Size: a a a

DevSecOps - русскоговорящее сообщество

2018 October 02

K

Kirill in DevSecOps - русскоговорящее сообщество
Мне 2fa бы к волт юай
источник

K

Kirill in DevSecOps - русскоговорящее сообщество
Нету?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Alex Akulov
Да, AD в качестве Authentication Backend.
Могу зайти в волт под доменным пользователем, всё ок.
Сделал секрет, сделал политику которая разрешает работать с этим серкретам. Хочу сделать что-бы на всех пользователи определенной группы AD применялась эта политика.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Kirill
Мне 2fa бы к волт юай
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Наш любимый способ =) на клей и сопли + изолента
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Ну собственно, я на этапе
vault write auth/ldap/groups/systems policies=systems
Оно проходит без ошибок, но политика не применяется на моего пользователя.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Я вообще должен иметь возможность сделать
vault read auth/ldap/groups/ и увидеть список групп? Или это так не работет?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
не, это так не работает =)
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
сделайте vault login -method=ldap username= имя вашего пользователя
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
работает
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
че пишет  в полисиз?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Successfully authenticated! The policies that are associated
with this token are listed below:
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
сек
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
policies               ["default" "websec"]
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Мой пользователь находится в гуппе abc123 в домене
В волте я сделал так
vault write auth/ldap/groups/abc123 policies=abc123
vault write auth/ldap/users/akulov policies=websec
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
ожидаю увидеть
policies               ["default" "websec" "abc123"]
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Ещё я в логе волта вижу что он какие-то группы вытягивает из AD
[DEBUG] auth.ldap.auth_ldap_9102c785: groups fetched from server: num_server_groups=17
Но это не те группы, которые мне нужны.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Да, я бы тоже ожидал, но это ж волт. Вы вот так сделайте  vault write auth/ldap/users/akulov groups=abc123 policies=websec
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
и еще один момент
It should be noted that user -> policy mapping happens at token creation time. And changes in group membership on the LDAP server will not affect tokens that have already been provisioned. To see these changes, old tokens should be revoked and the user should be asked to reauthenticate.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Да, я бы тоже ожидал, но это ж волт. Вы вот так сделайте  vault write auth/ldap/users/akulov groups=abc123 policies=websec
Так тоже не работает, что-то я не то делаю)
источник