Biznet BilişimBiznet Bilişim

CyberArk LDAP Ayarlarını Sıfırlamak

Yazar: Emre Can Lekesiz

Ürün: CyberArk

Modüller: PVWA, Vault Server

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Bu duyuru, iki ayrı problem çözüm geliştirmek amacıyla hazırlanmıştır:

Nadiren de olsa CyberArk tarafından known-bug olarak tanımlanmış bir hata ile karşılaşabilirsiniz. Daha önceden yapılmadıysa “LDAP Wizard” çalıştırıldığında, CyberArk LDAP entegrasyonu için AD tarafında açılması gereken 3 grup (Admins, Auditors, Users vb.) sihirbazın ikinci adımında karşınıza çıkmayabilir. Bu problemi çözmek için sonraki bölümde önerilen adımları takip edebilirsiniz.

(Şunu da hatırlatalım: Sihirbazın ikinci adımında dönen query PVWA sunucusundan gidiyor. Bu; Vault sunucunun Dbparm.ini dosyasına ekstra AD’ye doğru Firewall kuralı da ekleseniz de çözüm olmayacağı anlamına geliyor.)

Çözüm Önerisi:

  1. LDAP Ayarlarına Hard Reset Yapılması
    1. PrivateArk Client ile bir Vault Admin kullanarak (tercihen built-in Administrator kullanıcısı ile) oturum açın. (Sonrasında oturumu kapatmanız önemlidir, Lütfen açık unutmayın.)
    2. VaultInternal kasasının içeriğini görüntüleyin. xml ve *.pass uzantılı dosyayı silin.
      (dipnot: .pass uzantılı dosyanın önündeki isim sizlerin LDAP Wizard kullanırken verdiğiniz ve senkronizasyon için kullanılan profil ismidir. Yukarıda bahsettiğimiz raporlama sorunu için bu yazıyı takip ediyorsanız, bu ismi bir yere not almanızı öneriyoruz. Çünkü yine aynı ismi kullanarak LDAP entegrasyonunu yapmanız gerekmektedir.)
    3. Vault sunucusuna RDP üzerinden oturum açın (teknik anlamda varsayılan olarak CPM sunucusu içerisinden RDP yapabilmeniz gerekmekte). Privileged Account Security Installation Guide s.35 Hardening the CyberArk Vault
    4. Dbparm.ini dosyasının bulunduğu dizine gidin.
      Varsayılan olarak: “C:\Program Files (x86)\PrivateArk\Server” altında bulunmaktadır. Kurumunuzda D veya E diskinde kurulum yapılmış olabilir.
    5. Burada LDAP klasörünün içeriğini görüntüleyin.
    6. Birden fazla OLD isminde klasör bulunuyorsa, tarihsel olarak en sonuncuyu bırakın ve diğer klasörleri silin.
    7. Tarihsel olarak son olan OLD etiketli klasörün içeriğini görüntüleyin ve tüm içeriği sağ klik ile kesin.
    8. Kestiğiniz içeriği bir üst klasöre çıkarıp, yapıştırın (Directories ve Profiles klasörleri).
    9. Vault sunucunuzu PrivateArk Server üzerinden Stop/Start yapın.
  2. PVWA Arayüzüne Tekrar Erişim

