- Технологический стек
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos в WEB-интерфейсе MULTIDIRECTORY
- Настройка DNS в WEB-интерфейсе MULTIDIRECTORY
- Настройка DHCP
- Настройка доверия в MULTIDIRECTORY
- Групповые политики
- Подключение MULTIFACTOR SelfService Portal к MULTIDIRECTORY
- Управление пользователями, группами и ресурсами
- Подключение к MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в GitFlic
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в Nexus
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Proxmox VE
- LDAP-аутентификация в Rancher
Инструкция по настройке LDAP-аутентификации в Vault
В статье описывается настройка LDAP-аутентификации в Vault, где поставщиком учетных записей является MULTIDIRECTORY.
Требование для настройки
- Установленная служба каталогов MULTIDIRECTORY.
- Предустановленный Vault.
Подготовка к настройке
- Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.
Конфигурация Vault для работы с MULTIDIRECTORY
Для настройки LDAP-авторизации перейдите в панель настроек Vault, выполните следующие шаги:
После установки, войдите в контейнер Vault.
docker exec -it dev-vault sh # dev-vault имя контейнера
Авторизуйтесь с «root» токеном.
vault login root
Включите «LDAP auth» метод.
vault login -method=ldap username=user_ldap
Настройте LDAP
vault write auth/ldap/config \
url="ldap://192.168.1.2:389" \
userattr="sAMAccountName" \
userdn="CN=users,DC=md,DC=loc" \
groupdn="CN=groups,DC=md,DC=loc" \
groupattr="cn" \
binddn="CN=admin,CN=users,DC=md,DC=loc" \
bindpass="Password" \
starttls=false
Настройка политик в Vault, для групп безопасности MULTIDIRECTORY.
Создайте политику для «Domain Admins (полный доступ)»
vault policy write domain-admins - <<EOF
# Полный доступ ко всем секретам
path "secret/data/*" {
capabilities = ["create", "read", "update", "delete", "list"]
}
# Управление секретными движками
path "secret/metadata/*" {
capabilities = ["list", "delete"]
}
# Просмотр и управление политиками
path "sys/policies/acl" {
capabilities = ["list"]
}
path "sys/policies/acl/*" {
capabilities = ["read", "create", "update", "delete", "list"]
}
# Управление аутентификацией
path "sys/auth" {
capabilities = ["read", "list"]
}
path "sys/auth/*" {
capabilities = ["create", "read", "update", "delete"]
}
# Просмотр системной информации
path "sys/health" {
capabilities = ["read"]
}
path "sys/capabilities-self" {
capabilities = ["update"]
}
EOF
Создайте политику для «Domain Users (ограниченный доступ)».
vault policy write domain-users - <<EOF
# Доступ только к своим секретам и общим
path "secret/data/{{identity.entity.name}}/*" {
capabilities = ["create", "read", "update", "delete", "list"]
}
path "secret/data/shared/*" {
capabilities = ["read", "list"]
}
# Управление своими токенами
path "auth/token/lookup-self" {
capabilities = ["read"]
}
path "auth/token/renew-self" {
capabilities = ["update"]
}
path "auth/token/revoke-self" {
capabilities = ["update"]
}
# Просмотр своей entity информации
path "identity/entity/id/{{identity.entity.id}}" {
capabilities = ["read"]
}
path "identity/entity/name/{{identity.entity.name}}" {
capabilities = ["read"]
}
EOF
