Integrowanie programu PowerProtect Data Manager z oprogramowaniem CyberArk

1. Tło

CyberArk to rozwiązanie Privileged Access Management (PAM), które zapewnia scentralizowane i bezpieczne podejście do zarządzania uprzywilejowanymi kontami, które często są celem złośliwych podmiotów.
Dzięki wdrożeniu rozwiązania CyberArk firmy mogą wymuszać silne uwierzytelnianie i korzystać z kontroli dostępu do uprzywilejowanych użytkowników. Zmniejsza to ryzyko nieautoryzowanego dostępu i potencjalnych naruszeń zabezpieczeń.
 

2. Integrowanie programu PowerProtect Data Manager z oprogramowaniem CyberArk

Kroki 

1. Logowanie SSH do serwera PowerProtect Data Manager z administratorem i przełączenie na użytkownika root;
2. Dodaj użytkownika "arkrecon" do grupy "support" (po wykonaniu tego kroku użytkownik "arkrecon" może być używany do logowania):
   1. useradd arkrecon -g support
   2. passwd arkrecon
3. echo "arkrecon ALL=(ALL)NOPASSWD:/usr/bin/passwd,/usr/bin/passwd.unix,/usr/bin/chuser,/usr/bin/pwdadm,/sbin/pam_tally2" > /etc/sudoers.d/cyberark

Po wykonaniu tych czynności użytkownik "arkrecon" może być używany do logowania SSH do serwera PowerProtect Data Manager. Można go również używać do zarządzania hasłami i odblokowywania kont, takich jak poniżej:

Po ponownym uruchomieniu lub uaktualnieniu programu PowerProtect Data Manager do nowej wersji plik /etc/sudoers.d/cyberark pozostaje.
Użytkownik "arkrecon" może być używany do logowania się do SSH oraz zarządzania hasłami i odblokowywania kont.

3. Ograniczenia i przypomnienia

1. Rozwiązanie dotyczy autonomicznej wersji programu PowerProtect Data Manager. Nie ma zastosowania do urządzenia ProtectProtect Data Manager dla DM5500;
2. Tworzenie kopii zapasowej lub przywracanie ustawień CyberArc nie jest objęte procesem ServerDR. CyberArc nie może kontynuować pracy z serwera DR.
3. Klienci powinni zachować hasło użytkownika głównego. Pliki w pliku /etc/sudoers.d mogą być odczytywane i edytowane tylko przez użytkownika root.