Настройка LDAP Engine для Shadow user

Shadow user – это отдельная пользовательская учетная запись на терминальной ферме. Она используется для запуска приложений, разделения процессов и изоляции сессий разных пользователей PAM.

Чтобы настроить работу PAM с LDAP Engine и Shadow user:

  1. Добавьте LDAP engine.

  2. Настройте LDAP engine.

  3. Настройте ACL Policy.

  4. Добавьте в LDAP engine static-роли ПУЗ.

  5. Добавьте записи LDAP engine в DB PAM.

  6. Добавьте shadow user запись пользователю в PAM.

Перед началом работы

Прежде чем добавлять LDAP engine в Vault, потребуется создать доменную Shadow user УЗ в Active Directory:

  1. Создайте отдельную учетную запись Bind DN в Active Directory.
    Учетная запись должна иметь доступ к OU, в которой будут храниться учетные записи, управляемые Vault. Доступ OU должен быть как на чтение, так и на ротацию паролей.

  2. Создайте отдельную организационную единицу (OU).
    Vault автоматически выполняет ротацию паролей, поэтому неверно указанные Bind DN или OU root могут привести к ошибкам доступа и невозможности ротации.

  3. Проверьте возможность подключения к LDAPS.
    Vault работает только по защищенному протоколу LDAPS. По умолчанию используется 636 порт для подключения. Перед настройкой убедитесь, что сервер Active Directory доступен по этому порту и установлен корректный SSL-сертификат.

  4. Проведите проверку и чистку записей.

    Это потребуется, если учетные записи были заведены локально, а затем интегрированы в AD.
    Проверку нужно выполнять до включения LDAP engine, чтобы избежать конфликтов идентификаторов и ошибок синхронизации.

Шаг 1. Добавление LDAP engine

  1. В интерфейсе Vault откройте раздел Secrets Engines и нажмите Enable new engine.

  2. Выберите LDAP.

  3. В поле Path — укажите название точки монтирования (mount point).

  4. Настройте параметры Default Lease TTL и Max Lease TTL в секундах для секретов будущих ролей согласно рекомендациям ниже:

    Тип учетных записей

    Default Lease TTL

    Max Lease TTL

    Привилегированные учетные записи (ПУЗ)

    2592000

    31536000

    Техническая учетные записи (ТУЗ)

    31536000

    31536000

    Shadowuser пользователей PAM (SA)

    2592000

    31536000

  5. Нажмите Enable Engine — в Vault появится новый LDAP engine.

Шаг 2. Настройка LDAP engine

  1. В разделе Overview нажмите Configure LDAP.

  2. В открывшемся окне укажите:

    • Administrator — учетная запись, от имени которой Vault будет подключаться к LDAP.

    • Distinguished Name — полный DN этой учетной записи. Например: ou=UA,ou=Bizone,dc=dev,dc=pam,dc=bi,dc=zone.

    • Administrator Password — пароль для указанной учетной записи

    • URL — адрес LDAP-сервера, в формате ldaps://host:636.

  3. Сохраните изменения.

Шаг 3. Настройка ACL Policy

  1. В Vault откройте раздел Policies и перейдите в ACL Policies.

  2. Выберите нужную политику.

  3. В окне редактора добавьте конфигурацию, например:

    path "ldap/*" {
  capabilities = ["create", "read", "update"]
}

  4. Сохраните политику.

Шаг 4. Добавление в LDAP engine static-ролей для ПУЗ

  1. В Vault выберите LDAP Engine.

  2. На вкладке Roles нажмите Create role.

  3. Заполните поля Role name, Distinguished name, Username, Rotation period.
    Для заполнения используются следующие форматы:

    • DN: CN=user1,OU=VaultAccounts,DC=example,DC=local

    • UPN: user@domain

    • sAMAccountName: user1

  4. Сохраните роль.

Если для роли не указывать TTL, то она будет наследовать ttl своего движка. Если нужно, то для конкретных ролей движка значение Default Lease TTL скорректировать в пределах Max Lease TTL.

Шаг 5. Добавление записи LDAP engine в DB PAM

  1. Подключитесь к DB РАМ.

  2. Сформируйте и выполните SQL-запрос с данными нового движка:

    INSERT INTO pam.vault (id, "name", fqdn, port, "attributes", description, update_at)
VALUES (gen_random_uuid(), 'ldap', 'vault.domain.ru', 443, '{"name": "control", "mount": "ldap", "secret_engine": "ad"}'::jsonb, 'ldap engine', now());

Ключевые поля

  • name — имя движка, которое будет отображаться при создании новой учетной записи.

  • fqdn — адрес подключения к Vault.

  • port — порт подключения к Vault.

Поля внутри attributes

  • name — константа, всегда значение "control".

  • mount — имя созданного LDAP engine.

  • secret_engine — константа, значение всегда "ad".

Движок создан и настроен, роли добавлены.

Шаг 6. Добавление shadow user пользователю PAM

  1. В PAM откройте раздел раздел Пользователи и группы → Пользователи

  2. Найдите пользователя, которому нужно указать shadow user запись.

  3. Нажмите и выберите Редактировать.

  4. Перейдите на вкладку Shadow user и введите значение, которое ассоциировано в AD с этим пользователем.

  5. Нажмите Сохранить.

Создание пользователя через интерфейс PAM

При интеграции AD с Vault и создании учетной записи через интерфейс РАМ в поле:

  • Логин — указывается домен;

  • Путь до каталога секретов — путь до секрета в Vault в формате <mount-name>/static-cred/<role-name>.