Utiliser Conjur pour les connexions mode sans-agent
Organisation des secrets Conjur
Pour configurer une connexion mode sans-agent reliée à des secrets Conjur, le nom d’utilisateur et le secret (mot de passe ou clé) doivent tous deux être stockés dans Conjur. Leur emplacement vis-à-vis des politiques Conjur est libre.
Configurer un hôte Conjur pour Cyberwatch
Avec Conjur, les utilisateurs de services destinés aux accès par API sont appelés des hôtes. Il est recommandé de créer un hôte spécifique à Cyberwatch et de lui donner les accès uniquement aux secrets des machines à superviser.
Dans le cas d’un parc segmenté, il est possible de créer plusieurs hôtes pour Cyberwatch, chacun ayant accès à une section spécifique du parc, et d’enregistrer chacun des hôtes dans Cyberwatch.
Pour enregistrer les identifiants d’un hôte dans Cyberwatch, aller dans le menu Identifiants enregistrés puis ajouter un jeu d’identifiants de type CyberArk Conjur avec les informations de connexions :
Le compte Conjur est habituellement le nom de l’organisation ou du coffre Conjur. Il doit contenir à la fois les secrets voulus et l’hôte Conjur auquel Cyberwatch s’authentifiera.
L’ID d’hôte est le chemin vers la resource hôte destinée à Cyberwatch depuis la politique racine, le tout préfixé de
host/
.La clé API est un mot de passe aléatoire générée à de la création de l’hôte Conjur.
Pour plus de détails sur le processus de création d’hôtes Conjur, voir le guide Enrolling an application de la documentation officielle de Conjur.
Créer une connexion mode sans-agent avec Conjur
- Dans la section Actifs, aller dans Gestion des actifs > Connexions mode sans-agent.
- Cliquer sur Ajouter.
- Dans « Protocole d’accès », sélectionner SSH ou WinRM.
- Sélectionner comme jeu d’identifiants l’hôte Conjur configuré ci-dessus.
- Indiquer le chemin des variables requises, suivant la structure de votre politique.