最新的帖子

Cyber​​ Ark PAS集成(LDAP,NTP,SMTP,SIEM,SNMP,备份)

这篇文章是描述与其他企业软件集成Cyber​​Ark的配置,
即:
  • LDAP.
  • SMTP.
  • SNMP. 陷阱
  • 暹粒/ syslog.
  • NTP.
  • 其他企业软件


LDAP. 集成




BindUsername和BindPassword是您输入时与LDAP集成Cyber​​Ark时输入的。如果出于某种原因,您遇到了创建新映射的问题,通常有绑定帐户存在问题。您可以从以下配置位置修改用户名/密码:
   


注意:一旦您的Cyber​​ark与LDAP集成,LDAP集成向导将灰色。要重新激活LDAP集成向导,您需要删除管理 - LDAP Integration - 服务器配置(例如,51Sectest.com)。还删除了从PrivateArk客户端映射的LDAP目录映射。


NTP.

注意:时间同步在Cyber​​ark PAS架构中是至关重要的。即使是在实现Cyber​​ark Cluster Vault管理解决方案时也是如此。在以下练习中,我们将使用外部时间源集成群集保管库的两个节点。

1.以管理员身份登录群集的被动节点。
一种。使用Windows文件资源管理器导航到'C:\ Program Files(x86)\ privateark \ server \ conf'。
2.编辑DBParm.ini文件将以下行添加到文件的末尾。这将创建入站和出站防火墙规则,允许vault与NTP服务器进行通信。
[ntp]
allownonstandardfwwaddresses = [10.0.0.2],是的,123:出站/ UDP,123:Inbound / UDP

3.使用Windows Services applet启用Windows时间服务。
4.双击“Windows Time”以显示服务属性。
5.将启动类型更新为自动(延迟开始),然后单击“确定”。
6.启动Windows时间服务。
7.在继续之前,在群集中的活动节点上重复上述过程。
8.要提交对DBParm.ini文件所做的更改,我们必须重新启动PrivateArk服务器服务。
注意:在HA Cluster Vault实现中,您无法再通过正常接口启动和停止Cyber​​Ark服务。必须使用ClusterVault Management或CVM接口重新启动服务。要重新启动服务,我们将简单地故障转移到被动节点以提交更改。
9.确保您登录到群集的活动节点。打开CVM以确定活动和无源节点。只有活动节点能够手动执行故障转移过程。
10.在活动节点上打开CVM,然后单击“中央”图标,使用相对的箭头启动故障转移过程。
11.单击“继续”以确认交换机
一种。遵守CVM中的故障转移进度或可选择监视“C:\ Program Files(x86)\ privateark \ server \ clustrvault \ clustervaultConsole.log”
湾日志将显示故障转移序列。
12.接下来,我们需要设置一个特殊的时间偏斜,以便,如果时钟非常远,则Vault不会立即产生太大的系统时间。这将迫使NTP服务每30分钟更改每30分钟,然后每8小时一次。这可以防止触发Vault中的防篡改保护,可以通过创建现有审核条目之前发生的新审计条目来激活。
13.确保您正在使用活动节点。
14.打开Regedit。浏览到HKLM \ System \ CurrentControlset \ Services \ W32Time \参数。
15.添加新的DWORD并命名为“句点”。
一种。双击它并将基数更改为小数,并使值数据“65532”。
湾关闭注册表编辑器。
16.打开“管理”命令提示符并运行以下命令:
W32TM / config / manualpeerlist:10.0.0.2 / syncfromflags:手动/可靠:是/更新
17.故障转移到被动节点。完成故障转移时,请登录活动节点。
在群集保管库的活动节点上完成步骤13 - 17。
18. Vault群集的两个节点现在都同步到外部NTP时间源。


SMTP. 通知

在与SMTP服务器集成之前,您需要先确定一步。第一件事是确保ENE服务已启动并运行。第二件事是确保您的内置管理员用户有商业电子邮件地址与之关联。
  1. 以管理员用户身份登录Privateark管理客户端。
  2. 确保将在其用户属性中指定发出ENE通知的用户的业务电子邮件地址。此用户必须属于保险库管理员团体。默认情况下,这是行政人员 用户。








暹粒集成/ syslog

重命名其中一个示例翻译文件
•转换文件将Cyber​​Ark Logging格式转换为SIEM日志记录格式
•这五个文件将涵盖最常用的SIEM系统
•ArcSight Translator文件与Splunk和其他文件一起使用
将syslog配置添加到dbparm.ini

