add vault

DevOps/Hashicorp-Vault/vault-with-ldap.md

@@ -0,0 +1,66 @@
+# Развертывание Hashicorp Vault на стенде с Microsoft Active Directory (LDAP)
+
+## Политики и пользователи
+
+Политики в Vault по сути напоминают права или access list (ACL). К юзеру или группе привязан ACL, с разного рода правами же.
+
+## Настройка образца политик
+
+Сначала настроим политики – потому что пользователи и группы привязаны в политике, а ввиду убогого GUI делается это не очевидно. Да и в руководстве по политикам прописано как-то странновато. https://developer.hashicorp.com/vault/tutorials/getting-started/getting-started-policies?in=vault%2Fgetting-started
+
+Посмотрим, что у нас есть:
+Логинимся через токенЖ
+```
+vault login
+```
+Проверяем, что все успешно
+```
+vault status
+```
+Окей, сервер работает. Проверим сикреты.
+
+```
+vault secrets list
+```
+
+Проверим существующие политики:
+```
+vault policy list
+```
+![alt text](image.png)
+
+Создадим шаблон под политику:
+```bash
+nano policyUSER1.hcl
+
+# policyUSER1
+# Write and manage secrets in key/value secrets engine
+path "kv_UserAD/*" {
+capabilities = [ "create", "read", "update", "delete", "list" ]
+}
+```
+Почитаем help и применим политику
+```
+vault policy write -h
+vault policy write policyuser1 /home/vuser/policyUSER.hcl
+```
+![alt text](image-1.png)
+
+Создадим групповую политику
+```bash
+nano policy_groupad_fullacess1.hcl
+
+# policy_groupad_fullacess1
+path "kv_groupAD/*" {
+capabilities = [ "create", "read", "update", "delete", "list" ]
+}
+
+# Выполним
+vault policy write policy_groupad_fullacess1 /home/vuser/policy_groupad_fullacess1.hcl
+```
+
+Удостоверимся, что все записалось
+```
+vault policy list
+vault policy read policy_groupad_fullacess1
+```