您是否希望了解如何在活动目录上配置 CyberArk LDAP 身份验证? 在本教程中,我们将向您展示如何使用 Microsoft Windows 和 LDAP 协议中的活动目录数据库对 CyberArk 用户进行身份验证。
• 赛博方舟 11.1.0
CyberArk 相关教程:
在此页面上,我们提供快速访问与 CyberArk 相关的教程列表。
教程 – Windows 域控制器防火墙
首先,我们需要在 Windows 域控制器上创建防火墙规则。
此防火墙规则将允许 Cyberark 服务器查询活动目录数据库。
在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序
创建新的入站防火墙规则。
选择”端口”选项。
选择 TCP 选项。
选择”特定本地端口”选项。
输入 TCP 端口 389。
选择”允许连接”选项。
选中”域”选项。
选中”私人”选项。
选中”公共”选项。
输入防火墙规则的说明。
恭喜您,您已创建了所需的防火墙规则。
此规则将允许赛博克查询活动目录数据库。
教程 – Windows 域帐户创建
接下来,我们需要在 Active 目录数据库上创建至少 2 个帐户。
ADMIN 帐户将用于登录 Cyberark Web 界面。
BIND 帐户将用于查询活动目录数据库。
在域控制器上,打开名为:活动目录用户和计算机的应用程序
在”用户”容器内创建新帐户。
创建新帐户命名为:管理员
密码配置为 ADMIN 用户: 123qwe.
此帐户将用于在 Cyberark Web 界面上作为管理员进行身份验证。
创建新帐户名为:绑定
密码配置为 BIND 用户:123qwe.
此帐户将用于查询 Active Directory 数据库上存储的密码。
恭喜您,您已经创建了所需的活动目录帐户。
教程 – 创建 Windows 域组
接下来,我们需要在 Active 目录数据库上创建至少 4 个组。
在域控制器上,打开名为:活动目录用户和计算机的应用程序
在”用户”容器内创建新组。
创建新的组名为:Cyberark 保管库管理员
此组的成员将使用 Web 界面在 Cyberark 保管库上拥有管理员权限。
重要! 将管理员用户添加为 Cyberark 保管库管理员组的成员。
创建一个名为:Cyberark 安全经理的新组
创建一个名为:赛博克审核员的新组
创建新的组名为:Cyberark 用户
恭喜您,您已经创建了所需的活动目录组。
教程 CyberArk – 活动目录上的 LDAP 身份验证
打开浏览器软件并访问 Cyberark PVWA 界面。
应介绍 Cyberark PVWA 接口。
在登录屏幕上,选择本地身份验证选项。
在提示屏幕上,输入 Cyberark 本地管理员帐户。
成功登录后,您将被发送到 CybeArk 仪表板。
在左下角,访问”用户预配”选项卡并选择 LDAP 集成选项。
在 LDAP 集成屏幕上,单击”新建域”按钮。
它将启动一个四步过程来集成新的 LDAP 域。
首先,输入 LDAP 域的名称并禁用 SSL 锥体。
接下来,执行以下配置。
• 绑定用户名 – bind@tech.
• 绑定用户密码 – BIND 用户帐户的密码
• 域基础上下文 = dc_技术,dc=本地
您需要更改域信息以反映网络环境。
您需要更改绑定凭据以反映网络环境。
选择所需的域控制器,然后单击”连接”按钮。
在步骤 3 中,您需要将 Cyberark 角色链接到所需的 Ldap 组。
• 保管库管理员 – 赛博库管理员
• 安全经理 – 赛博克安全经理
• 审计师 – 赛博克审计师
• 用户 – 赛博克用户
在最后一步中,查看配置摘要并单击”保存按钮”。
在我们的示例中,我们在 Cyberark 服务器上配置了 Ldap 服务器身份验证。
Cyberark – 测试活动目录身份验证
打开浏览器软件并访问 Cyberark PVWA 界面。
应介绍 Cyberark PVWA 接口。
在登录屏幕上,选择 LDAP 优化选项。
在提示屏幕上,输入一个活动目录帐户,该帐户是以下组之一的成员:
• 赛博库管理员
• 赛博克安全经理
• 赛博克审核员
• 赛博用户
成功登录后,您将被发送到 CybeArk 仪表板。
祝贺! 活动目录上的 Cyberark LDAP 服务器身份验证配置成功。