ldap - 使用 LDAP 配置 Hashicorp Vault 并限制登录
问题描述
我刚刚开始使用 Vault,现在尝试使用 LDAP 对其进行配置。下面是我正在尝试使用的配置,但我想要的是一种将登录限制为某些特定用户的方法。
我想过滤用户以仅允许某些特定用户使用其 ldap 凭据登录 Vault,因为我的活动目录包含我公司的所有用户,因此根本不希望他们访问 Vault。
我尝试使用group_filter下面的类似方法,但它似乎不起作用。仅按照以下内容userNAme1,userName2应该能够登录并且休息不应该
url="ldap://ldap.systems:389" \
userattr=AccName \
userdn="OU=User Acc,DC=systems" \
groupdn="OU=User Acc,DC=systems" \
groupfilter="(&(objectClass=person)(|(AccName=userName1)(userName2)))" \
groupattr="memberOf" \
binddn="CN=SRV-vault,OU=Administrative Users,OU=User Acc,DC=systems" \
bindpass='yhr7dgbdfhkd8' \
insecure_tls=true \
starttls=true
我对保险库非常陌生,因此感谢您提供任何指导。谢谢。
解决方案
我没有使用 LDAP 身份验证后端,但从文档来看,它似乎groupfilter是用于确定用户所属的组,而不是用于过滤哪些用户可以登录。
如果您无法找到完全阻止其他用户登录的方法,则可以改为只允许userName1和访问机密userName2。为此,只需为这两个用户设置实体,使用别名将实体链接到 LDAP 用户,并为这些实体提供访问权限。任何其他登录的人都会发现他们被拒绝访问所有内容。