Authentication 无法续订通过LDAP用户登录生成的Hashicorp Vault令牌

我有一个由Consor群集支持并与LDAP服务器集成的Vault服务器，它与LDAP服务器配合良好，一切都很好，但唯一的问题是我无法更新这些登录生成的令牌

复制

复制行为的步骤：

运行

vault login-method=ldap username=myusername-renewable=true

并获取令牌，如下所示：

以

root

用户身份登录并运行

vault令牌查找s.wcqedkmx61ejsze64hqpzhc

以检查令牌状态和ttl：

很明显，令牌的

可更新

属性为

真

，其

类型

为

服务

，因此可以更新

运行

vault令牌续订s.wcqedkmx61ejsze64hqpzhc

续订上述令牌

当我再次查找令牌时，它的

ttl

没有发生任何变化。运行vault令牌查找s.wcqedkmx61ejsze64hqpzhc：

注意：我使用API调用和自我更新尝试了上述步骤，但结果与上述相同

预期行为

我的预期行为是在运行LDAP令牌的

vault令牌续订s.wcqedkmx61ejsze64hqpzhc

后，作为

root

令牌的

ttl

返回到

创建\u ttl

vaule

环境：

• Vault服务器版本：

• Vault CLI版本：

• 服务器操作系统/体系结构： 我的操作系统是Ubuntu 18.04，包含以下信息：

Vault服务器配置文件：

更新：

您可以使用此免费LDAP服务器配置示例。为了再现这种情况：

#Test LDAP server
vault write auth/ldap/config \
    url="ldap://ldap.forumsys.com:389" \
    userdn="uid=tesla,dc=example,dc=com" \
    userattr="uid" \
    groupattr="cn" \
    groupdn="dc=example,dc=com" \
    binddn="uid=tesla,dc=example,dc=com" \
    bindpass='password' \
    starttls=false

---

使用：

vault login-method=ldap username=tesla

和

password

作为密码登录，然后尝试续订生成的令牌。

可将

ldap

auth后端的max

TTL

设置为

24h

。这意味着生成的令牌不能超过其创建后的

24小时

通过运行查看

TTL

vault auth list --detailed

如果该值为

system

，则默认值为

32天

或Vault配置文件中指定的值

最大

TTL

可通过以下方式进行调整：

vault mount-tune -max-lease-ttl=<NEW TTL> auth/ldap

vault装载调整-最大租赁ttl=auth/ldap

---

其他信息

问题是Vault版本

1.3.0

上的一个bug，我已经为该bug创建了一个新的版本，这导致下一个版本的PR，问题在

1.3.2

上得到了解决，谢谢，但我不知道是否有办法更新LDAP登录令牌？我将我的

max-lease-ttl

更改为

system

，但它仍然不起作用。是的，它与任何其他令牌一样。尝试以下步骤：

vault装载调整-max lease ttl=48h auth/ldap

（将ldap令牌的最大ttl调整为48小时），然后创建新的ldap令牌。等待几秒钟，然后续订。再次尝试

vault令牌查找

，您应该会看到TTL已扩展到24小时。尝试过，但仍然不起作用！你能在问题帖的末尾查看我的最新情况吗？tnxI为此目的创建了一个问题，该问题在vault存储库中标记为

bug

。所以，我们必须等待

v1.4

Ok太好了！我会照办的。

root@ubuntu:~# vault status                         
Key             Value                               
---             -----                               
Seal Type       shamir                              
Initialized     true                                
Sealed          false                               
Total Shares    5                                   
Threshold       3                                   
Version         1.3.0                               
Cluster Name    vault-cluster-11d62d58              
Cluster ID      a9704841-7f1c-1986-a880-a2c252f23ed2
HA Enabled      true                                
HA Cluster      https://10.1.10.1:8201          
HA Mode         active                              

root@ubuntu:~# vault version
Vault v1.3.0                

root@ubuntu:~# uname -a                                                                               
Linux ubuntu 4.15.0-45-generic #48-Ubuntu SMP Tue Jan 29 16:28:13 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux 

listener "tcp" {                           
  address          = "0.0.0.0:8200"        
  cluster_address  = "10.1.10.1:8201"  
  tls_disable      = "true"                
}                                          

storage "consul" {                         
  address = "127.0.0.1:8500"               
  path    = "vault/"                       
}                                          

ui = true                                  
api_addr = "http://10.1.10.1:8200"     
cluster_addr = "https://10.1.10.1:8201"

#Test LDAP server
vault write auth/ldap/config \
    url="ldap://ldap.forumsys.com:389" \
    userdn="uid=tesla,dc=example,dc=com" \
    userattr="uid" \
    groupattr="cn" \
    groupdn="dc=example,dc=com" \
    binddn="uid=tesla,dc=example,dc=com" \
    bindpass='password' \
    starttls=false

vault auth list --detailed

vault mount-tune -max-lease-ttl=<NEW TTL> auth/ldap