Nano Hash - криптовалюты, майнинг, программирование

Как настроить hashicorp vault v1.2.3 для ограничения входа в систему на основе членства в группе LDAP?

конфигурация Active Directory LDAP:

Key                             Value
---                             -----
binddn                          CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names            true
certificate                     n/a
deny_null_bind                  true
discoverdn                      false
groupattr                       memberOf
groupdn                         DC=ad,DC=xyz,DC=net
groupfilter                     (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls                    false
starttls                        true
tls_max_version                 tls12
tls_min_version                 tls12
token_bound_cidrs               []
token_explicit_max_ttl          0s
token_max_ttl                   0s
token_no_default_policy         true
token_num_uses                  0
token_period                    0s
token_policies                  []
token_ttl                       0s
token_type                      default
upndomain                       n/a
url                             ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior    true
use_token_groups                true
userattr                        cn
userdn                          DC=ad,DC=xyz,DC=net

Это работает нормально, поскольку когда пользователь входит в систему, запрос возвращает группы, членом которых является пользователь, и политики могут быть сопоставлены группам.

Проблема заключается в пользователях, которые не являются членами какой-либо группы политик ldap. В настоящее время эти пользователи могут войти в систему, но не имеют доступа ко всему, потому что им не назначены никакие политики. Я бы предпочел, чтобы они вообще не могли войти в систему.

hashicorp-vault ldap
19.09.2019

  • Я не знаю, сработает ли это, но пока стратегия разрешения членства в группе ищет объект аутентифицированного пользователя и следует его атрибуту memberOf, вы можете попытаться исключить таких пользователей с помощью самого groupfilter, требуя, чтобы любой пользователь был членом по крайней мере одной группы ldap, т.е. как любая группа, сопоставленная с базовой политикой, или как login группа (или роль), в которой будут перечислены пользователи, авторизованные для входа в систему, независимо от того, какая политика хранилища им назначена. Например: (&(objectClass=person)(sAMAccountName={{.Username}})(memberOf=cn=login,OU=groups,DC=ad,DC=xyz,DC=net)). 20.09.2019

Ответы:


1

Похоже, есть открытый запрос на вытягивание, который добавит фильтр для пользователей, которые могут использоваться для разрешения доступа только указанным пользователям LDAP. Запрос на вытягивание прошел все автоматические проверки и ожидает рассмотрения, поэтому мы надеемся, что он скоро будет добавлен.

19.03.2021
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..