Блог

Я только начал использовать Vault и теперь пытаюсь настроить его с помощью LDAP. Ниже приведена моя конфигурация, которую я пытаюсь использовать, но мне нужен способ ограничить вход в систему для некоторых конкретных пользователей.

Я хочу отфильтровать пользователей, чтобы разрешить только некоторым определенным пользователям входить в Vault со своими учетными данными ldap, потому что мой active Directory содержит всех пользователей моей компании, поэтому я не хочу, чтобы они вообще имели доступ к хранилищу.

Я пытался использовать group_filter подобное ниже, но, похоже, это не работает. Только в соответствии с приведенным ниже userNAme1 и userName2 должен иметь возможность входить в систему, а rest не должен

 url="ldap://ldap.systems:389" 
    userattr=AccName 
    userdn="OU=User Acc,DC=systems" 
    groupdn="OU=User Acc,DC=systems" 
    groupfilter="(amp;(objectClass=person)(|(AccName=userName1)(userName2)))" 
    groupattr="memberOf" 
    binddn="CN=SRV-vault,OU=Administrative Users,OU=User Acc,DC=systems" 
    bindpass='yhr7dgbdfhkd8' 
    insecure_tls=true 
    starttls=true
  

Я очень новичок в vault, поэтому любые рекомендации приветствуются. Спасибо.

Я не использовал серверную часть аутентификации LDAP, но из документации похоже groupfilter , что он предназначен для определения, к каким группам принадлежит пользователь, а не для фильтрации пользователей, которые могут входить в систему.

Если вы не можете найти способ полностью заблокировать любой вход в систему других пользователей, вы можете вместо этого разрешить доступ к секретным данным только с помощью userName1 и userName2 . Для этого просто настройте объекты для этих двух пользователей, используйте псевдонимы, чтобы связать объекты с пользователями LDAP, и предоставьте этим объектам права доступа. Любой другой входящий в систему должен обнаружить, что ему отказано в доступе ко всему.