问题[vault](server)

我已经在我们的环境中使用 ldap/active directory 和 ssh 机密引擎设置了 HashiCorp 保险库，为用户提供了访问 Linux 服务器的签名证书。

我已经设置了一些 AD 组，例如：

访问 - SSH 管理员标准 # 通过“ssh-admin-standard-policy”授予对标准 Linux 服务器的访问权限 访问 - Vault 管理员 # 通过“superadmin”授予具有超级用户访问权限的 Vault 管理员

ssh-管理-标准-策略

path "ssh/roles/*" {
  capabilities = ["read"]
}

path "sys/mounts*" {
  capabilities = ["read", "list"]
}

path "ssh/sign/ssh-admin-standard" {
  capabilities = ["create", "update"]
}

和超级管理员

path "*" {
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

现在，当我以拥有两个 AD 组的用户身份登录时，我获得：

➜  ~ vault login -method=ldap username="clarg"
Password (will be hidden):
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.

Key                    Value
---                    -----
token                  
token_accessor         
token_duration         768h
token_renewable        true
token_policies         ["default" "ssh-admin-standard" "superadmin"]
identity_policies      []
policies               ["default" "ssh-admin-standard" "superadmin"]
token_meta_username    clarg

但是当我尝试执行超级管理员操作时，权限被拒绝。当我在 Google 上搜索时，我发现 Vault 中限制最严格的策略获胜，在本例中是“ssh-admin-standard-policy”策略，它将 ssh/roles 限制为只读。

我的问题是我应该如何管理超级用户访问权限？目前我在设置时使用根密钥，但我想删除它。

大多数配置支持来自环境的内联变量。支持 Vault 配置是否支持环境变量？就像是：

      ui = true
      listener "tcp" {
        tls_disable = 1
        address = "[::]:8200"
        cluster_address = "[::]:8201"
      }
      storage "postgresql" {
        connection_url = $PG_URL // where PG_URL is an environment variable
      }

是否可以仅将 Hashicorp Vault 集群安装到 EC2 上，或者是否需要 EKS，两者相比是否有很大优势？

场景是，我想在部署在不同环境中的多个 REST API 中管理身份验证。

我一直在阅读有关Vault的信息，显然它具有此功能。

使用 Vault，我的应用程序可能只需要向 Vault 发出请求并能够仅使用别名对外部 API（正确配置）进行身份验证？无需在我的应用程序中存储外部 API 的用户/密码/令牌？

我想知道是否有人有过以这种方式使用 Vault 的经验，有什么优点和缺点

或者，如果有人推荐其他东西来实现这一目标

更新：

我在 SO https://stackoverflow.com/questions/57703943/how-to-allow-single-sign-on-for-al-clients-in-keycloak上找到了一个我正在寻找的问题

我在 PKI Secrets Engine 的容器中运行了保管库设置，并希望为应用程序添加 OCSP 支持以检查证书是否未被吊销。我没有找到任何关于如何为保险库设置 OCSP 的解释，也没有在任何博客中明确信息。

在我的设置中，我为 CRL 配置了以下内容

vault write pki/config/urls \
        issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
        crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"

但是对于 OCSP 来说，没有什么比这更重要的了

我是否需要为 OSCP 设置单独的服务或 Vault 可以自行处理？

任何帮助了解 OCSP for Vault 将不胜感激？

使用 Hashicorp 的 Vault，是否可以在不向生成它的用户透露该秘密的情况下生成一个秘密？

沿着：

vault generate secret/my/awesome/secret 32

它将生成一个由 32 个随机字符组成的字符串，将其存储在 Vault 中，并且不会向没有它们的用户显示结果值，除非他们明确地使用

vault kv get

手术？

在快速阅读 Vault 文档后，我确信这是可能的，但现在我已经开始寻找有关如何执行此操作的详细信息，但我发现的信息太少，以至于我不确定它是否可能 [还]。