CyberArk 비밀번호 저장소를 사용한 온프레미스 사후 설치

예약된 시스템 중단 시간 동안 명령줄 대화형 키 저장소 유틸리티를 사용하고 실행 중인 모든 Control Room 서비스를 중지해야 합니다. 가동 중지 시간 동안 연결 매개변수(예: 앱 ID, 저장소 URL, 포트 번호 및 인증서)에 영향을 줄 수 있는 모든 키 저장소 구성 변경 사항을 CyberArk 관리 팀과 조정해야 합니다.

전제 조건

주: 키 저장소 유틸리티를 사용하여 CyberArk 비밀번호 저장소 통합을 비활성화하는 경우 사용 중인 매핑된 자격증명의 매핑부터 먼저 해제해야 합니다.

설치 후 방법을 사용하여 다음 작업을 수행할 수 있습니다.

  • 외부 키 저장소 연결 매개변수를 수정하거나 구성합니다.
  • (초기 설치 중에 구성하지 않은 경우) 서비스 계정 자격증명(Active Directory 마스터 비밀번호)을 수정 또는 구성합니다.
  • (초기 설치 중에 구성하지 않은 경우) 데이터베이스(부트스트랩) 자격증명 식별자를 수정하거나 구성합니다(데이터베이스 인증 시 검색됨).
    주: 외부 키 저장소에서 부트스트랩 자격증명을 검색하면 부팅 중에 외부 키 저장소에 액세스할 수 없거나 Control Room이 데이터베이스 연결을 새로 고치고 Active Directory로 사용자를 인증할 때 외부 키 저장소에 액세스할 수 없는 경우 Control Room은 실패할 수 있습니다.
  • Control Room을 복구해야 하는 이유는 다음과 같습니다.
    • 외부 키 저장소 연결 매개변수, 서비스 계정, 데이터베이스 자격증명 안전 및 객체 식별자를 수정.
    • CyberArk 비밀번호 저장소 연결 매개변수 변경으로 인해 Control Room에서 연결 문제가 발생한 경우.
    • 부트스트랩 비밀번호에 대한 자격증명 식별자가 변경되는 경우.

      올바르게 설정되지 않은 초기 구성 설정을 해결하고 시스템을 복구할 수 있습니다.

관리 > 설정 > Active Directory로 이동하여 Automation 360 Control Room의 외부 키 저장소에서 정보를 검색하도록 SMTP 및 AD 자격증명 식별자를 구성하고 편집할 수 있습니다.

프로시저

  1. CyberArk 비밀번호 저장소용 키 저장소 유틸리티 실행
    주: dB 유틸리티 명령을 호출하기 전에 CyberArk 서버 인증서(CyberArk 서버에 발급된 인증서)를 Java 신뢰 저장소로 가져와야 합니다. 인증서는 .cer(PEM) 형식일 수 있으며, 개인 키를 포함하지 않습니다.

    키 저장소 유틸리티를 실행하고 키 저장소 연결 설정을 업데이트하려면:

    1. Control Room 관리자의 자격으로 초기 Automation 360 설치 중에 생성된 Automation Anywhere Control Room 설치 디렉터리에 액세스합니다.
      예시: C:\Program Files\Automation Anywhere\Enterprise
    2. 최신 버전의 키 저장소 유틸리티를 다운로드합니다. 디렉터리를 업데이트하는 데 사용되는 jar 파일을 다운로드하려면 다음과 같이 브라우저를 열고 A-People 사이트에 액세스하십시오. A-People Downloads page (Login required).
      주: DB 인증이 외부 키 저장소를 사용하도록 구성된 경우 유틸리티는 다음 예외를 return합니다. Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      그리고 사용자에게 다음 작업을 확인하도록 요청합니다. Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. 계속하려면 Y를 입력합니다.
    4. 다음을 입력합니다.
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. 키 저장소 유틸리티를 실행하려면 다음과 같은 jvm 인수를 명령에 추가합니다.
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      다음 구성 작업 중 하나를 업데이트할 수 있습니다.

      • CyberArk 키 저장소 구성을 편집하려면 UPDATE_KEY_VAULT_CONFIGURATION을 입력합니다.
      • 외부 키 저장소를 사용하여 데이터베이스 인증으로 변경하려면 UPDATE_DB_AUTHENTICATION_CONFIGURATION을 입력합니다.
  2. 사용한 구성 작업에 따라 다음과 같이 적절한 작업을 선택합니다.
    • CyberArk에 대한 키 저장소 구성 업데이트: UPDATE_KEY_VAULT_CONFIGURATION을 구성 작업으로 입력한 경우:
      1. 유틸리티가 현재 키 저장소 구성 및 속성을 로드하면 다음과 같은 프롬프트가 표시됩니다. Enter key vault [AWS/CYBERARK/AZURE/NONE] :, CYBERARK 입력합니다.
      2. Please enter Vault URL: 프롬프트에서 (예를 들면): https://services.uscentral.skytap.com:19516를 입력합니다.
      3. Please enter Application ID: 프롬프트에서 (예를 들면): AAEControlRoom를 입력합니다.
      4. Please enter Certificate path: 프롬프트에서 (예를 들면): C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12를 입력합니다.
        주: CyberArk에 인증하기 위해 Control Room에 발급된 클라이언트 인증서는 개인 키가 있는 p12(pkcs#12) 형식이어야 합니다.
      5. Passphrase will not be displayed on the console Passphrase: 프롬프트에서 패스프레이즈를 입력합니다.
      키 저장소 유틸리티가 실행됩니다. 구성에 성공하면(유틸리티가 구성된 매개변수를 사용하여 외부 키 저장소에 연결할 수 있음) 콘솔에 다음 메시지가 표시됩니다.
      Connection configurations valid
        Key Vault configurations successfully updated
    • CyberArk에 대한 데이터베이스 인증 업데이트: UPDATE_DB_AUTHENTICATION_CONFIGURATION을 구성 작업으로 입력한 경우:
      1. 유틸리티가 현재 데이터베이스 구성 정보를 로드한 후 다음 프롬프트가 표시됩니다.
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        KEY_VAULT을 입력합니다.

      2. Please enter Safe name: 프롬프트에서 (예를 들면): aa_vb_safe를 입력합니다.
      3. Please enter Object name: 프롬프트에서 (예를 들면): Database-MSSql-administrator-admin를 입력합니다.

      키 저장소 유틸리티가 실행됩니다. 데이터베이스 구성이 성공하면(유틸리티가 CyberArk에 연결하고 지정된 자격증명을 검색한 후 자격증명을 사용하여 데이터베이스에 연결할 수 있음) 다음 메시지가 콘솔에 표시됩니다.

      Database Credentials are valid
      Database authentication configurations successfully updated