这是我的Cyber​​ ark故障排除帖子,以记录在Cyber​​ark PAS(特权账户安全)解决方案期间遇到的那些问题,包括以下模块:PVWA(Password Vault Web Access),PSM(特权会话管理器),CPM(中央策略管理器)。

  • PVWA:在管理员身份运行时报告失败
  • Cyber​​ Ark系统健康仪表板
  • LDAP. Log In without Entering Domain Name
  • 更改Windows本地管理帐户拒绝
  • 更改赢取帐户密码失败
  • pvwa登录:您的会话已过期
  • 网络级身份验证和CredSSP加密的错误Oracle Remediation
  • 它 ATS450E所有者XYZ是安全的配额所有者
  • PVWA提示更改密码

    登录PVWA作为内置管理员用户,但在运行报告时出现了失败的通知。

    你可以找到错误“不允许对管理员进行冒充。“从Vault Server Conse。或Vault日志文件中的相关日志:
    CASW024E为用户[管理员]的内部模拟失败。原因:用户管理员不允许ITATS968E模拟。


    问题:
    这是一个已知的密码Vault Web Access报告引擎的限制。
    解决方案:
    除管理员以外的用户以运行报告,请连接到PVWA。

    Cyber​​ Ark系统健康仪表板

    它与DR Replication Error有关。从Active Vault Server找到了日志。可以从此文件中找到日志:C:\ Program Files(x86)\ privateark \ server \ logs \ Italog.log

    注意:Server 192.23.1.25是pvwa

    问题可以根据Cyber​​ark文章修复:
    PVWA - 如何手动为PVWA创建/更新凭据文件?

    对于问题PSM服务器:

    • 在psmapp.cred和psmgw.cred中查看用户名
    • 在问题PSM服务器时使用命令更改密码
    • 更新Vault中的用户密码

    PVWA服务器用户的过程相同。

    • 在文件夹下检查appuser.ini和gwuser.ini:c:\ cyberark \ password vault web Access \ Credfiles
    • 您将在这两个文件中找到用户名。
    • 在问题PVWA服务器时使用命令更改密码
    • 更新Vault中的用户密码
    C:\CyberArk\Password Vault Web Access\Env>CreateCredFile.exe appuser.ini拱顶 Username [mandatory] ==> PVWAAppUser1
    Vault Password (will be encrypted in credential file) ==> *********
    Disable wait for DR synchronization before allowing password change (yes/no) [No] ==>
    External Authentication Facility (LDAP/Radius/No) [No] ==>
    Restrict to Application Type [optional] ==> PVWAAPP
    Restrict to Executable Path [optional] ==>
    Restrict to current machine IP (yes/no) [No] ==>
    Restrict to current machine hostname (yes/no) [No] ==>
    Restrict to OS User name [optional] ==>
    Display Restrictions in output file (yes/no) [No] ==>
    Use Operating System Protected Storage for credentials file secret (Machine/User/No) [No] ==> Machine
    Command ended successfully
    
    C:\CyberArk\Password Vault Web Access\Env>CreateCredFile.exe gwuser.ini拱顶 Username [mandatory] ==> PVWAGWUser1
    Vault Password (will be encrypted in credential file) ==> *********
    Disable wait for DR synchronization before allowing password change (yes/no) [No] ==>
    External Authentication Facility (LDAP/Radius/No) [No] ==>
    Restrict to Application Type [optional] ==>
    Restrict to Executable Path [optional] ==>
    Restrict to current machine IP (yes/no) [No] ==>
    Restrict to current machine hostname (yes/no) [No] ==>
    Restrict to OS User name [optional] ==>
    Display Restrictions in output file (yes/no) [No] ==>
    Use Operating System Protected Storage for credentials file secret (Machine/User/No) [No] ==> Machine
    Command ended successfully
    
    C:\Windows\system32>iisreset
    
    Attempting stop...
    Internet services successfully stopped
    Attempting start...
    Internet services successfully restarted
    
    
    

    重新启动博士和主要诗篇后&PVWA服务器,系统终于恢复了健康的状态。

    LDAP. Log In without Entering Domain Name

    修理
    UPN登录用户名,执行以下操作:
    1. 登录
      与管理员帐户的pvwa
    2. 导航
      到:配置选项>LDAP. 集成>LDAP.
    3. 改变
      adddomaintourername to no.
    4. 制作
      确保它节省了
    笔记:这将为您的用户复制
    拱顶
    (现在它将是test1而不是[电子邮件 protected])。
    所以现在删除你的[电子邮件 protected]用户进行更改后或删除它
    之前(它没有区别)。
    注2:您可能会丢失任何已保存的视图或
    个人喜好,您将需要重新创建。
    您需要为所有现有用户执行此操作
    具有完整的UPN,现在他们现在可以使用SamAccountName登录(Test1
    你的情况)。
    你不应该做任何其他事情。它的
    在你得到很多用户在创造自己之前最好这样做
    拱顶
    通过RDP代理修复辅助登录:
    首先,我应该记下其糟糕的做法来节省
    您在RDCM中的凭据,但您不能阻止您的用户执行此操作。然而
    如果他们这样做,它们应将登录域包含在设置中:
    用户名:Test1.
    密码: *******
    域名:51sec.org.
    如果使用另一种格式,它会用于注销您
    在PSM中,但Vault仅期望用户名(不包括域)

