Lokal-Erstinstallation mit HashiCorp Vault

Mit der Methode der Erstinstallation können Sie eine Verbindung herstellen und den externen Schlüsseltresor-Connector, die Anmeldedaten des Dienstkontos (Active Directory-Administratorpasswort) und die Bootstrap-Anmeldedatenkennung (Datenbank) konfigurieren.

Anmerkung: Sie müssen die Microsoft SQL Server-Authentifizierung als Datenbank auswählen; andere Datenbank-Authentifizierungsmethoden werden für diesen Anwendungsfall nicht unterstützt.

Die Erstinstallation unterstützt eine passwortlose Installation für die Control Room Bootstrap-Anmeldeinformationen. Bei der passwortlosen Installation werden die Bootstrap-Anmeldedaten durch den im Tresor konfigurierten geheimen Namen identifiziert.

Sie können die SMTP- und AD-Anmeldedatenkennung für den Abruf aus dem externen Schlüsseltresor über die Automation 360-Nutzeroberfläche konfigurieren.

Prozedur

  1. Nachdem Sie den Automation 360-Installationsassistenten gestartet haben, wählen Sie Lokal als Bereitstellungsoption aus und klicken Sie auf Weiter.
  2. Akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.
  3. Wählen Sie unter Einstellungen für den Installationstyp die Option Benutzerdefiniert aus und klicken Sie auf Weiter.
  4. Akzeptieren Sie die Standardspeicherorte für die Zielordner und klicken Sie auf Weiter.
  5. Wählen Sie Microsoft SQL Server als Datenbanktyp und klicken Sie auf Weiter.
  6. Wählen Sie HashiCorp aus der Dropdown-Liste Externe Schlüsseltresor-Integration.
    1. Geben Sie in das Feld Tresor-URL die HashiCorp Server-API-URL ein (zum Beispiel: https://<host> oder https://<host or IP>:<port>.
    2. Geben Sie in das Feld Rollen-ID die HashiCorp-Rollen-ID ein (z. B.: 675a50e7-cfe0-be76-e35f-49ec009731ea).
    3. Geben Sie in das Feld Rollenname den HashiCorp-Rollennamen ein (z. B. jenkins).
    4. Geben Sie im Secret ID-Feld die HashiCorp SecretID ein (zum Beispiel: ed0a642f-2acf-c2da-232f-1b21300d5f29).
    5. Geben Sie den Pfad Secrets Engine ein: Sie müssen den vollständigen Pfad der Secrets Engine eingeben.
    • Sie können entweder den standardmäßigen Pfad der Secrets Engine v1/secret/data verwenden, wobei der Control Room automatisch den Pfad Secrets Engine an die von Ihnen eingegebene Tresor-URL anfügt (Beispiel: https://<hostname1:port_num>/v1/secret/data).
    • Oder Sie können Ihren eigenen Secrets Engine-Pfad im benutzerdefinierten Format konfigurieren: v1/<custom-kv-engine>/data.
    1. Optional: Geben Sie in das Feld Namespace den Namespace ein.
    2. Optional: Wenn die ausstellende Zertifizierungsstelle (CA) des HashiCorp-Serverzertifikats nicht von Control Room als vertrauenswürdig eingestuft wird, geben Sie ein optionales Serverzertifikat ein.
      Dies ist das Serverzertifikat (.pem-Format) für den HashiCorp-Server ohne einen privaten Schlüssel (Betreff des Zertifikats: Feld enthält den FQDN des HashiCorp-Servers). Das Installationsprogramm fügt das optionale HashiCorp-Serverzertifikat dem vom Control Room verwendeten Truststore hinzu.
    3. Klicken Sie auf Weiter.
      Hashicorp-Option für externen Schlüsseltresor
      Anmerkung: Beachten Sie die folgenden Hinweise für die benutzerdefinierte Installation:
      • Das Installationsprogramm zeigt keine Validierungsmeldung an, wenn Sie ein ungültiges virtuelles Verzeichnis oder einen ungültigen Secret-Engine-Pfad angeben.
      • Für den AA_INSTALL_ONLY-Parameter wird, wenn Sie False verwenden, der Einrichtungsbildschirm angezeigt, anstatt wie erwartet direkt mit der Installation fortzufahren.
  7. Übernehmen Sie die Standardeinstellungen aus dem Dialogfeld TLS-Konfiguration und klicken Sie auf Weiter.
  8. Wählen Sie im Dialogfeld Dienstanmeldedaten eine Option aus, um Geheimer HashiCorp-Name von HashiCorp anzugeben, anstatt den Nutzernamen und das Passwort für das Dienstkonto manuell einzugeben, das vom Control Room verwendet wird.
  9. Klicken Sie auf Dienstkonto (Anmeldedaten aus externem Schlüsseltresor abrufen) und geben Sie dann den Wert Geheimer HashiCorp-Name ein.
    Anmeldeinformationen für Dienste
    Anmerkung: Wenn die Option Dienstkonto nicht zur Angabe von Geheimer HashiCorp-Name verfügbar ist, bedeutet dies, dass HashiCorp Vault zuvor nicht ordnungsgemäß konfiguriert wurde. Wenden Sie sich an Ihr AAI-Supportteam.

    Siehe: Problembehandlung bei externen Schlüsseltresoren.

  10. Klicken Sie auf Weiter.
  11. Wählen Sie im Dialogfeld Datenbankserver Ihren Datenbankserver aus, geben Sie den Namen Ihrer Control Room-Datenbank ein und klicken Sie dann auf Weiter.
    HashiCorp Datenbank-Anmeldeinformationen
  12. Wählen Sie im Dialogfeld Datenbankauthentifizierung eine Option aus, um Geheimer HashiCorp-Name von HashiCorp anzugeben, anstatt den Nutzernamen und das Passwort manuell einzugeben, die Control Room zur Authentifizierung bei der Datenbank verwendet.
    1. Klicken Sie auf SQL Server-Authentifizierung (Anmeldedaten aus externem Schlüsseltresor abrufen) und geben Sie dann den Wert Geheimer HashiCorp-Name ein.
    2. Klicken Sie auf Weiter, um fortzufahren und die Erstinstallation abzuschließen.
    Das Installationsprogramm fragt die Anmeldedaten beim HashiCorp-Server ab, um die Konfiguration zu validieren.
    SQL-Server-Authentifizierung für den geheimen HashiCorp-Namen

Nach erfolgreicher Erstinstallation kann der Automation 360-Control Room auf Anmeldedaten im HashiCorp Vault zugreifen und diese abrufen.