66 lines
2.1 KiB
Markdown
66 lines
2.1 KiB
Markdown
# Развертывание Hashicorp Vault на стенде с Microsoft Active Directory (LDAP)
|
||
|
||
## Политики и пользователи
|
||
|
||
Политики в Vault по сути напоминают права или access list (ACL). К юзеру или группе привязан ACL, с разного рода правами же.
|
||
|
||
## Настройка образца политик
|
||
|
||
Сначала настроим политики – потому что пользователи и группы привязаны в политике, а ввиду убогого GUI делается это не очевидно. Да и в руководстве по политикам прописано как-то странновато. https://developer.hashicorp.com/vault/tutorials/getting-started/getting-started-policies?in=vault%2Fgetting-started
|
||
|
||
Посмотрим, что у нас есть:
|
||
Логинимся через токенЖ
|
||
```
|
||
vault login
|
||
```
|
||
Проверяем, что все успешно
|
||
```
|
||
vault status
|
||
```
|
||
Окей, сервер работает. Проверим сикреты.
|
||
|
||
```
|
||
vault secrets list
|
||
```
|
||
|
||
Проверим существующие политики:
|
||
```
|
||
vault policy list
|
||
```
|
||
|
||
|
||
Создадим шаблон под политику:
|
||
```bash
|
||
nano policyUSER1.hcl
|
||
|
||
# policyUSER1
|
||
# Write and manage secrets in key/value secrets engine
|
||
path "kv_UserAD/*" {
|
||
capabilities = [ "create", "read", "update", "delete", "list" ]
|
||
}
|
||
```
|
||
Почитаем help и применим политику
|
||
```
|
||
vault policy write -h
|
||
vault policy write policyuser1 /home/vuser/policyUSER.hcl
|
||
```
|
||
|
||
|
||
Создадим групповую политику
|
||
```bash
|
||
nano policy_groupad_fullacess1.hcl
|
||
|
||
# policy_groupad_fullacess1
|
||
path "kv_groupAD/*" {
|
||
capabilities = [ "create", "read", "update", "delete", "list" ]
|
||
}
|
||
|
||
# Выполним
|
||
vault policy write policy_groupad_fullacess1 /home/vuser/policy_groupad_fullacess1.hcl
|
||
```
|
||
|
||
Удостоверимся, что все записалось
|
||
```
|
||
vault policy list
|
||
vault policy read policy_groupad_fullacess1
|
||
``` |