Секретный механизм хранилища Active Directory не может найти учетную запись службы?

Я тестирую хранилище с секретным механизмом Active Directory. У меня есть работающий сервер freeipa, и я создал учетную запись для тестирования. После того, как я написал конфигурации в ad/config через хранилище, я попытался сопоставить созданную мной учетную запись с ролью в хранилище по пути ad/roles/testaccount и поместил service_account_name="testaccount". Затем Vault возвращает мне ошибку, говоря:

Code: 500. Errors:

* 1 error occurred:

* unable to find service account named testaccount in active directory, searches are case sensitive

Я не уверен, в чем проблема, но я использовал ldapsearch инструмент, чтобы убедиться, что учетная запись, с которой я тестировал, действительно существует, и она была.

Любые идеи?


hashicorp-vault active-directory ldap
person Badr    schedule 18.09.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Для тех, кто сталкивается с такой же проблемой, основная проблема, с которой вы можете столкнуться, заключается в том, что вы не можете настроить фильтр для поиска в ldap. Vault api исправлено для использования userPrincipalName, и это не будет работать напрямую для всех серверов ldap. Чтобы решить эту проблему, добавьте прокси (прокси openldap) и атрибуты карты в slapd.conf (после определения их в схеме) с помощью атрибута rwm-map.

См. Эту ссылку для получения дополнительной информации: https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD

person Badr    schedule 25.09.2018