тут ещё структура домена кудрявая ваще

А через гугл аутентификатор оно могёт? Честно не просмотрел ещё

Врубай дебаг и пости логи =)

vault list auth/ldap-dev/groups

vault read auth/ldap-dev/groups/users

думаю, уже завтра продолжу)

Интересная штука

@yshutkin Юра, по-моему, ты как раз это сделал, да? А если нет, то тут есть те, кто сделал)))

у нас прикручено но я еще не проверял именно как оно по группам воркает

пока одна группа

._.

завтра видимо буду проверять

/usr/local/bin/server_upal.sh

прорвало

Интеграция с АД настроена. Ей даже пользуются.

дай конфиг позырить

Вот с dev окружения.

$ vault read auth/ldap/config
Key                     Value
---                     -----
binddn                  CN=Vault,OU=Users,DC=domain,DC=local
case_sensitive_names    false
certificate             n/a
deny_null_bind          true
discoverdn              false
groupattr               cn
groupdn                 OU=Vault,OU=Groups,DC=domain,DC=local
groupfilter             (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}}))
insecure_tls            false
starttls                false
tls_max_version         tls12
tls_min_version         tls12
upndomain               n/a
url                     ldap://domain.local
use_token_groups        false
userattr                samaccountname
userdn                  DC=domain,DC=local

Не знаю как сейчас, но ранее должна существовать хотя бы одна политика в волте. Если задать upndomain, то текущие настройки не будут работать. Если смотреть лог волта в дебаг уровне при заданном upndomain, то .UserDN будет пусто. В моём случае волт смотрит в отдельный контейнер, в котором хранятся группы к которым привязываются политики. Можно и на OU=Groups натравить.

спасибо

как доберусь может приду с вилами ^W вопросами