这是我的Cyber​​Ark故障排除帖子,记录了我在使用Cyber​​Ark PAS(特权帐户安全)解决方案时遇到的问题,包括以下模块:PVWA(密码库Web访问),PSM(特权会话管理器),CPM(中央策略管理器)。

  • PVWA:以管理员身份运行时,报告失败
  • Cyber​​Ark系统运行状况仪表板
  • LDAP登录而不输入域名
  • 更改Windows本地管理员帐户被拒绝
  • 更改Win帐户密码失败
  • PVWA登录:您的会话已过期
  • 网络级别身份验证和CredSSP加密oracle修复错误
  • ITATS450E所有者xyz是Safe的配额所有者
  • PVWA提示更改密码

    以管理员身份运行时报告失败

    以内置管理员用户身份登录PVWA,但在运行报告时收到失败的通知。

    您会发现错误“不允许冒充管理员。 ”(来自Vault Server Consle)。保险柜日志文件中的相关日志:
    CASW024E用户[管理员]的内部模拟失败。原因:ITATS968E用户管理员不允许模拟。


    问题:
    这是Password 金库 Web访问报告引擎的已知限制。
    :
    以管理员以外的用户身份连接到PVWA,以运行报告。

    Cyber​​Ark系统运行状况仪表板 

    与DR复制错误有关。这是从活动Vault服务器找到的日志。可以从以下文件找到日志: C:\ Program Files(x86)\ PrivateArk \ Server \ Logs \ italog.log

    注意:服务器192.23.1.25是PVWA

    可以根据Cyber​​Ark文章解决问题:
    PVWA –如何为PVWA手动创建/更新凭证文件?

    对于有问题的psm服务器:

    • 检查psmapp.cred和psmgw.cred中的用户名 
    • 在有问题的psm服务器上使用命令更改密码
    • 更新保管库中的用户密码

    pvwa服务器用户的过程相同。

    • 检查文件夹下的appuser.ini和gwuser.ini: C:\ Cyber​​Ark \ Password 金库 Web访问\ CredFiles
    • 您会在这两个文件中找到用户名。
    • 在问题pvwa服务器上使用命令更改密码
    • 更新保管库中的用户密码
    C:\CyberArk\Password 金库 Web Access\Env>CreateCredFile.exe appuser.ini金库 Username [mandatory] ==> PVWAAppUser1
    Vault Password (will be encrypted in credential file) ==> *********
    Disable wait for DR synchronization before allowing password change (yes/no) [No] ==>
    External Authentication Facility (LDAP/Radius/No) [No] ==>
    Restrict to Application Type [optional] ==> PVWAAPP
    Restrict to Executable Path [optional] ==>
    Restrict to current machine IP (yes/no) [No] ==>
    Restrict to current machine hostname (yes/no) [No] ==>
    Restrict to OS User name [optional] ==>
    Display Restrictions in output file (yes/no) [No] ==>
    Use Operating System Protected Storage for credentials file secret (Machine/User/No) [No] ==> Machine
    Command ended successfully
    
    C:\CyberArk\Password 金库 Web Access\Env>CreateCredFile.exe gwuser.ini金库 Username [mandatory] ==> PVWAGWUser1
    Vault Password (will be encrypted in credential file) ==> *********
    Disable wait for DR synchronization before allowing password change (yes/no) [No] ==>
    External Authentication Facility (LDAP/Radius/No) [No] ==>
    Restrict to Application Type [optional] ==>
    Restrict to Executable Path [optional] ==>
    Restrict to current machine IP (yes/no) [No] ==>
    Restrict to current machine hostname (yes/no) [No] ==>
    Restrict to OS User name [optional] ==>
    Display Restrictions in output file (yes/no) [No] ==>
    Use Operating System Protected Storage for credentials file secret (Machine/User/No) [No] ==> Machine
    Command ended successfully
    
    C:\Windows\system32>iisreset
    
    Attempting stop...
    Internet services successfully stopped
    Attempting start...
    Internet services successfully restarted
    
    
    

    重新启动后,DR和主服务器  PSM &PVWA服务器,系统终于恢复健康状态。

    LDAP登录而不输入域名

    修理
    UPN登录用户名,请执行以下操作:
    1. 登录
      使用管理员帐户访问PVWA
    2. 导航
      至:配置选项>LDAP integration>LDAP
    3. 更改
      AddDomainToUserName为否
    4. 使
      确定可以节省
    注意: 这将在
    金库
    (现在将是test1而不是 [电子邮件 protected])。
    所以现在删除您的 [电子邮件 protected] 用户进行更改后,或将其删除
    之前(没有区别)。
    注意2:您可能会丢失所有保存的视图,或者
    个人喜好,则需要重新创建。
    您将需要为所有现有用户执行此操作
    具有完整UPN的帐户,现在可以使用SAMAccountName(
    您的情况)。
    您不需要做任何其他事情。它的
    最好在您吸引大量用户在
    金库
    要通过RDP代理修复辅助登录,请执行以下操作:
    首先,我应该注意保存的不良做法
    您在RDCM中的凭据,但是您不能阻止用户这样做。然而
    如果这样做,则应将登录域包括在设置中:
    用户名:test1
    密码:*******
    网域:51sec.org
    如果您使用其他格式,则可以登录
    进入PSM,但保险柜仅使用用户名(不包括域)

    更改Windows本地管理员帐户被拒绝

    使用登录帐户对域17.2.2.1.12(\\ 172.2.1.12)上的用户172.2.1.12 \ tmpadmin进行更改传递操作时出错。原因:访问被拒绝。 (winRc = 5)。登录帐户详细信息–安全:Win-Logon-Reconcile-ISO,文件夹:Root,对象:Operating System-WinSrvLocal-172.2.1.12-appadmin CPM试图更改此密码,因为其状态符合以下搜索条件:立即重置。


    Winrc = 5:当帐户无权执行更改时,通常会发生此错误。用户是否有权更改自己的密码?

    解:

    1)在目标计算机上,以管理员身份登录
    2)启动“开始”->“管理工具” ->“本地安全政策”
    3)展开“本地策略”,然后单击“安全选项”
    4)双击“用户帐户控制:以管理员批准模式运行所有管理员”
    5)选中“禁用”按钮
    6)点击“应用”
    7)重启系统

    参考: //cyberark-customers.force.com/s/article/00003277

    注意:如果您使用本地管理员帐户作为登录帐户,则需要进行此策略更改。但是,如果您使用的是域管理员帐户,则无需执行此步骤。

    还有另一种 解决方法 对于这个问题:
    转到平台,编辑,右键单击自动密码管理,其他策略设置,将ChangePasswordInResetMode从no更改为Yes。

    这将使对帐帐户可以更改密码。它在平台级别。您将确保您的帐户具有与之关联的对帐帐户。

    更改Win帐户密码失败 

    由于密码不符合密码策略要求而失败。

    使用登录帐户对域17.2.2.1.12(\\ 172.2.1.12)上的用户172.2.1.12 \ tmpadmin进行更改传递操作时出错。原因:密码不符合密码策略要求。检查最小密码长度,密码复杂性和密码历史记录要求。 (winRc = 2245)。登录帐户详细信息–安全:Win-Logon-Reconcile-ISO,文件夹:Root,对象:Operating System-WinSrvLocal-172.2.1.12-appadmin CPM试图更改此密码,因为其状态符合以下搜索条件:立即重置。

    Winrc = 2245:如果存在诸如最小密码长度,密码复杂性和密码历史记录要求之类的限制,则会发生此错误。在这种情况下,您可以使用协调帐户,该帐户具有重置相关目标帐户的权限。基本上,您使用的是Recon帐户来重置其他帐户的密码。

    对我而言,我违反了此最低密码使用期限1天的政策规则。我等了一天,再次测试,它可以正常工作。

    PVWA登录:您的会话已过期

    尝试登录PVWA并收到此错误。尝试使用其他帐户,并且仍然相同。

    解决方法很简单,可以在PVWA服务器上进行iisreset。

    ITATS450E所有者xyz是Safe的配额所有者

    某些人,您将无法删除安全成员,该成员是安全配额的所有者。

    //cyberark-customers.force.com/s/article/00000991

    问题:
    创建保险箱的任何用户都是保险箱的配额所有者, 除非另一个不能删除 具有适当权限的用户(管理安全和管理安全所有者) takes the Safe’s quota ownership.
    :
    1.使用具有“管理保险箱”和“管理保险箱所有者”权限的用户登录
    2.转到安全|属性,然后在常规标签上选中“将安全配额分配给我的帐户”框
    3.从安全所有者列表中删除以前的配额所有者

    PVWA提示更改LDAP登录密码

    使用LDAP或其他非Cyber​​Ark身份验证方法登录PVWA后,它可能会通知您更改密码。 

    Cyber​​Ark将检查您的LDAP登录名的到期日期,默认情况下,如果发现它将在7天后到期,它将要求您进行更改。

    设置在下一页中。它在选项->身份验证方法-> Generalsettings ->AllowPasswordChangeInNonCyber​​ArkAuth 
    的 AllowPasswordChangeInNonCyber​​ArkAuth 参数确定使用LDAP身份验证登录的用户是否能够更改其密码。


    密码到期通知天数 定义密码过期之前将通知用户的天数(仅与Cyber​​Ark身份验证有关)。要取消此通知,请指定-1。

    通过 约翰扬

    发表评论