Problembehandlung bei externen Schlüsseltresoren
- Aktualisiert: 2023/06/19
Problembehandlung bei externen Schlüsseltresoren
Mit der Datei keyvault.properties und Anwendungsprotokolldateien können Sie Konfigurations- und Integrationsinformationen für externe Schlüsseltresore überprüfen.
Datei keyvault.properties verwenden
Mit der Datei keyvault.properties können Sie die Konfigurationsattribute für diese externen Schlüsseltresore überprüfen:
- CyberArk Password Vault
- AWS Secrets Manager
- Azure Key Vault
- HashiCorp Vault
Die folgende Datei keyvault.properties zeigt ein Beispiel für CyberArk Password Vault:
Geben Sie diese AWS-Attribute ein, um die AWS Secrets Manager keyvault.properties-Datei zu überprüfen (zum Beispiel):
- keyvault.type=AWS_SECRETS_MANAGER
- keyvault.aws.region=us-west-2
- Das Attribut der Zertifikat-Passphrase enthält die verschlüsselte Control Room-Passphrase der Zertifikatsdatei. Ändern Sie das Passphrase-Attribut des Zertifikats nicht direkt, sondern verwenden Sie das Dienstprogramm für den Schlüsseltresor.
- Sie können die Datei keyvault.properties ändern. Alle Änderungen erfordern jedoch einen Neustart des Dienstes. Daher wird empfohlen, für Änderungen immer das Dienstprogramm für den Schlüsseltresor zu verwenden.
Bei HashiCorp Vault werden Vault-Server mithilfe einer Datei im HCL- (HashiCorp Configuration Language) oder JSON-Format konfiguriert. Informationen zur Verwendung der Datei finden Sie unter Vault Configuration.
Anwendungsprotokolldateien verwenden
Mit diesen Anwendungsprotokolldateien können Sie Informationen für die Integration externer Schlüsseltresore überprüfen:
- WebCR_CredentialVaultlog
- WebCR_RestException
Mit diesen Protokollmeldungen können Sie Probleme bei der Integration externer Schlüsseltresore oder bei der Konfiguration beheben:
| Beschreibung der Protokollmeldung | Ursache oder Grund |
|---|---|
| Senden von E-Mails nicht möglich Verbindung zum SMTP-Server nicht möglich: SMTP-Nutzername oder Kennwort falsch |
Abgerufene SMTP-Anmeldedaten sind falsch |
| Protokolle zeigen Fehler beim Verbinden mit LDAP an | Die Authentifizierung über Active Directory ist fehlgeschlagen. |
| Die Datei WebCR.log zeigt einen Datenbankverbindungsfehler an, und der Control Room startet nicht ordnungsgemäß. | Das abgerufene Datenbankpasswort ist falsch. |
| Entweder Ihr Nutzername oder Ihr Passwort ist falsch. | Abgerufene Anmeldedaten für die automatische Anmeldung für den Nutzer sind falsch (entspricht dem Bot-Bereitstellungsprotokoll für die Nutzer-ID). |
| Protokolle zeigen Verbindungsfehler zu CyberArk an | Es liegt ein Problem wegen eines möglichen Ablaufs der Gültigkeit des Zertifikats vor, wenn der Ausfall nach einem Zeitraum von (3, 6 oder 12) Monaten ordnungsgemäßer Funktion auftritt. |
| Das Geheimnis kann nicht abgerufen werden, und für die Detailausnahme wird es einen Grund geben. | Es wird eine nicht vorhandene Anmeldedatenkennung (Safe-Name, Objektname oder geheimer Name) verwendet. Dies könnte auch darauf hindeuten, dass die Anmeldedatenkennung aus dem externen Schlüsseltresor entfernt wurde (wenn dieser zuvor ordnungsgemäß funktioniert hat). |
| Es könnte auch bedeuten, dass die Verbindung zum Schlüsseltresor unterbrochen oder nicht erreichbar ist. Oder dass die Verbindungsdetails (API-URL, AppID, Zertifikat, Name der Region, AWS-Schlüssel) falsch sind, im Key Vault geändert wurden oder abgelaufen sind. |