您是否希望了解如何在活动目录上配置 CyberArk LDAP 身份验证? 在本教程中,我们将向您展示如何使用 Microsoft Windows 和 LDAP 协议中的活动目录数据库对 CyberArk 用户进行身份验证。

• 赛博方舟 11.1.0

CyberArk 相关教程:

在此页面上,我们提供快速访问与 CyberArk 相关的教程列表。

教程 - Windows 域控制器防火墙

首先,我们需要在 Windows 域控制器上创建防火墙规则。

此防火墙规则将允许 Cyberark 服务器查询活动目录数据库。

在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序

创建新的入站防火墙规则。

zabbix active directory

选择"端口"选项。

zabbix windows firewall port

选择 TCP 选项。

选择"特定本地端口"选项。

输入 TCP 端口 389。

zabbix windows firewall port ldap

选择"允许连接"选项。

zabbix windows firewall allow connection

选中"域"选项。

选中"私人"选项。

选中"公共"选项。

Zabbix windows firewall profile

输入防火墙规则的说明。

windows firewall active directory

恭喜您,您已创建了所需的防火墙规则。

此规则将允许赛博克查询活动目录数据库。

教程 - Windows 域帐户创建

接下来,我们需要在 Active 目录数据库上创建至少 2 个帐户。

ADMIN 帐户将用于登录 Cyberark Web 界面。

BIND 帐户将用于查询活动目录数据库。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新帐户。

Zabbix active directory account

创建新帐户命名为:管理员

密码配置为 ADMIN 用户: 123qwe.

此帐户将用于在 Cyberark Web 界面上作为管理员进行身份验证。

active directory admin accountzabbix active directory admin properties

创建新帐户名为:绑定

密码配置为 BIND 用户:123qwe.

此帐户将用于查询 Active Directory 数据库上存储的密码。

active directory bind accountzabbix active directory ldap bind properties

恭喜您,您已经创建了所需的活动目录帐户。

教程 - 创建 Windows 域组

接下来,我们需要在 Active 目录数据库上创建至少 4 个组。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新组。

Radius Active directory group

创建新的组名为:Cyberark 保管库管理员

此组的成员将使用 Web 界面在 Cyberark 保管库上拥有管理员权限。

Cyberark Ldap Vault admins

重要! 将管理员用户添加为 Cyberark 保管库管理员组的成员。

Cyberark Vault admins members

创建一个名为:Cyberark 安全经理的新组

Cyberark Safe Managers

创建一个名为:赛博克审核员的新组

Cyberark Auditors

创建新的组名为:Cyberark 用户

Cyberark Users

恭喜您,您已经创建了所需的活动目录组。

教程 CyberArk - 活动目录上的 LDAP 身份验证

打开浏览器软件并访问 Cyberark PVWA 界面。

应介绍 Cyberark PVWA 接口。

cyberark login

在登录屏幕上,选择本地身份验证选项。

cyberark login local

在提示屏幕上,输入 Cyberark 本地管理员帐户。

成功登录后,您将被发送到 CybeArk 仪表板。

cyberark dashboard

在左下角,访问"用户预配"选项卡并选择 LDAP 集成选项。

cyberark ldap intergation menu

在 LDAP 集成屏幕上,单击"新建域"按钮。

它将启动一个四步过程来集成新的 LDAP 域。

首先,输入 LDAP 域的名称并禁用 SSL 锥体。

cyberark ldap configuration

接下来,执行以下配置。

• 绑定用户名 - bind@tech.
• 绑定用户密码 - BIND 用户帐户的密码
• 域基础上下文 = dc_技术,dc=本地

您需要更改域信息以反映网络环境。

您需要更改绑定凭据以反映网络环境。

cyberark ldap bind

选择所需的域控制器,然后单击"连接"按钮。

cyberark ldap authentication

在步骤 3 中,您需要将 Cyberark 角色链接到所需的 Ldap 组。

• 保管库管理员 - 赛博库管理员
• 安全经理 - 赛博克安全经理
• 审计师 - 赛博克审计师
• 用户 - 赛博克用户

cyberark ldap mapping

在最后一步中,查看配置摘要并单击"保存按钮"。

在我们的示例中,我们在 Cyberark 服务器上配置了 Ldap 服务器身份验证。

Cyberark - 测试活动目录身份验证

打开浏览器软件并访问 Cyberark PVWA 界面。

应介绍 Cyberark PVWA 接口。

cyberark login

在登录屏幕上,选择 LDAP 优化选项。

cyberark login local

在提示屏幕上,输入一个活动目录帐户,该帐户是以下组之一的成员:

• 赛博库管理员
• 赛博克安全经理
• 赛博克审核员
• 赛博用户

成功登录后,您将被发送到 CybeArk 仪表板。

cyberark dashboard

祝贺! 活动目录上的 Cyberark LDAP 服务器身份验证配置成功。