    1. PVWA üzerinde bir Vault Admin ile oturum açın (tercihen built-in Administrator ile).
    2. LDAP Wizard’ı tekrar çalıştırın (Administration sekmesi altında Setup Wizard’ı tıklayın):
    3. Birinci adımı başarılı bir şekilde geçtiğinizi varsayıyoruz. Test işlemi başarılı ise ikinci adıma geçin (Bu adımda lütfen madde 1.2’deki dipnotu dikkate alın).
    4. İkinci adımda duyuruyu yazmamıza neden olan Known-Bug karşımıza çıkabilir. AD tarafında oluşturduğumuz CyberArk gruplarını bulamayabilir. Bulamadıysa o haliyle Sihirbazı Finish butonu ile sonlandırın, çıkan uyarı mesajını da onaylayın. İşlemi iptal etmeyin. Eğer gruplar başarılı bir şekilde bulundu ise Bug’dan etkilenmediğiniz anlamına geliyor, duyurumuzu birinci amacı için takip ediyorsanız yapacağınız işlemler burada sona eriyor, sadece Time Limitations ayarlarından emin olmanızı tavsiye ediyoruz.
      Ancak bug ile karşı karşıyaysanız 3.adıma devam etmeniz gerekiyor.
  3. LDAP Senkronizasyonunun Manuel Entegre Edilmesi
    1. PrivateArk Client kullanarak bir Vault Admin ile oturum açın (tercihen built-in Administrator ile). LDAP entegrasyonunun tamamlanmadığını unutmayın. LDAP’dan gelen Vault Adminlerin oturum açamayacağını göz önünde bulundurun.
    2. Directory Mapping penceresini görüntüleyin:
    3. Directory Mappings penceresinde 4 öğe görebilirsiniz, görünmüyorsa Vault Groups Mapping’in varsayılan olarak geldiğini unutmayın.
    4. Vault Groups Mapping ile başlayabiliriz. Ögeyi seçtikten sonra Update butonuna tıklayın.
    5. Gelen pencerede tekrar Update butonuna tıklayın.
    6. Directory Name alanında LDAP Wizard kullanırken verdiğiniz profil ismini göreceksiniz. Branch kutusu için AD ismini görüyorsanız, bu pencereyi kapatabilirsiniz. Başka bir işlem yapmanıza gerek yoktur.
    7. Diğer üç önemli öğeyi de düzenlemeniz gerekiyor. Bunlar Vault Admins, Auditor ve User Mappings ayarları.
    8. Eklenecek ilk grubun adı Vault Admins Mapping olmak zorunda. Directory Mappings penceresine geri döndüğünüzde, Vault Admins Mapping ile başlayabilirsiniz. Fareyle seçin ve Update butonuna basın.
    9. Users kutusunu işaretleyin, ardından User Template butonuna tıklayın.
    10. User Template penceresinde sadece Authorizations sekmesinde işlem yapmanız gerekiyor. Bu kullanıcılar yönetici olacağı için resimdeki yetkileri vermeniz gerekmektedir.
      (Time Limitations sekmesinden 2.4 maddesinde bahsetmiştik.)
    11. Bu aşamada, Vault Admins Mapping grubu için AD tanımlamasını yapmanız gerekiyor. Burada bir değer görüyorsanız Update butonuna tıklayın, göremiyorsanız Add butonuna tıklamanız gerekiyor.
    12. Doldurulacak alanlar resimdeki gibidir. Groupfilter kısmına, kurumunuzdaki AD’de CyberArk Admins grup adı olarak tanımlanan ismin aynısını yazmanız gerekmektedir (resimdeki isim örnek olarak verilmiştir). Dikkat edilmesi gereken nokta, Directory Name alanındaki bilginin LDAP Wizard’da belirttiğiniz profil ismiyle aynı olması gerektiğidir.

      Dipnot: Eğer eskiden kalma bir LDAP profil adı görüntüleniyorsa, Browse butonuyla AD’yi görüntüleyiniz. Bu işlem esnasında CyberArk LDAP entegrasyonu için Read yetkisine sahip olacak şekilde oluşturduğunuz kullanıcıyla oturum açmanız gerekmektedir.
    13. Aynı işlemleri Vault Auditors Mapping ve Vault Users Mapping için de yapmanız gerekmektedir. Auditor grubu için yetki olarak sadece Audit Users yetkisini vermeniz yeterlidir. Users grubu için ise yetki tanımlaması yapmanız gerekmemektedir.
      Dipnot: Directory Mapping eklerken, Choose Directory ve Branch kutularında AD görüntülenmiyorsa Read yetkisine sahip kullanıcıda sorun olabileceğini göz önünde bulundurun, ilgili kullanıcının parolasından emin olduğunuzda elle ekleyerek üç grup içinde yine elle oturum açın ve test edin. LDAP Wizard birinci adımında Test Successful mesajını gördüyseniz, doğru şifreye sahipsiniz demektir.

Bu şekilde, gereken bütün adımları tamamlamış oluyorsunuz.

emrecan.lekesiz
Yazar: emrecan.lekesiz