ldap 用户是否可以 revoke/renew/copy Hashicorp Vault 中的根令牌?
Is it possible for ldap users to revoke/renew/copy the root token in Hashicorp Vault?
我最近开始使用保险库并尝试与我的一个应用程序集成以保存机密。我已经为我的用户设置了 LDAP 身份验证以访问保险库和 create/access 机密。 BUT登录成功后,右上角有一个选项copy token renew token revoke token.
这些用户访问根令牌是否正确?有没有办法禁用该功能?
我只想让我的用户知道 access/create 秘密,仅此而已。
如果您使用 LDAP 登录,则这些选项不适用于根令牌,它们适用于 user-login-session 令牌。 Vault 的所有身份验证都使用令牌,而不仅仅是根令牌。每当有人使用 LDAP 登录时,他们将获得一个新令牌 - 这就是菜单所指的令牌。
您可以自己查看 - 假设您已经拥有有效的根令牌,使用 LDAP 登录,然后从该菜单中 select Revoke token。现在尝试使用该根令牌执行某些操作(例如,登录到 Web UI 或 运行 CLI 命令)。您会看到它仍然有效 - 它没有被撤销。
我最近开始使用保险库并尝试与我的一个应用程序集成以保存机密。我已经为我的用户设置了 LDAP 身份验证以访问保险库和 create/access 机密。 BUT登录成功后,右上角有一个选项copy token renew token revoke token.
这些用户访问根令牌是否正确?有没有办法禁用该功能? 我只想让我的用户知道 access/create 秘密,仅此而已。
如果您使用 LDAP 登录,则这些选项不适用于根令牌,它们适用于 user-login-session 令牌。 Vault 的所有身份验证都使用令牌,而不仅仅是根令牌。每当有人使用 LDAP 登录时,他们将获得一个新令牌 - 这就是菜单所指的令牌。
您可以自己查看 - 假设您已经拥有有效的根令牌,使用 LDAP 登录,然后从该菜单中 select Revoke token。现在尝试使用该根令牌执行某些操作(例如,登录到 Web UI 或 运行 CLI 命令)。您会看到它仍然有效 - 它没有被撤销。