Data: 21/06/22
Autores:
Realizar estudo para identificar como pode ser feita a configuração do LDAP/AD na ferramenta Vault Hashicorp
Para manter seguro o acesso e fornece todos os tipos de funcionalidades de autenticação, de grupo e gerenciamento de usuários e administração de políticas no acesso ao sistema Vault Hashicorp através do recurso LDAP
O Vault é uma ferramenta de gerenciamento de segredos projetada especificamente para controlar o acesso a credenciais confidenciais em um ambiente de baixa confiança. Ele pode ser usado para armazenar valores sensíveis e, ao mesmo tempo, gerar dinamicamente acesso para serviços/aplicativos específicos em leasing.
As configurações comumente usadas em outras ferramentas aplicadas ao Vault não funcionaram, foi necessário fazer uma adaptação do padrão para poder conectar ao LDAP.
Segue abaixo as configurações que foram utilizadas.
Configurações definidas para acesso a ferramenta Vault pelo LDAP
Inicialmente foi definido a URL padrão
ldap//rondonia.local:389

Definir atributo do usuário
sAMAccountName

Na proxíma etapa, é preciso definir filtros de busca de usuários, nome do objeto e User DN
binddn
CN=OPENSHIFT,OU=Servicos,OU=Users,OU=NUSDEV,OU=GEDEV,OU=DETIC,OU=GAB,OU=SETIC,OU=EXECUTIVO,DC=rondonia,DC=local
User DN
OU=USERS,OU=NUSDEV,OU=GEDEV,OU=DETIC,OU=GAB,OU=SETIC,OU=EXECUTIVO,DC=rondonia,DC=local
Filtro de Busca de Usuário
({{.UserAttr}}={{.Username}})

Definir filtros de busca de Grupos, atributo de grupo e Group DN
Group Filter
(|(memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))
Group Attribute
memberOf
Group DN
OU=Groups,OU=NUSDEV,OU=GEDEV,OU=DETIC,OU=GAB,OU=SETIC,OU=EXECUTIVO,DC=rondonia,DC=local

Inicialmente a ferramenta está disponível na url local abaixo para testes pelo time BlackOps e a liderança técnica e é possível acessar com usuário do Sauron.