Dépannage de coffres à clé externes
- Mis à jour : 2023/06/19
Dépannage de coffres à clé externes
Vous pouvez utiliser le fichier keyvault.properties et les fichiers journaux de l'application pour examiner les informations de configuration et d'intégration des coffres à clé externes.
Utilisation du fichier keyvault.properties
Vous pouvez utiliser le fichier keyvault.properties pour examiner les attributs de configuration de ces coffres à clé externes :
- CyberArk Password Vault
- AWS Secret Manager
- Azure Key Vault
- HashiCorp Vault
Le fichier keyvault.properties suivant montre un exemple avec le CyberArk Password Vault :
Pour examiner le fichier keyvault.properties d'AWS Secrets Manager, entrez ces attributs AWS (par exemple) :
- keyvault.type=AWS_SECRETS_MANAGER
- keyvault.aws.region=us-west-2
- L'attribut de phrase secrète du certificat contient la phrase secrète chiffrée du fichier de certificat de la Control Room. Ne pas modifier directement l'attribut de la phrase secrète du certificat ; utiliser plutôt l'utilitaire de coffre à clé.
- Vous pouvez modifier le fichier keyvault.properties. Cependant, toute modification nécessitera un redémarrage du service. Nous vous recommandons donc de toujours utiliser l'utilitaire de coffre à clé pour effectuer des modifications.
Pour HashiCorp Vault, les serveurs Vault sont configurés à l'aide d'un fichier au format HCL (HashiCorp Configuration Language) ou JSON. Pour plus d'informations sur l'utilisation du fichier, reportez-vous à Configuration du coffre.
Utilisation des fichiers journaux de l'application
Vous pouvez utiliser ces fichiers journaux d'application pour examiner les informations relatives à l'intégration des coffres à clé externes :
- WebCR_CredentialVaultlog
- WebCR_RestException
Vous pouvez utiliser ces messages de journal pour résoudre les problèmes d'intégration ou de configuration des coffres à clé externes :
| Description du message de journal | Cause ou raison |
|---|---|
| Impossible d'envoyer un e-mail Impossible de se connecter au serveur SMTP, car votre nom d'utilisateur ou votre mot de passe SMTP est incorrect |
Les informations d'identification SMTP récupérées sont incorrectes. |
| Les journaux indiquent un échec de la connexion à LDAP | Échec d'authentification par Active Directory. |
| Le fichier WebCR.log montre une erreur de connectivité de la base de données, et la Control Room ne démarre pas correctement | Le mot de passe de la base de données récupérée est incorrect. |
| Votre nom d'utilisateur ou votre mot de passe est incorrect | Les informations d'identification de connexion automatique récupérées sont incorrectes pour l'utilisateur (en corrélation avec le journal de déploiement du robot pour l'ID d'utilisateur). |
| Les journaux indiquent un échec de connexion à CyberArk | Un problème d'expiration du certificat peut se poser si la panne survient après une période de bon fonctionnement de (3, 6 ou 12) mois. |
| Impossible de récupérer le secret, et l'exception de détail aura pour cause | Un identifiant d'informations d'identification inexistant (nom de sécurité, nom d'objet ou nom de secret) est utilisé. Cela peut également indiquer que l'identifiant d'informations d'identification a été supprimé du coffre à clé externe (s'il fonctionnait correctement auparavant). |
| Cela peut également indiquer que la connexion du coffre à clé est en panne ou inaccessible. Ou bien, les détails de la connexion (URL de l'API, ID d'app, certificat, nom de région, clés AWS) sont incorrects, ont été modifiés dans le coffre à clé ou ont expiré. |