保险库 returns "unable to find service account" 的 Active Directory 秘密引擎?

Active Directory secret engine of vault returns "unable to find service account"?

我正在使用 Active Directory 秘密引擎测试保管库。我有一个 运行 freeipa 服务器,我创建了一个用于测试的帐户。在我通过 vault 在 ad/config 中编写配置后,我尝试通过路径 ad/roles/testaccount 将我创建的帐户映射到 vault 中的角色,并且我已经放置了 service_account_name="testaccount"。然后 Vault 给我错误回复说:

Code: 500. Errors:

* 1 error occurred:

* unable to find service account named testaccount in active directory, searches are case sensitive

我不确定是什么问题,但我使用 ldapsearch 工具来确保我测试的帐户确实存在,而且确实存在。

有什么想法吗?

对于面临相同问题的任何人,您可能面临的主要问题是您无法配置过滤器以在 ldap 中进行搜索。 Vault api 已固定为使用 userPrincipalName,这不会直接对所有 ldap 服务器起作用。解决这个问题的方法是使用 rwm-map 属性在 slapd.conf 中添加代理(openldap 代理)和映射属性(在模式中定义它们之后)。

查看此 link 了解更多信息:https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD