Authentication 无法续订通过LDAP用户登录生成的Hashicorp Vault令牌
我有一个由Consor群集支持并与LDAP服务器集成的Vault服务器,它与LDAP服务器配合良好,一切都很好,但唯一的问题是我无法更新这些登录生成的令牌 复制 复制行为的步骤:Authentication 无法续订通过LDAP用户登录生成的Hashicorp Vault令牌,authentication,ldap,consul,hashicorp-vault,Authentication,Ldap,Consul,Hashicorp Vault,我有一个由Consor群集支持并与LDAP服务器集成的Vault服务器,它与LDAP服务器配合良好,一切都很好,但唯一的问题是我无法更新这些登录生成的令牌 复制 复制行为的步骤: 运行vault login-method=ldap username=myusername-renewable=true并获取令牌,如下所示: 以root用户身份登录并运行vault令牌查找s.wcqedkmx61ejsze64hqpzhc以检查令牌状态和ttl: 很明显,令牌的可更新属性为真,其类型为服务,因此可以更
vault login-method=ldap username=myusername-renewable=true
并获取令牌,如下所示:root
用户身份登录并运行vault令牌查找s.wcqedkmx61ejsze64hqpzhc
以检查令牌状态和ttl:可更新
属性为真
,其类型
为服务
,因此可以更新
vault令牌续订s.wcqedkmx61ejsze64hqpzhc
续订上述令牌ttl
没有发生任何变化。运行vault令牌查找s.wcqedkmx61ejsze64hqpzhc:vault令牌续订s.wcqedkmx61ejsze64hqpzhc
后,作为root
令牌的ttl
返回到创建\u ttl
vaule
环境:
- Vault服务器版本:
- Vault CLI版本:
- 服务器操作系统/体系结构: 我的操作系统是Ubuntu 18.04,包含以下信息:
#Test LDAP server
vault write auth/ldap/config \
url="ldap://ldap.forumsys.com:389" \
userdn="uid=tesla,dc=example,dc=com" \
userattr="uid" \
groupattr="cn" \
groupdn="dc=example,dc=com" \
binddn="uid=tesla,dc=example,dc=com" \
bindpass='password' \
starttls=false
使用:
vault login-method=ldap username=tesla
和password
作为密码登录,然后尝试续订生成的令牌。可将ldap
auth后端的maxTTL
设置为24h
。这意味着生成的令牌不能超过其创建后的24小时
通过运行查看TTL
vault auth list --detailed
如果该值为system
,则默认值为32天
或Vault配置文件中指定的值
最大TTL
可通过以下方式进行调整:
vault mount-tune -max-lease-ttl=<NEW TTL> auth/ldap
vault装载调整-最大租赁ttl=auth/ldap
其他信息问题是Vault版本
1.3.0
上的一个bug,我已经为该bug创建了一个新的版本,这导致下一个版本的PR,问题在1.3.2
上得到了解决,谢谢,但我不知道是否有办法更新LDAP登录令牌?我将我的max-lease-ttl
更改为system
,但它仍然不起作用。是的,它与任何其他令牌一样。尝试以下步骤:vault装载调整-max lease ttl=48h auth/ldap
(将ldap令牌的最大ttl调整为48小时),然后创建新的ldap令牌。等待几秒钟,然后续订。再次尝试vault令牌查找
,您应该会看到TTL已扩展到24小时。尝试过,但仍然不起作用!你能在问题帖的末尾查看我的最新情况吗?tnxI为此目的创建了一个问题,该问题在vault存储库中标记为bug
。所以,我们必须等待v1.4
Ok太好了!我会照办的。
root@ubuntu:~# vault status
Key Value
--- -----
Seal Type shamir
Initialized true
Sealed false
Total Shares 5
Threshold 3
Version 1.3.0
Cluster Name vault-cluster-11d62d58
Cluster ID a9704841-7f1c-1986-a880-a2c252f23ed2
HA Enabled true
HA Cluster https://10.1.10.1:8201
HA Mode active
root@ubuntu:~# vault version
Vault v1.3.0
root@ubuntu:~# uname -a
Linux ubuntu 4.15.0-45-generic #48-Ubuntu SMP Tue Jan 29 16:28:13 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
listener "tcp" {
address = "0.0.0.0:8200"
cluster_address = "10.1.10.1:8201"
tls_disable = "true"
}
storage "consul" {
address = "127.0.0.1:8500"
path = "vault/"
}
ui = true
api_addr = "http://10.1.10.1:8200"
cluster_addr = "https://10.1.10.1:8201"
#Test LDAP server
vault write auth/ldap/config \
url="ldap://ldap.forumsys.com:389" \
userdn="uid=tesla,dc=example,dc=com" \
userattr="uid" \
groupattr="cn" \
groupdn="dc=example,dc=com" \
binddn="uid=tesla,dc=example,dc=com" \
bindpass='password' \
starttls=false
vault auth list --detailed
vault mount-tune -max-lease-ttl=<NEW TTL> auth/ldap