    更改Windows本地管理帐户拒绝

    在域172.2.1.12 \ tmpadmin ove overs 172.2.1.12(\\ 172.2.1.12)中出现错误。原因:访问被拒绝。 (WinRC = 5)。登录帐户详细信息 - 安全:Win-Logon-Reconcile-ISO,文件夹:root,对象:操作系统-WinsRvlocal-172.2.1.12-AppAdmin CPM尝试更改此密码,因为其状态与以下搜索条件匹配:ResetImmedia匹配。


    WinRC = 5:当帐户无权执行更改时,通常会发生此错误。用户是否有权更改自己的密码?

    解决方案:

    1)在目标机器上,以管理员身份登录
    2)启动“开始” - >“管理工具” ->“地方安全政策”
    3)展开“本地策略”,然后单击“安全选项”
    4)双击“用户帐户控制:运行Admin Approval模式中的所有管理员”
    5)检查“禁用”按钮
    6)单击“申请”
    7)重新启动系统

    参考://cyberark-customers.force.com/s/article/00003277

    注意:如果您使用当地管理员帐户作为登录帐户,则需要进行此策略更改。但是,如果您使用的是域名管理员帐户,则不必要此步骤。

    还有另一种解决方法对于这个问题:
    转到平台,编辑,右键单击“自动密码管理”,“额外的策略设置”,从“否”更改ChangePasswordInresetMode。

    这将启用更改密码行为来由协调帐户完成。它是平台级别。您将确保您的帐户有一个与之关联的账户。

    更改赢取帐户密码失败

    失败,因为密码不符合密码策略要求。

    在域172.2.1.12 \ tmpadmin ove overs 172.2.1.12(\\ 172.2.1.12)中出现错误。原因:密码不符合密码策略要求。检查最小密码长度,密码复杂性和密码历史记录要求。(WinRC = 2245)。登录帐户详细信息 - 安全:Win-Logon-Reconcile-ISO,文件夹:root,对象:操作系统-WinsRvlocal-172.2.1.12-AppAdmin CPM尝试更改此密码,因为其状态与以下搜索条件匹配:ResetImmedia匹配。

    WinRC = 2245:当存在最小密码长度(密码复杂性和密码历史要求)时发生限制时发生此错误。在这种情况下,您可以使用协调帐户来重置有问题的目标帐户。基本上,您正在使用Reco帐户来重置其他帐户的密码。

    对我来说,我正在违反这个最低密码年龄1天的政策规则。我等了一天再试一次,它有效。

    pvwa登录:您的会话已过期

    试图登录pvwa并收到此错误。尝试了一个不同的帐户,仍然是相同的。

    解决方案很简单,PVWA服务器上的IISreset。

    它 ATS450E所有者XYZ是安全的配额所有者

    有时,您将删除一个安全的配额所有者的安全成员会出现问题。

    //cyberark-customers.force.com/s/article/00000991

    问题:
    创建一个安全的用户是安全的配额所有者,除非另一个具有适当许可的另一个用户(管理安全和管理安全所有者)采取安全的配额所有权,否则无法删除。
    解决方案:
    1.使用安全性和管理安全所有者授权的用户登录安全性
    2.去安全|属性并在常规选项卡上查看“在”拍摄安全配额“框中
    3.从安全所有者列表中删除以前的配额所有者

    PVWA提示更改LDAP登录密码

    使用LDAP或其他非Cyber​​Ark身份验证方法登录PVWA后,它可能会通知您更改密码。

    Cyber​​ Ark将检查您的LDAP登录的到期日期,默认情况下,如果发现它将在7天内过期,它会要求您更改它。

    设置在以下页面。它在选项 - >身份验证方法 - >常规设置 - >allowpasswordchangeinnoncyberarkauth.
    allowpasswordchangeinnoncyberarkauth.参数确定使用LDAP身份验证登录的用户是否能够更改密码。


    PasswordExpationNotificationday定义密码到期前的天数用户将通知用户(仅对Cyber​​ Artication相关相关)。要取消此通知,请指定-1。

    经过jonny.

    2关于“Cyber​​ Ark PAS解决方案问题和故障排除(PVWA)的思考”
    1. 嗨gowtham,
      我没有用haproxy作为pvwa的lb。但它可能与负载平衡的IP / FQDN设置相关,而不是PVWA安装期间设置的默认值。
      视频://www.youtube.com/watch?v=4MXq3oyjaFc,7:22,您将看到Vault Server和PVWA连接详细信息页面,您需要将PVWA Load Balancer的URL放入PVWA URL TextBox中。

      如果有帮助,请告诉我。

    发表评论