Möchten Sie erfahren, wie Sie die CyberArk LDAP-Authentifizierung im Active-Verzeichnis konfigurieren? In diesem Tutorial zeigen wir Ihnen, wie Sie CyberArk-Benutzer mithilfe der Active Directory-Datenbank von Microsoft Windows und des LDAP-Protokolls authentifizieren.
• CyberArk 11.1.0
CyberArk Verwandte Sanleitung:
Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit CyberArk.
Tutorial – Windows-Domänencontroller-Firewall
Zuerst müssen wir eine Firewallregel auf dem Windows-Domänencontroller erstellen.
Diese Firewallregel ermöglicht es dem Cyberark-Server, die Active Directory-Datenbank abzufragen.
Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen Windows Firewall mit Advanced Security
Erstellen Sie eine neue Eingehende Firewallregel.
Wählen Sie die Option PORT aus.
Wählen Sie die TCP-Option aus.
Wählen Sie die Option Spezifische lokale Ports aus.
Geben Sie den TCP-Port 389 ein.
Wählen Sie die Option Verbindung zulassen aus.
Aktivieren Sie die Option DOMAIN.
Aktivieren Sie die Option PRIVATE.
Aktivieren Sie die Option PUBLIC.
Geben Sie eine Beschreibung für die Firewallregel ein.
Herzlichen Glückwunsch, Sie haben die erforderliche Firewall-Regel erstellt.
Mit dieser Regel kann Cyberark die Active-Verzeichnisdatenbank abfragen.
Tutorial – Windows-Domänenkontoerstellung
Als Nächstes müssen wir mindestens 2 Konten in der Active Directory-Datenbank erstellen.
Das ADMIN-Konto wird verwendet, um sich auf der Cyberark-Weboberfläche anzumelden.
Das BIND-Konto wird zum Abfragen der Active Directory-Datenbank verwendet.
Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer
Erstellen Sie ein neues Konto im Container Benutzer.
Erstellen Eines neuen Kontos mit dem Namen: admin
Kennwort für den ADMIN-Benutzer konfiguriert: 123qwe..
Dieses Konto wird verwendet, um sich als Administrator auf der Cyberark-Weboberfläche zu authentifizieren.
Erstellen eines neuen Kontos mit dem Namen: bind
Für den BIND-Benutzer konfiguriertes Kennwort: 123qwe..
Dieses Konto wird verwendet, um die in der Active Directory-Datenbank gespeicherten Kennwörter abzufragen.
Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Konten erstellt.
Tutorial – Windows-Domänengruppenerstellung
Als Nächstes müssen wir mindestens 4 Gruppen in der Active-Verzeichnis-Datenbank erstellen.
Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer
Erstellen Sie eine neue Gruppe im Container Benutzer.
Erstellen einer neuen Gruppe mit dem Namen: Cyberark Vault Admins
Mitglieder dieser Gruppe verfügen über die Admin-Berechtigung für den Cyberark Vault über die Weboberfläche.
Wichtig! Fügen Sie den Administratorbenutzer als Mitglied der Cyberark Vault Admins-Gruppe hinzu.
Erstellen Sie eine neue Gruppe mit dem Namen: Cyberark Safe Managers
Erstellen Sie eine neue Gruppe mit dem Namen: Cyberark Auditors
Erstellen einer neuen Gruppe mit dem Namen: Cyberark-Benutzer
Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Gruppen erstellt.
Tutorial CyberArk – LDAP-Authentifizierung in Active Directory
Öffnen Sie eine Browser-Software und greifen Sie auf die Cyberark PVWA-Schnittstelle zu.
Die Cyberark PVWA-Schnittstelle sollte vorgestellt werden.
Wählen Sie auf dem Anmeldebildschirm die lokale Authentifizierungsoption aus.
Geben Sie auf dem Eingabeaufforderungsbildschirm ein lokales Cyberark-Administratorkonto ein.
Nach einer erfolgreichen Anmeldung werden Sie an das CybeArk Dashboard gesendet.
Rufen Sie unten links die Registerkarte Benutzerbereitstellung auf, und wählen Sie die LDAP-Integrationsoption aus.
Klicken Sie auf dem LDAP-Integrationsbildschirm auf die Schaltfläche Neue Domäne.
Es wird ein vierstufiger Prozess zur Integration einer neuen LDAP-Domäne gestartet.
Geben Sie zunächst den Namen Ihrer LDAP-Domäne ein, und deaktivieren Sie die SSL-Verbindung.
Führen Sie als Nächstes die folgende Konfiguration aus.
• Binden Sie den Benutzernamen – bind@tech.local
• Benutzerkennwort binden – Passwort des BIND-Benutzerkontos
• Domain Base Kontext = dc=tech,dc=local
Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.
Sie müssen die Bindungsanmeldeinformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.
Wählen Sie den gewünschten Domänencontroller aus und klicken Sie auf die Schaltfläche Verbinden.
In Schritt 3 müssen Sie die Cyberark-Rollen mit den gewünschten Ldap-Gruppen verknüpfen.
• Vault Admins – Cyberark Vault Admins
• Sichere Manager – Cyberark Safe Manager
• Auditoren – Cyberark Auditoren
• Benutzer – Cyberark Benutzer
Werfen Sie im letzten Schritt einen Blick auf die Konfigurationsübersicht und klicken Sie auf die Schaltfläche Speichern.
In unserem Beispiel haben wir die Ldap-Serverauthentifizierung auf dem Cyberark-Server konfiguriert.
Cyberark – Testen der Active Directory-Authentifizierung
Öffnen Sie eine Browser-Software und greifen Sie auf die Cyberark PVWA-Schnittstelle zu.
Die Cyberark PVWA-Schnittstelle sollte vorgestellt werden.
Wählen Sie auf dem Anmeldebildschirm die LDAP-Athentcication-Option aus.
Geben Sie auf dem Eingabeaufforderungsbildschirm ein Active-Verzeichniskonto ein, das Mitglied einer der folgenden Gruppen ist:
• Cyberark Vault Admins
• Cyberark Safe Manager
• Cyberark Auditoren
• Cyberark-Benutzer
Nach einer erfolgreichen Anmeldung werden Sie an das CybeArk Dashboard gesendet.
Herzlichen glückwunsch! Ihre Cyberark LDAP-Serverauthentifizierung in Active Directory wurde erfolgreich konfiguriert.