbix/database username=zabbix password=<password>
       
           # Valideu que el secret s'ha afegit correctament
           $ vault kv get secret/zabbix/database
       
            # Finalment, proveu amb Curl, tingueu en compte que les "dades" s'han d'afegir manualment despr谷s del punt de muntatge i "/v1" abans del punt de muntatge, veieu tamb谷 el par角metre --capath
       
           $ curl --header "X-Vault-Token: <VaultToken>" https://127.0.0.1:8200/v1/secret/data/zabbix/database

Com a resultat d'aquesta configuraci車, el servidor 韓誥傭痔 recuperar角 les credencials seg邦ents per a l'autenticaci車 de la base de dades:

Username: zabbix
Password: <password>

Tauler

Per obtindre les credencials de la base de dades per a la interf赤cie 韓誥傭痔 des de la caixa de seguretat, especifiqueu la configuraci車 necess角ria durant la [instal﹞laci車] (/manual/installation/frontend) de la interf赤cie.

A la passa Configurar la connexi車 de la base de dades, configureu el par角metre Emgatzemar les credencials a a "HashiCorp Vault".

Tot seguit, empleneu els par角metres addicionals:

捩硃娶角鳥梗喧娶梗	Obligatori	Valor per defecte	嗨梗莽釵娶勳梯釵勳車
Punt final de l'API Vault	莽赤	https://localhost:8200	Especifiqueu l'URL per connectar-vos a la vault amb el format `scheme://host:port`
Cam赤 secret de vault	no		Un cam赤 al secret des d'on es recuperaran les credencials de la base de dades mitjan?ant les claus "mot de pas" i "nom d'usuari" Exemple: `secret/zabbix/database_frontend`
Fitxa d'autenticaci車 de vault	no		Proporcioneu un testimoni d'autenticaci車 per a l'acc谷s de nom谷s lectura al cam赤 secret. Consulteu per obtindre informaci車 sobre com crear fitxes i pol赤tiques de vault.

Valors de macro d'usuari

Per emprar HashiCorp Vault per emmagatzemar els valors de macro d'usuari Vault secret, assegureu-vos que:

El servidor 韓誥傭痔 sigui configurat per treballar amb HashiCorp Vault;
Establiu el par角metre Prove?dor de Vault a la interf赤cie web Administraci車 -> General -> Altres a "Hashi CorpVault" (per defecte).

Nom谷s el servidor de 韓誥傭痔 necessita acc谷s als valors de macro de Vault secret per al vault. Altres components de 韓誥傭痔 (proxy, interf赤cie) no l'han de menester pas.

El valor de la macro ha de contindre una ruta de refer豕ncia (com ara path:key, per exemple, secret/zabbix:password). El token d'autenticaci車 especificat durant la configuraci車 del servidor 韓誥傭痔 (per el par角metre VaultToken) ha de donar acc谷s de nom谷s lectura a la ruta.

Consulteu Macros secretes de Vault per obtindre informaci車 detallada sobre el processament de valors de macro per part de 韓誥傭痔.

Sintaxi de la ruta

Els 莽赤mbols barra inclinada ("/") i dos punts (":") s車n reservats.

Una barra inclinada nom谷s es pot emprar per separar un punt de muntatge d'un cam赤 (per exemple, secret/zabbix on el punt de muntatge 谷s "secret" i "zabbix" 谷s el cam赤) i, en el cas de les macros de Vault, els dos punts nom谷s poden emprar-se per separar una ruta/consulta d'una clau.

?s possible codificar URL "/" i ":" si cal crear un punt de muntatge amb el nom separat per una barra inclinada (per exemple, foo/bar/zabbix, on el punt de muntatge 谷s " foo/bar" i el cam赤谷s "zabbix", com "foo%2Fbar/zabbix") i si el nom del punt de muntatge o el cam赤 ha de contindre dos punts.

Exemple

A 韓誥傭痔: afegiu la macro d'usuari {$PASSWORD} amb el tipus "Vault secret" i el valor secret/zabbix:password

Executeu les ordres CLI seg邦ents per crear el secret necessari al magatzem:

     # Habiliteu el punt de muntatge "secret/" si encara no 谷s habilitat, tingueu en compte que s'ha d'emprar "kv-v2"
           vault secrets enable -path=secret/ kv-v2
       
            # Poseu un nou secret amb el mot de pas de la clau sota el punt de muntatge "secret/" i el cam赤 "secret/zabbix"
           vault kv put secret/zabbix password=<password>
       
            # Comproveu que el secret s'ha afegit correctament
           vault kv get secret/zabbix
       
            # Finalment, proveu amb Curl, tingueu en compte que les "dades" s'han d'afegir manualment despr谷s del punt de muntatge i "/v1" abans del punt de muntatge, veieu tamb谷 el par角metre --capath
           curl --header "X-Vault-Token: <VaultToken>" https://127.0.0.1:8200/v1/secret/data/zabbix

Ara la macro {$PASSWORD} es resoldr角 amb el valor: <password>

Actualitza la configuraci車 existent

Per actualitzar una configuraci車 existent per recuperar secrets d'un HashiCorp Vault:

Actualitzeu els par角metres del fitxer de configuraci車 del servidor 韓誥傭痔 o del proxy tal com es descriu a la secci車 Credencials de la base de dades.
Actualitzeu la configuraci車 de la connexi車 a la base de dades reconfigurant la interf赤cie 韓誥傭痔 i especificant els par角metres necessaris tal com es descriu a la secci車 梆紳喧梗娶款赤釵勳梗. Per reconfigurar la interf赤cie de 韓誥傭痔, obriu l'URL de configuraci車 de la interf赤cie al navegador:

per a Apache: http://<server_ip_or_name>/zabbix/setup.php
per a Nginx: http://<server_ip_or_name>/setup.php

Com a alternativa, aquests par角metres es poden establir al fitxer de configuraci車 del front-end (zabbix.conf.php):

$DB['VAULT'] = 'HashiCorp';
       $DB['VAULT_URL'] = 'https://localhost:8200';
       $DB['VAULT_DB_PATH'] = 'secret/zabbix/base de dades';
       $DB['VAULT_TOKEN'] = '<mytoken>';
       $DB['VAULT_CERT_FILE'] = '';
       $DB['VAULT_KEY_FILE'] = '';

Configureu les macros d'usuari tal com es descriu a la secci車 Valors de macro d'usuari, si cal.

Per actualitzar una configuraci車 existent per recuperar secrets d'una Vault de CyberArk Vault, consulteu CyberArk configuration.