K
Мне 2fa бы к волт юай
Size: a a a
2018 October 02
bc
Да, AD в качестве Authentication Backend.
Могу зайти в волт под доменным пользователем, всё ок.
Сделал секрет, сделал политику которая разрешает работать с этим серкретам. Хочу сделать что-бы на всех пользователи определенной группы AD применялась эта политика.
Могу зайти в волт под доменным пользователем, всё ок.
Сделал секрет, сделал политику которая разрешает работать с этим серкретам. Хочу сделать что-бы на всех пользователи определенной группы AD применялась эта политика.
bc
Мне 2fa бы к волт юай
bc
Наш любимый способ =) на клей и сопли + изолента
AA
Ну собственно, я на этапе
Оно проходит без ошибок, но политика не применяется на моего пользователя.
vault write auth/ldap/groups/systems policies=systemsОно проходит без ошибок, но политика не применяется на моего пользователя.
AA
Я вообще должен иметь возможность сделать
vault read auth/ldap/groups/ и увидеть список групп? Или это так не работет?bc
не, это так не работает =)
bc
сделайте vault login -method=ldap username= имя вашего пользователя
AA
bc
че пишет в полисиз?
bc
Successfully authenticated! The policies that are associated
with this token are listed below:
with this token are listed below:
AA
policies ["default" "websec"]
AA
Мой пользователь находится в гуппе abc123 в домене
В волте я сделал так
vault write auth/ldap/groups/abc123 policies=abc123
vault write auth/ldap/users/akulov policies=websec
В волте я сделал так
vault write auth/ldap/groups/abc123 policies=abc123
vault write auth/ldap/users/akulov policies=websec
AA
ожидаю увидеть
policies ["default" "websec" "abc123"]
policies ["default" "websec" "abc123"]
AA
Ещё я в логе волта вижу что он какие-то группы вытягивает из AD
[DEBUG] auth.ldap.auth_ldap_9102c785: groups fetched from server: num_server_groups=17
Но это не те группы, которые мне нужны.
[DEBUG] auth.ldap.auth_ldap_9102c785: groups fetched from server: num_server_groups=17
Но это не те группы, которые мне нужны.
bc
Да, я бы тоже ожидал, но это ж волт. Вы вот так сделайте vault write auth/ldap/users/akulov groups=abc123 policies=websec
bc
и еще один момент
It should be noted that user -> policy mapping happens at token creation time. And changes in group membership on the LDAP server will not affect tokens that have already been provisioned. To see these changes, old tokens should be revoked and the user should be asked to reauthenticate.
It should be noted that user -> policy mapping happens at token creation time. And changes in group membership on the LDAP server will not affect tokens that have already been provisioned. To see these changes, old tokens should be revoked and the user should be asked to reauthenticate.
AA
Да, я бы тоже ожидал, но это ж волт. Вы вот так сделайте vault write auth/ldap/users/akulov groups=abc123 policies=websec
Так тоже не работает, что-то я не то делаю)