BeyondTrust Password Safe API
Last updated
Last updated
BeyondInsight 22.X ou superior.
Linux Control Center 2.10 ou superior.
Chave de registro da API.
Conta e grupo da API com permissões corretas.
A Managed Account usada pelo Linux Control Center deve ser habilitada para API e deve existir no Managed System.
BeyondTrust Password Safe é um software de gerenciamento de senhas empresarial que garante controle e responsabilidade completos sobre todas as contas privilegiadas (e não privilegiadas) dentro de uma organização.
Por meio dessa integração, será possível executar uma varredura usando credenciais privilegiadas gerenciadas pelo password safe.
A conta gerenciada é preferível que seja uma conta dedicada ao Linux Control Center
Todos os Assets que serão importados para o Linux Control Center devem ser adicionados ao BeyondInsight Password Safe a partir de um Discovery Scan para garantir a integridade dos dados que devem ser importados corretamente. O mesmo vale para o Managed System, ou seja, ele deve ter sido criado a partir de um Asset e suas respectivas Managed Accounts.
Acesse o BeyondInsigh Console
Vá para Configuration > General > API Registrations
Clique em Create New API Registration e selecione API Key Policy.
Forneça um nome para o registro de API e clique em Create API Registration.
Você deve adicionar uma regra de Autenticação/IP para o endereço da sua instância do Linux Control Center Worker. Se houver vários workers instalados na rede, todos os endereços de Workers devem ser listados.
Na página Details, clique em Add Authentication Rule.
Selecione a opção Single IP Address na lista do lado superior direito
Selecione a opção IP Rule.
Insira o Endereço IP.
Desabilite a opção Multi-Factor Authentication.
clique em Atualizar registro na página Detalhes.
Uma conta de usuário e um grupo devem ser configurados para o Linux Control Center.
No BeyondInsight Console, vá para Configuration > Role Based Access > User Management.
Clique na aba Users.
Clique em Create New User e selecione Create a New User.
Insira os detalhes do usuário, como identificação e credenciais.
Clique em Create User.
Siga os passos para criar um novo grupo local e habilitar os recursos necessários e os Mart Groups:
No BeyondInsight Console, vá para Configuration > Role Based Access > User Management. Clique na aba Groups.
Clique em Criar New Group e selecione Create a New Group.
Forneça o nome e a descrição do grupo e clique em Create Group.
Marque a caixa ao lado do grupo recém-criado e, em seguida, clique nos três pontos à direita do grupo. Selecione View Group Details.
Em Group Details, selecione Features.
Na página Features, localize os recursos selecionando All Features na lista suspensa Show. Selecione Feature Name na lista suspensa Filter By e, em seguida, digite o recurso no campo Feature Name. Os seguintes recursos devem ser habilitados:
Asset Management
Attribute Management
Password Safe Account Management
Password Safe System Management
Os recursos mencionados acima devem receber uma permissão de read only. Clique nos três pontos correspondentes à direita do recurso e selecione Assign Permissions Read Only.
Em Group Details, selecione Smart Groups.
Na página Smart Groups Permissions, localize os Smart Groups selecionando All Smart Groups na lista suspensa Show. Selecione Smart Group Name na lista suspensa Filter By e, em seguida, digite o nome do Smart Group no campo Smart Group Name. O Smart Group gerenciado de destino deve ser habilitado.
Os Smart Groups devem receber uma permissão de full control. Clique nos três pontos correspondentes à direita do Smart Group e selecione Assign Permissions Full Control.
O Smart Group de destino deve ter Requestor, Approver e Credential Manager selecionados como funções. Clique nos três pontos correspondentes à direita do Smart Group e selecione Edit Password Safe Roles.
Marque a caixa Requestor e selecione uma política na lista suspensa Access Policy for Requestor. Essa política é aplicada à conta gerenciada usada para a integração.
O Linux Control Center requer o uso de uma Access Policy configurada com permissão View Password e com Auto Approve habilitado. Também é recomendado habilitar "Allow multi-day checkout of accounts" para evitar possíveis solicitações negadas perto do final do dia.
Clique em Save Roles.
Para adicionar o usuário criado acima ao grupo:
Vá para Configuration > Role Based Access > User Management > Groups.
Clique nos três pontos à direita do novo grupo e selecione View Group Details.
Em Group Details, selecione Users.
Selecione Users Not Assigned na lista suspensa Show.
Na lista suspensa Filter by, selecione Username. Digite o nome do usuário no campo Username.
Marque a caixa ao lado do nome do usuário e clique em Assign User.
Por fim, atribua a API registrada para a integração a este grupo:
Vá para Configuration > Role Based Access > User Management > Groups.
Clique nos três pontos à direita do grupo e selecione View Group Details.
Em Group Details, selecione API Registrations. Uma lista de registros de API será exibida.
Marque a caixa ao lado do registro de API criado em API Registration.
No BeyondInsight Console, vá para Managed Accounts.
Na lista suspensa Filter by, selecione Account. Insira o nome da conta no campo Account.
Clique nos três pontos à direita de cada entrada e selecione Edit Account. Em Account Settings, certifique-se de que a opção API Enabled esteja habilitada.
Realize a configuração da integração com o Linux Control Center após finalizar as configurações no seu ambiente BeyondTrust Password Safe.
No Linux Control Center, vá para Config.
Clique em BeyondTrust.
Clique em Password Safe.
Clique em Create.
Forneça todas as configurações necessárias para realizar a autenticação na Password Safe API, como: API Url Base, API Auth Key, API Auth Username, API Auth Password e a Managed Account que será usado pelo Linux Control Center.
Selecione o campo Escalonamento de Privilégios com base na permissão de conta escolhida.
Clique em Save
Após salvar, clique na integração criada, clique em Actions e execute a ação Test Connection With Safe API para validar a comunicação com o BeyondInsight.
Caso a conexão falhe, vá para BeyondInsight > Configuration > User Audit options e analise os detalhes da conexão.
A opção Get Assets Info pesquisa por todos os Assets do Smart Group vinculado ao User Group do API Auth Username utilizado.
Clique em Actions e execute a ação Get Assets Info.
Confirme a execução da ação em Yes
Um novo trabalho será criado em Logs > Queue no menu à esquerda com a ação "Get Smart Groups" do User Group pertencente ao Auth Username API.
Após a conclusão do trabalho, todos os Assets estarão disponíveis para realizar a ação Import Asset.
Para listar os Assets disponíveis para importar para o Linux Control Center, vá para Config > Integrations > BeyondTrust > Password Safe, clique na integração que foi criada e clique em Import Assets.
Selecione os assets que serão importados pelo processo** Import Assets** e clique em Send.
Uma nova ação chamada Import Assets será criada. Nessa ação, o Linux Control Center tentará se conectar a cada Asset selecionado usando a Managed Account fornecida, para confirmar que ele consegue se conectar usando a conta gerenciada e a senha recuperada do Password Safe.
Após a validação, o Linux Control Center iniciará um novo trabalho com a ação Photography para cada host importado, coletando informações do host, como nome do host, versão do kernel, endereço IPv4, endereço MAC, porta SSH, versão do sistema operacional e outras informações.
Quando o Import Assets Info atingir com sucesso o estado Processed no menu Queue, vá para a opção Hosts no menu à esquerda e valide se os assets foram importados corretamente pelo Linux Control Center com o método de autenticação BeyondTrust.
