如何解决库登录后创建库令牌-method ldap
Vault版本1.5.2
我的最终目标是在某些Terraform代码中使用Vault来检索临时凭证。问题是,即使当前令牌是5分钟令牌,Terraform也会始终生成新的子令牌。这意味着当前的VAULT_TOKEN必须是某种超级根令牌,因为我已经尝试使用LDAP后端登录,并且无论尝试使用哪种策略或令牌角色都没有关系,似乎我永远也不会生成新的令牌。
要复制Terraform在做什么:
vault login -address vault.example -ca-cert ca.pem -method ldap -path ldap_users user=botman
Couldn't start vault with IPC_LOCK. Disabling IPC_LOCK,please use --privileged or --cap-add IPC_LOCK
Password (will be hidden):
s.<token>
我拥有政策定义的所有许可,一切似乎都很好。
现在尝试创建子令牌:
vault token create -address vault.example -ca-cert ca.pem -role superrole
Error creating token: Error making API request.
URL: POST https://vault.example/v1/auth/token/create/superrole
Code: 400. Errors:
* restricted use token cannot generate child tokens
删除-role
参数,我们将得到相同的错误。
我尝试到处寻找丢失的内容,但是唯一可以创建子令牌的令牌似乎是根令牌。
如果我错过了一些简单的事情,我深表歉意。
我已附加了一个示例策略(我尝试了很多策略,但是这似乎是最极端的方法)
path "auth/*" {
capabilities = ["create","read","update","delete","list","sudo"]
}
感谢您的帮助。
编辑:
我花了一些时间来进行一些测试以进行测试。我添加了与LDAP后端完全相同的策略。使用该方法,我可以获取令牌,然后从初始令牌创建新令牌。我看了一下LDAP文档,看我是否错过了某个地方,该地方说您无法使用源自LDAP的令牌创建子令牌,而且找不到任何东西:https://www.vaultproject.io/docs/auth/ldap.html
EDIT2:
LDAP身份验证后端的Pulumi配置
return vault.ldap.AuthBackend(
resource_name="vault-ldap-{}".format(ldap.name),binddn=bind_dn,bindpass=bind_pass,certificate=cert,description=ldap.desc,discoverdn=False,groupattr="cn",groupdn=ldap.groupdn,groupfilter="(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}}))",insecure_tls=False,path="ldap_{}".format(ldap.name),starttls=False,tls_max_version="tls12",tls_min_version="tls10",token_explicit_max_ttl=14 * 60 * 60 * 24,token_max_ttl=7 * 60 * 60 * 24,token_num_uses=56,url=url,userattr="samaccountname",userdn=ldap.userdn,opts=opts,)
解决方法
我看到您的LDAP后端正在设置token_num_uses
。从this documentation和this discussion开始,将token_num_uses
设置为非零值将阻止令牌创建子令牌。
对于LDAP而言,它不能用于AppRole的原因是因为LDAP后端正在应用token_num_uses
属性,而我猜测AppRole后端却没有。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。