ldap - 如何配置 hashcorp v1.2.3 以根据 LDAP 组中的成员身份限制登录？

问题描述

活动目录 LDAP 配置：

Key                             Value
---                             -----
binddn                          CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names            true
certificate                     n/a
deny_null_bind                  true
discoverdn                      false
groupattr                       memberOf
groupdn                         DC=ad,DC=xyz,DC=net
groupfilter                     (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls                    false
starttls                        true
tls_max_version                 tls12
tls_min_version                 tls12
token_bound_cidrs               []
token_explicit_max_ttl          0s
token_max_ttl                   0s
token_no_default_policy         true
token_num_uses                  0
token_period                    0s
token_policies                  []
token_ttl                       0s
token_type                      default
upndomain                       n/a
url                             ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior    true
use_token_groups                true
userattr                        cn
userdn                          DC=ad,DC=xyz,DC=net

这可以正常工作，因为当用户登录时，查询会返回用户所属的组，并且可以将策略映射到组。

问题在于不是任何 ldap 策略组成员的用户。目前，这些用户可以登录，但被拒绝访问所有内容，因为他们没有分配任何策略。我宁愿他们根本无法登录。

标签： ldaphashicorp-vault