Лого Лого
Лого
Подписаться
Лого
Компания
Дополнительно
Продукты
Связаться с нами
+7 499 444 08 82 sales@multidirectory.ru support.md@multidirectory.ru
© 2025 MULTIDIRECTORY. Все права защищены.
Лого
2025
  • Интеграции LDAP и LDAPS
  • LDAP-аутентификация в Vault

Инструкция по настройке LDAP-аутентификации в Vault

В статье описывается настройка LDAP-аутентификации в Vault, где поставщиком учетных записей является MULTIDIRECTORY.

Требование для настройки

  • Установленная служба каталогов MULTIDIRECTORY.
  • Предустановленный Vault.

Подготовка к настройке

  • Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.

Конфигурация Vault для работы с MULTIDIRECTORY

Для настройки LDAP-авторизации перейдите в панель настроек Vault, выполните следующие шаги:

После установки, войдите в контейнер Vault.

docker exec -it dev-vault sh    # dev-vault имя контейнера

Авторизуйтесь с «root» токеном.

vault login root

Включите «LDAP auth» метод.

vault login -method=ldap username=user_ldap

Настройте LDAP

vault write auth/ldap/config \
    url="ldap://192.168.1.2:389" \
    userattr="sAMAccountName" \
    userdn="CN=users,DC=md,DC=loc" \
    groupdn="CN=groups,DC=md,DC=loc" \
    groupattr="cn" \
    binddn="CN=admin,CN=users,DC=md,DC=loc" \
    bindpass="Password" \
    starttls=false

Настройка политик в Vault, для групп безопасности MULTIDIRECTORY.

Создайте политику для «Domain Admins (полный доступ)»

vault policy write domain-admins - <<EOF
# Полный доступ ко всем секретам
path "secret/data/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

# Управление секретными движками
path "secret/metadata/*" {
  capabilities = ["list", "delete"]
}

# Просмотр и управление политиками
path "sys/policies/acl" {
  capabilities = ["list"]
}

path "sys/policies/acl/*" {
  capabilities = ["read", "create", "update", "delete", "list"]
}

# Управление аутентификацией
path "sys/auth" {
  capabilities = ["read", "list"]
}

path "sys/auth/*" {
  capabilities = ["create", "read", "update", "delete"]
}

# Просмотр системной информации
path "sys/health" {
  capabilities = ["read"]
}

path "sys/capabilities-self" {
  capabilities = ["update"]
}
EOF

Создайте политику для «Domain Users (ограниченный доступ)».

vault policy write domain-users - <<EOF
# Доступ только к своим секретам и общим
path "secret/data/{{identity.entity.name}}/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "secret/data/shared/*" {
  capabilities = ["read", "list"]
}

# Управление своими токенами
path "auth/token/lookup-self" {
  capabilities = ["read"]
}

path "auth/token/renew-self" {
  capabilities = ["update"]
}

path "auth/token/revoke-self" {
  capabilities = ["update"]
}

# Просмотр своей entity информации
path "identity/entity/id/{{identity.entity.id}}" {
  capabilities = ["read"]
}

path "identity/entity/name/{{identity.entity.name}}" {
  capabilities = ["read"]
}
EOF

Сookies
Продолжая использовать сайт, вы соглашаетесь с тем, что мы используем cookies