我正在使用Active Directory秘密引擎测试保管库。我有一个正在运行的freeipa服务器,我创建了一个用于测试的帐户。在我通过 vault 编写ad/config
配置后,我尝试通过路径将我创建的帐户映射到保管库中的角色ad/roles/testaccount
并service_account_name="testaccount"
.然后保险库给我错误,说:
Code: 500. Errors:
* 1 error occurred:
* unable to find service account named testaccount in active directory, searches are case sensitive
我不确定问题是什么,但我使用ldapsearch
工具来确保我测试的帐户确实存在,而且确实存在。
有什么想法吗?
对于遇到相同问题的任何人,您可能面临的主要问题是您无法将过滤器配置为在 LDAP 中搜索。保险柜 API 已修复为使用userPrincipalName
,这不会直接适用于所有 LDAP 服务器。解决此问题的方法是添加一个代理(openldap 代理(并使用rwm-map
属性在slapd.conf
中映射属性(在模式中定义它们之后(。
请参阅此链接以获取更多信息:https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD