Resolución de problemas de la bóveda de claves externa

Puede usar el archivo keyvault.properties y los archivos de registro de la aplicación para revisar la información de configuración e integración de las bóvedas externas de claves.

Use el archivo keyvault.properties

Puede utilizar el archivo keyvault.properties para revisar los atributos de configuración de estas bóvedas de claves externas:

  • Bóveda de contraseñas de CyberArk
  • Administrador de secretos de AWS
  • Bóveda de claves Azure
  • HashiCorp Vault

En el siguiente archivo keyvault.properties, se muestra un ejemplo con la bóveda de contraseñas de CyberArk:

Archivo keyvault.properties de CyberArk para la resolución de problemas

Para revisar el archivo keyvault.properties de AWS Secrets Manager, introduzca estos atributos de AWS (por ejemplo):

  • keyvault.type=AWS_SECRETS_MANAGER
  • keyvault.aws.region=us-oeste-2
Nota:
  • El atributo de la contraseña del certificado contiene la contraseña cifrada del archivo de certificado del Control Room. No modifique directamente el atributo de la frase de acceso del certificado; en su lugar, se recomienda usar la utilidad de la bóveda de claves.
  • Puede modificar el archivo keyvault.properties. Sin embargo, toda modificación requerirá que reinicie el servicio. Por ello, le recomendamos que use siempre la utilidad de la bóveda de claves para realizar modificaciones.

En HashiCorp Vault, los servidores Vault se configuran mediante un archivo en formato HashiCorp configuration language (HCL) o JSON. Para obtener información sobre el uso del archivo, consulte Vault Configuration.

Utilizar los archivos de registro de la aplicación

Puede utilizar estos archivos de registro de la aplicación para revisar la información de integración de bóvedas de claves externas:

  • WebCR_CredentialVaultlog
  • WebCR_RestException

Puede utilizar estos mensajes de registro para solucionar problemas de integración o de configuración de la bóveda de claves externa:

Descripción del mensaje de registro Causa o motivo
No se puede enviar un correo electrónico

No se puede conectar al servidor SMTP porque su nombre de usuario o contraseña SMTP es incorrecto

La credencial SMTP recuperada es incorrecta.
Los registros indican un fallo en la conexión a LDAP No se puede autenticar a través de Active Directory.
El archivo WebCR.log muestra un error de conectividad de la base de datos y el Control Room no arranca correctamente La contraseña de la base de datos recuperada es incorrecta.
El nombre de usuario o la contraseña son incorrectos La credencial de inicio de sesión automática recuperada es incorrecta para el usuario (se correlaciona con el registro de implementación de bot para la ID de usuario).
Los registros indican un fallo de conexión con CyberArk Existe un posible problema de caducidad del certificado si el fallo se produce después de un período de funcionamiento correcto de (3, 6 o 12) meses.
No se puede recuperar el secreto y la excepción de detalle tendrá causa Se está utilizando un identificador de credencial inexistente (nombre de caja fuerte, nombre de objeto o nombre secreto). También puede indicar que el identificador de credenciales se eliminó de la bóveda externa de claves (si antes funcionaba correctamente).
También puede indicar que la conexión de la bóveda de claves se ha caído o es inaccesible. O bien, los detalles de conexión (URL de la API, AppID, certificado, nombre de la región, claves de AWS) son incorrectos, se han cambiado en la bóveda de claves o han caducado.