Да, AD в качестве Authentication Backend. Могу зайти в волт под доменным пользователем, всё ок. Сделал секрет, сделал политику которая разрешает работать с этим серкретам. Хочу сделать что-бы на всех пользователи определенной группы AD применялась эта политика.
Ну собственно, я на этапе vault write auth/ldap/groups/systems policies=systems Оно проходит без ошибок, но политика не применяется на моего пользователя.
Мой пользователь находится в гуппе abc123 в домене В волте я сделал так vault write auth/ldap/groups/abc123 policies=abc123 vault write auth/ldap/users/akulov policies=websec
Ещё я в логе волта вижу что он какие-то группы вытягивает из AD [DEBUG] auth.ldap.auth_ldap_9102c785: groups fetched from server: num_server_groups=17 Но это не те группы, которые мне нужны.
и еще один момент It should be noted that user -> policy mapping happens at token creation time. And changes in group membership on the LDAP server will not affect tokens that have already been provisioned. To see these changes, old tokens should be revoked and the user should be asked to reauthenticate.