Problème d'auth LDAP sur HashiCorp Vault dev

Posté par jacques-bertrand le 03/02/2025
RÉSOLU
Retour Répondre Créer

Avatar de jacques-bertrand

jacques-bertrand

Membre depuis le 28/02/2020

yo la team j'ai un souci avec l'auth LDAP sur vault c'est la 3ème fois que je re-déploie mon env dev et à chaque fois l'auth ldap me fait chier. je peux pas me connecter avec mes users ldap alors que la config semble ok je vois pas de logs d'erreur côté vault


vault auth enable ldap
vault write auth/ldap/config url="ldaps://my-ldap.corp:636" binddn="cn=vault service,ou=service accounts,dc=corp,dc=net" \
    bindpass="supersecret" userdn="ou=users,dc=corp,dc=net" userattr="samaccountname" groupdn="ou=groups,dc=corp,dc=net" \
    groupfilter="(&(objectclass=group)(memberuid={{.userdn}}))" insecure_tls=true

quand j'essaie de login j'ai un "Permission denied" ou un "Invalid credentials"

Commentaires

Avatar de thomas-henry

thomas-henry

Membre depuis le 18/05/2024

hello t'as checké le binddn et bindpass sont bien corrects ? souvent c'est juste une erreur de frappe ou un compte de service qui a expiré. et le insecure_tls c'est pas top en prod mais pour du dev ok si t'as pas les certs

Avatar de jacques-bertrand

jacques-bertrand

Membre depuis le 28/02/2020

oui le binddn/pass j'ai vérifié 10 fois ça fonctionne sur d'autres apps. le insecure_tls c'est temporaire promis. je suis sur vault 1.11.2 est-ce qu'il y a un truc spécial à voir avec cette version ?

Avatar de marc-pinto

marc-pinto

Membre depuis le 22/05/2024

hmm pour debug plus finement tu peux augmenter le niveau de log de vault. regarde dans le config file de vault le log_level. mets le à debug et relance le service tu devrais avoir plus d'infos sur pourquoi ldap foire

Avatar de jacques-bertrand

jacques-bertrand

Membre depuis le 28/02/2020

ah ouais bonne idée j'y avais pas pensé. j'ai mis le log_level à "debug" et relancé. je vais tenter une connexion et voir ce qui sort dans les logs

Avatar de raynaud-roland

raynaud-roland

Membre depuis le 14/03/2019

en attendant tu peux aussi tester la config ldap directement avec le client ldapsearch depuis le serveur vault si c possible histoire de voir si le ldap lui-même répond comme prévu et si ton binddn peut bien lister les users sous userdn

Avatar de jacques-bertrand

jacques-bertrand

Membre depuis le 28/02/2020

j'ai debuggé les logs et en fait le groupfilter que j'ai mis avec memberUid c'est pas compatible avec active directory il faut objectClass=user et memberOf. pfff c'est toujours ces petites conneries d'AD. merci pour l'aide je vais corriger le groupfilter

Avatar de thomas-henry

thomas-henry

Membre depuis le 18/05/2024

ah oui classique avec AD. memberUid c plus pour openldap. bien joué d'avoir trouvé. good luck

Avatar de jacques-bertrand

jacques-bertrand

Membre depuis le 28/02/2020

nickel ça marche maintenant. groupfilter corrigé et tout est rentré dans l'ordre. thx la team pour les pistes

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire