Möchten Sie erfahren, wie Sie die CyberArk LDAP-Authentifizierung im Active-Verzeichnis konfigurieren? In diesem Tutorial zeigen wir Ihnen, wie Sie CyberArk-Benutzer mithilfe der Active Directory-Datenbank von Microsoft Windows und des LDAP-Protokolls authentifizieren.

• CyberArk 11.1.0

CyberArk Verwandte Sanleitung:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit CyberArk.

Tutorial - Windows-Domänencontroller-Firewall

Zuerst müssen wir eine Firewallregel auf dem Windows-Domänencontroller erstellen.

Diese Firewallregel ermöglicht es dem Cyberark-Server, die Active Directory-Datenbank abzufragen.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen Windows Firewall mit Advanced Security

Erstellen Sie eine neue Eingehende Firewallregel.

zabbix active directory

Wählen Sie die Option PORT aus.

zabbix windows firewall port

Wählen Sie die TCP-Option aus.

Wählen Sie die Option Spezifische lokale Ports aus.

Geben Sie den TCP-Port 389 ein.

zabbix windows firewall port ldap

Wählen Sie die Option Verbindung zulassen aus.

zabbix windows firewall allow connection

Aktivieren Sie die Option DOMAIN.

Aktivieren Sie die Option PRIVATE.

Aktivieren Sie die Option PUBLIC.

Zabbix windows firewall profile

Geben Sie eine Beschreibung für die Firewallregel ein.

windows firewall active directory

Herzlichen Glückwunsch, Sie haben die erforderliche Firewall-Regel erstellt.

Mit dieser Regel kann Cyberark die Active-Verzeichnisdatenbank abfragen.

Tutorial - Windows-Domänenkontoerstellung

Als Nächstes müssen wir mindestens 2 Konten in der Active Directory-Datenbank erstellen.

Das ADMIN-Konto wird verwendet, um sich auf der Cyberark-Weboberfläche anzumelden.

Das BIND-Konto wird zum Abfragen der Active Directory-Datenbank verwendet.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie ein neues Konto im Container Benutzer.

Zabbix active directory account

Erstellen Eines neuen Kontos mit dem Namen: admin

Kennwort für den ADMIN-Benutzer konfiguriert: 123qwe..

Dieses Konto wird verwendet, um sich als Administrator auf der Cyberark-Weboberfläche zu authentifizieren.

active directory admin accountzabbix active directory admin properties

Erstellen eines neuen Kontos mit dem Namen: bind

Für den BIND-Benutzer konfiguriertes Kennwort: 123qwe..

Dieses Konto wird verwendet, um die in der Active Directory-Datenbank gespeicherten Kennwörter abzufragen.

active directory bind accountzabbix active directory ldap bind properties

Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Konten erstellt.

Tutorial - Windows-Domänengruppenerstellung

Als Nächstes müssen wir mindestens 4 Gruppen in der Active-Verzeichnis-Datenbank erstellen.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie eine neue Gruppe im Container Benutzer.

Grafana active directory group

Erstellen einer neuen Gruppe mit dem Namen: Cyberark Vault Admins

Mitglieder dieser Gruppe verfügen über die Admin-Berechtigung für den Cyberark Vault über die Weboberfläche.

Cyberark Ldap Vault admins

Wichtig! Fügen Sie den Administratorbenutzer als Mitglied der Cyberark Vault Admins-Gruppe hinzu.

Cyberark Vault admins members

Erstellen Sie eine neue Gruppe mit dem Namen: Cyberark Safe Managers

Cyberark Safe Managers

Erstellen Sie eine neue Gruppe mit dem Namen: Cyberark Auditors

Cyberark Auditors

Erstellen einer neuen Gruppe mit dem Namen: Cyberark-Benutzer

Cyberark Users

Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Gruppen erstellt.

Tutorial CyberArk - LDAP-Authentifizierung in Active Directory

Öffnen Sie eine Browser-Software und greifen Sie auf die Cyberark PVWA-Schnittstelle zu.

Die Cyberark PVWA-Schnittstelle sollte vorgestellt werden.

cyberark login

Wählen Sie auf dem Anmeldebildschirm die lokale Authentifizierungsoption aus.

cyberark login local

Geben Sie auf dem Eingabeaufforderungsbildschirm ein lokales Cyberark-Administratorkonto ein.

Nach einer erfolgreichen Anmeldung werden Sie an das CybeArk Dashboard gesendet.

cyberark dashboard

Rufen Sie unten links die Registerkarte Benutzerbereitstellung auf, und wählen Sie die LDAP-Integrationsoption aus.

cyberark ldap intergation menu

Klicken Sie auf dem LDAP-Integrationsbildschirm auf die Schaltfläche Neue Domäne.

Es wird ein vierstufiger Prozess zur Integration einer neuen LDAP-Domäne gestartet.

Geben Sie zunächst den Namen Ihrer LDAP-Domäne ein, und deaktivieren Sie die SSL-Verbindung.

cyberark ldap configuration

Führen Sie als Nächstes die folgende Konfiguration aus.

• Binden Sie den Benutzernamen - bind@tech.local
• Benutzerkennwort binden - Passwort des BIND-Benutzerkontos
• Domain Base Kontext = dc=tech,dc=local

Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

Sie müssen die Bindungsanmeldeinformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

cyberark ldap bind

Wählen Sie den gewünschten Domänencontroller aus und klicken Sie auf die Schaltfläche Verbinden.

cyberark ldap authentication

In Schritt 3 müssen Sie die Cyberark-Rollen mit den gewünschten Ldap-Gruppen verknüpfen.

• Vault Admins - Cyberark Vault Admins
• Sichere Manager - Cyberark Safe Manager
• Auditoren - Cyberark Auditoren
• Benutzer - Cyberark Benutzer

cyberark ldap mapping

Werfen Sie im letzten Schritt einen Blick auf die Konfigurationsübersicht und klicken Sie auf die Schaltfläche Speichern.

In unserem Beispiel haben wir die Ldap-Serverauthentifizierung auf dem Cyberark-Server konfiguriert.

Cyberark - Testen der Active Directory-Authentifizierung

Öffnen Sie eine Browser-Software und greifen Sie auf die Cyberark PVWA-Schnittstelle zu.

Die Cyberark PVWA-Schnittstelle sollte vorgestellt werden.

cyberark login

Wählen Sie auf dem Anmeldebildschirm die LDAP-Athentcication-Option aus.

cyberark login local

Geben Sie auf dem Eingabeaufforderungsbildschirm ein Active-Verzeichniskonto ein, das Mitglied einer der folgenden Gruppen ist:

• Cyberark Vault Admins
• Cyberark Safe Manager
• Cyberark Auditoren
• Cyberark-Benutzer

Nach einer erfolgreichen Anmeldung werden Sie an das CybeArk Dashboard gesendet.

cyberark dashboard

Herzlichen glückwunsch! Ihre Cyberark LDAP-Serverauthentifizierung in Active Directory wurde erfolgreich konfiguriert.