Vault pas moyen d'authentifier les applications
Posté par
michel-leduc
le 08/12/2025
RÉSOLU
Membre depuis le 17/11/2024
Salut la commu ! On a un Vault qui tourne en prod, nos humains s'authentifient nickel via LDAP/AD mais pour nos microservices déployés en Kubernetes, c'est la galère. J'utilise l'auth method Kubernetes avec le rôle qui va bien. Les pods peuvent bien atteindre Vault mais l'authentification échoue systématiquement avec un 403 Forbidden. Je sèche là.
# Exemple de log d'erreur (simplifié)
{
"request_id": "...",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": null,
"warnings": null,
"auth": null,
"wrap_info": null,
"replication_info": null,
"cubbyhole_info": null,
"code": 403,
"errors": [
"permission denied"
]
}
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
ifleury
Membre depuis le 11/05/2024
yo ! 403 forbidden sur l'auth kubernetes c'est classique. as-tu vérifié que le service account du pod a bien le rôle k8s configuré dans vault qui correspond ? le nom du rôle dans vault doit correspondre au service account et au namespace du pod. et regarde aussi le jwt du pod, est-ce qu'il est bien formaté et pas expiré ?
michel-leduc
Membre depuis le 17/11/2024
Oui le service account c'est bon et le rôle vault correspond au namespace/serviceaccount du pod. j'ai vérifié le token jwt avec jwt.io il est valide pas expiré. La config est là.
dmasson
Membre depuis le 16/12/2024
Mmm ok. T'es sûr que le issuer URL et le CA certificate sont bien configurés dans la méthode d'authentification Kubernetes de Vault ? Si Vault n'arrive pas à valider le token JWT avec le cluster K8s, il va rejeter l'auth. Il faut que l'url de l'API K8s soit joignable depuis Vault et que le certif soit bon.
antoine09
Membre depuis le 20/05/2024
Autre piste : les policies attachées à ton rôle k8s. Même si l'auth réussit, si la policy n'autorise rien, ça peut se traduire par un 403 si Vault tente de créer un token avec des permissions vides. Vérifie que tes policies sont bien écrites et attachées.
michel-leduc
Membre depuis le 17/11/2024
OMG c'était la politique. La politique attachée au rôle était vide. Je l'avais modifiée pour un test et j'ai zappé de la remettre correctement. Quelle nouille ! Merci les gars pour le coup de main, le diagnostic était pourtant clair avec le "permission denied". Fatigue...