如何配置hashicorp vault v1.2.3以限制基于LDAP组成员身份的登录?
active directory LDAP配置:如何配置hashicorp vault v1.2.3以限制基于LDAP组成员身份的登录?,ldap,hashicorp-vault,Ldap,Hashicorp Vault,active directory LDAP配置: Key Value --- ----- binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net case_sensitive_names true certificate n/a de
Key Value
--- -----
binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names true
certificate n/a
deny_null_bind true
discoverdn false
groupattr memberOf
groupdn DC=ad,DC=xyz,DC=net
groupfilter (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls false
starttls true
tls_max_version tls12
tls_min_version tls12
token_bound_cidrs []
token_explicit_max_ttl 0s
token_max_ttl 0s
token_no_default_policy true
token_num_uses 0
token_period 0s
token_policies []
token_ttl 0s
token_type default
upndomain n/a
url ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior true
use_token_groups true
userattr cn
userdn DC=ad,DC=xyz,DC=net
这可以正常工作,因为当用户登录时,查询返回用户所属的组,并且策略可以映射到组
问题在于不是任何ldap策略组成员的用户。目前,这些用户可以登录,但由于未分配任何策略,因此无法访问所有内容。我希望他们根本不能登录。看起来有一个新的应用程序将为用户添加一个过滤器,该过滤器可用于仅允许访问指定的LDAP用户。pull请求已通过所有自动检查,正在等待审核,因此有望很快添加。似乎有一个新的应用程序将为用户添加一个筛选器,该筛选器可用于仅允许访问指定的LDAP用户。拉取请求已通过所有自动检查,正在等待审核,因此有望很快添加。我不知道它是否有效,但只要组成员身份解析策略正在搜索已验证的用户对象并遵循其
memberOf
属性,您可以通过要求任何用户至少是一个ldap组的成员,即像映射到基本策略的任何组一样,或者像将列出授权登录用户的登录组(或角色)一样,尝试使用groupfilter
本身排除此类用户,而不管他们被分配了哪个vault策略。例如:(&(objectClass=person)(sAMAccountName={{.Username})(memberOf=cn=login,OU=groups,DC=ad,DC=xyz,DC=net))
。我不知道它是否有效,但只要组成员身份解析策略是搜索经过身份验证的用户对象并遵循其memberOf
属性,您可以通过要求任何用户至少是一个ldap组的成员,即像映射到基本策略的任何组一样,或者像将列出授权登录用户的登录组(或角色)一样,尝试使用groupfilter
本身排除此类用户,而不管他们被分配了哪个vault策略。例如:(&(objectClass=person)(sAMAccountName={{.Username})(memberOf=cn=login,OU=groups,DC=ad,DC=xyz,DC=net))
。