C:\ Program Files(x86)\ privateark \ server \ conf \ dbparm.ini

[主要的]
taskscount = 20.
dateformat = dd.mm.yy.
timeformat = hh:mm:ss
ResidentDelay = 10.
baseport = 1858
Logretention = 7.
lockTimeout = 30.
Daysforautoclear = 30.
StaysPicturesDistribution =从不
Clocksynctolererance = 600.
tracearchivemaxsize = 5120.
VaultVentNotifications = notifyonnewrequest,notifyonRejectRequest,NotifyOnConfirmRequestByAll,NotifyOncElteRequest
Recoverypubkey = C:\ keys \ operator \ recpub.key
serverkey = c:\ keys \运算符\ server.key
stopetareadirectory = c:\ privateark \ stoporearea
entropyfile = c:\ privateark \ sufes \ entropy.rnd
DatabaseConneationPasswordFile = C:\ keys \ Operator \ VaultUser.pass
ServerCertificateFile = C:\ keys \运算符\ server.pem
serverprivatekey = c:\ keys \运算符\ server.pvk
*允许Virussafefiletypes= Doc,Dot,XLS,XLT,EPS,BMP,GIF,TGA,TIF,TIFF,LOG,TXT,PAL ,,,,,,,
autoclearsafehistory =是的,1,1,2
autoclearuserhistory =是的,1,3,4
AutoSynceXternalObjects =是,1,23,24
debuglevel = pe(1),perf(1,2)
VaultiD = 3EFD1EB0-7012-11E9-8329-63FD6B776400
defaulttimeout = 30.
pooledsockettimeout = 600.
RecoveryPRVKEY = D:\ RECPRV.KEY
EnablePredefinedUsers = All.
自动addbuilting roups ="备份用户,用户,运营商,审计师,通知引擎"
牌照= 85,90,99
MaxTasksallocation = 8(CPM,AIMAPP,APPPRV):7-23,16(CPM,AIMAPP,APPPRV):23-7,1(PTaApp)
allownonstandardfwwaddresses = [17.23.1.5],是的,3389:出境/ UDP,3389:入境/ UDP
allownonstandardfwwaddresses = [17.23.1.5],是的,3389:出口/ TCP,3389:入境/ TCP
allownonstandardfwwaddresses = [17.23.1.2],是的,514:出站/ UDP,514:入站/ UDP
allownonstandardfwwaddresses = [17.23.1.4],是的,514:出站/ UDP,514:入站/ UDP
allownonstandardfwaddresses = [17.21.1.6],是的,25:出站/ TCP
allownonstandardfwwaddresses = [10.1.4.1],是的,25:出站/ TCP
ComponentNotificationThreshold = PIMProvider,是的,30,1440; AppProvider,是的,30,1440; OPMProvider,是,30,1440; CPM,是,720,1440; PVWA,是,90,1440; PSM,是,30,1440; DCAUSER,是的,60,2880; SFE,是的,10,2880; FTP,是的,60,2880; ENE,是的,60,360
UserLockOutiodinInminutes = -1
maskuserissuspendedmessage = no.
terminateDerrorcodes = 2003.
[备份]
backupkey = c:\ keys \运算符\ backup.key
[Crypto]
symcipheralg = aes-256
AsymCiviatalg = RSA-2048
[syslog]
syslogtranslatorfile = syslog \ arcsight.xsl
syslogserverport = 514
* syslogtranslatorfile = syslog \ arcsight.xsl,syslog \ pta.xsl
* syslogserverport = 514,11514
syslogserverip = 172.23.1.22,172.23.1.34
* syslogserverProtocol = TCP,UDP
syslogserverprotocol = udp.
syslogmessageCodefilter = 0-999
syslogsendbomprefix = no.
Uselegacysyslogformat = No.
sendMonitoringMessage = No.

•重新启动PrivateArk服务器服务。
•使用Windows Services applet重新启动,以确保服务依赖项成功重新启动。

SNMP.


使用以下信息配置Paragent.ini:
•Snmphostip将发送SNMP陷阱的远程计算机的IP地址。
•SNMPTRAPPORT将通过该端口发送到远程计算机的SNMP陷阱。
•SNMPCommunity SNMP陷阱起源的位置的名称。



•重新启动Privateark Remote Control Agent服务以读取成交的更改。
•请检查SNMP控制台的管理员,以确保发送的SNMP消息是
收到并是可读的。

保险库备份步骤


步骤1:Vault Backup Utility(Pareplate.exe)在Vault的元数据备份文件夹中生成元数据备份,然后将数据文件夹的内容导出到安装备用实用程序的计算机上的Metadata Backup文件夹的内容。
步骤2:复制过程完成后,外部备份应用程序将复制复制数据文件夹和元数据文件夹中的所有文件。
在外部备份应用程序复制所有文件后,将复制的文件保存在备份实用程序上。下次将备份实用程序运行到同一位置时,它将仅更新修改后的文件并减少复制的时间。

CMD备份


脚本:

@echo off
cd "C:\ Program Files(x86)\ privateark \复制"
echo%date %% time%tase任务开始>replictbatch.log.
echo user =%用户名%,path =%path%>>replictbatch.log.
Pareplate.exe Vault.ini / logonfromfile user.ini / fullbackup 1>>ReplickBatch.log 2.>>replictbatch.err.
echo%date %% time%任务结束>>replictbatch.log.

预定的工作:
  • runas本地系统(使用最高权限设置)
  • 程序/脚本:"C:\ Program Files(x86)\ privateark \ replicate \ pareplate.exe"
  • 添加参数:Vault.ini / logonfromfile user.ini / fullbackup
  • 开始:C:\ Program Files(x86)\ privateark \复制





暂无评论