Problème d'auth LDAP sur Vault : user not found

Posté par jdupuis le 11/01/2025
RÉSOLU
Retour Répondre Créer

Avatar de jdupuis

jdupuis

Membre depuis le 04/05/2024

Salut la team secops on a une erreur bizarre avec notre auth LDAP sur Vault. Quand un user essaie de se loguer on a un 

[ERROR] auth.ldap: user not found
alors que le user existe bien dans l'AD. La conf est censée être bonne j'ai revérifié les binddn et userdn. Vault tourne en k8s via helm.

# extrait de la config ldap (simplifiée)
path "ldap" {
  backend "ldap"
  config {
    url = "ldaps://ad.mondomain.local"
    userdn = "ou=Users,dc=mondomain,dc=local"
    groupdn = "ou=Groups,dc=mondomain,dc=local"
    binddn = "CN=vault_bind,OU=Service Accounts,DC=mondomain,DC=local"
    bindpass = "vault_password"
    userattr = "sAMAccountName"
    groupfilter = "(&(objectClass=group)(memberUid={{.UserDN}}))"
  }
}

Commentaires

Avatar de emilie-francois

emilie-francois

Membre depuis le 23/05/2024

yo t'as check les logs d'audit de Vault et surtout les logs du serveur LDAP lui-même ? des fois l'erreur côté Vault est trompeuse et c'est le LDAP qui refuse la connexion ou la recherche pour une autre raison (certificat pas validé, binddn qui n'a pas les droits de recherche suffisants)

Avatar de lebreton-guy

lebreton-guy

Membre depuis le 08/05/2024

ouais carrément les logs LDAP. et un truc con t'as essayé de faire un ldapsearch manuel depuis le pod Vault pour t'assurer que le userdn et le binddn sont corrects et que le user est bien trouvé ? ça élimine les soucis réseau ou de firewall.

kubectl exec -it  -- sh
ldapsearch -H ldaps://ad.mondomain.local -D "CN=vault_bind,OU=Service Accounts,DC=mondomain,DC=local" -w "vault_password" -b "ou=Users,dc=mondomain,dc=local" "sAMAccountName=le_user"

Avatar de jdupuis

jdupuis

Membre depuis le 04/05/2024

bon j'ai check les logs AD. en fait le binddn que j'utilisais était dans un OU qui n'avait pas les droits de lecture sur l'OU des utilisateurs. erreur classique de ma part. j'ai remonté le binddn dans un OU avec des droits plus larges et ça passe. thx pour l'idée du ldapsearch ça m'a mis sur la bonne piste.

Avatar de emilie-francois

emilie-francois

Membre depuis le 23/05/2024

nickel c'est souvent un truc de droits dans l'AD. ou le cert ldaps pas validé. bonne continuation

Avatar de lebreton-guy

lebreton-guy

Membre depuis le 08/05/2024

propre. ces histoires de binddn c'est tjrs une galère. content que ça roule

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire