Безопасность on DevOps Way - Практические гайды

FreeIPA: руководство по установке централизованной системы управления идентификацией

Sun, 01 Jun 2025 10:00:00 +0300

Категория: Системное администрирование Цель: Развернуть production FreeIPA с учётом всех подводных камней

Чему научитесь:

Правильная установка FreeIPA
Настройка LDAP, Kerberos, DNS, CA
Управление пользователями
Мониторинг и решение проблем
Резервное копирование

Требования:

RHEL/CentOS Stream/AlmaLinux/Rocky 8-9
Минимум 4GB RAM
Статический IP и FQDN
Доступ root

Серия статей: все части

Установка FreeIPA (эта статья)
NFS + Autofs интеграция
Hashicorp Vault интеграция

Архитектура FreeIPA

graph TB A[FreeIPA Сервер] A --> B[LDAP
389 Directory] A --> C[Kerberos
MIT KDC] A --> D[DNS
BIND] A --> E[CA
Dogtag]

Компоненты:

389 Directory Server - LDAP пользователей/групп
MIT Kerberos - SSO аутентификация
Dogtag CA - центр сертификации
BIND DNS - DNS с динамическими обновлениями
SSSD - интеграция клиентов
Web UI - веб-интерфейс

Возможности:

Централизованная аутентификация
Kerberos SSO
Встроенный CA
Интегрированный DNS
Управление пользователями
SSH ключи
Правила sudo

Системные требования

Поддерживаемые ОС:

ОС	Рекомендация
RHEL 8, 9	Production
CentOS Stream 8, 9	Production
AlmaLinux 8, 9	Production
Rocky Linux 8, 9	Production
Fedora 38+	Только тесты

Ресурсы:

Параметр	Лаборатория	Production
RAM	2 GB	4-8 GB
CPU	2 ядра	4 ядра
Диск	10 GB	20+ GB

О RAM: 2GB только для тестов, 4GB минимум для production

1. Подготовка системы

Настройка hostname

hostnamectl set-hostname ipa-master.example.com

# Проверка
hostnamectl status
getent hosts ipa-master.example.com

Файл /etc/hosts

Только для начальной установки!

grep -q ipa-master.example.com /etc/hosts || \
cat >> /etc/hosts << EOF
192.168.1.10 ipa-master.example.com ipa-master
EOF

Синхронизация времени

КРИТИЧНО для Kerberos! Разница >5 минут = отказ

dnf install -y chrony

cat >> /etc/chrony.conf << 'EOF'

# NTP серверы
pool 2.pool.ntp.org iburst
server 0.pool.ntp.org iburst
makestep 1.0 3
EOF

systemctl enable chronyd --now

# Проверка (команда chronyc с буквой 'c'!)
chronyc sources
chronyc tracking

Настройка Firewall

dnf install -y firewalld
systemctl enable firewalld --now

# Если есть готовые сервисы
firewall-cmd --permanent --add-service=freeipa-ldap
firewall-cmd --permanent --add-service=freeipa-ldaps
firewall-cmd --permanent --add-service=dns
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=kerberos
firewall-cmd --permanent --add-service=kpasswd

# Если нет - используйте порты
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=389/tcp
firewall-cmd --permanent --add-port=636/tcp
firewall-cmd --permanent --add-port=88/tcp
firewall-cmd --permanent --add-port=88/udp
firewall-cmd --permanent --add-port=464/tcp
firewall-cmd --permanent --add-port=464/udp
firewall-cmd --permanent --add-port=53/tcp
firewall-cmd --permanent --add-port=53/udp

firewall-cmd --reload

SELinux

# Должно быть Enforcing
getenforce

# Если отключён
sed -i 's/^SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config
reboot

2. Установка FreeIPA

Установка пакетов

dnf update -y
dnf install -y ipa-server ipa-server-dns ipa-admintools

Интерактивная установка

ipa-server-install --setup-dns

Автоматическая установка

Production: Используйте пароли из файлов!

export IPA_DS_PASSWORD=$(cat /root/.ipa_ds_pass)
export IPA_ADMIN_PASSWORD=$(cat /root/.ipa_admin_pass)

ipa-server-install \
 --hostname="ipa-master.example.com" \
 --domain="example.com" \
 --realm="EXAMPLE.COM" \
 --ds-password="$IPA_DS_PASSWORD" \
 --admin-password="$IPA_ADMIN_PASSWORD" \
 --setup-dns \
 --forwarder="8.8.8.8" \
 --forwarder="1.1.1.1" \
 --no-ntp \
 --unattended

unset IPA_DS_PASSWORD IPA_ADMIN_PASSWORD

Флаг –no-ntp: Только если время УЖЕ синхронизировано!

Проверка установки

# Kerberos ticket
kinit admin
klist

# Статус сервисов
ipactl status

# Healthcheck (если доступен)
dnf install -y ipa-healthcheck
ipa-healthcheck --failures-only

# DNS
dig ipa-master.example.com @localhost
dig _ldap._tcp.example.com SRV @localhost
dig _kerberos._tcp.example.com SRV @localhost

# LDAP (через Kerberos, НЕ anonymous!)
ldapsearch -Y GSSAPI -b "dc=example,dc=com" -LLL "(objectClass=*)" dn | head -20

# Web UI
curl -s -o /dev/null -w "%{http_code}\n" https://ipa-master.example.com/ipa/ui

Браузер: https://ipa-master.example.com/ipa/ui

3. Управление пользователями

Создание пользователя

ipa user-add jdoe \
    --first="John" \
    --last="Doe" \
    --email="jdoe@example.com" \
    --password

Просмотр

ipa user-show jdoe
ipa user-find

Изменение

ipa user-mod jdoe --title="Senior DevOps"
ipa passwd jdoe

Управление статусом

ipa user-disable jdoe
ipa user-enable jdoe
ipa user-del jdoe

Важно: После удаления tickets живут до истечения (24ч по умолчанию)

SSH ключи

ipa user-mod jdoe --sshpubkey="ssh-rsa AAAAB3..."

Группы

ipa group-add developers --desc="Разработчики"
ipa group-add-member developers --users=jdoe,alice
ipa group-show developers

4. Подключение клиентов

# На клиенте
dnf install -y ipa-client

# Временная запись
echo "192.168.1.10 ipa-master.example.com" >> /etc/hosts

# Подключение
ipa-client-install --enable-dns-updates --mkhomedir

Проверка:

kinit admin
id jdoe
su - jdoe

5. Правила Sudo

Создание команд

# Проверяем путь!
which systemctl

ipa sudocmd-add /usr/bin/systemctl
ipa sudocmd-add /usr/bin/journalctl

Группы команд

ipa sudocmdgroup-add system-commands
ipa sudocmdgroup-add-member system-commands \
    --sudocmds=/usr/bin/systemctl,/usr/bin/journalctl

Правила

ipa sudorule-add sysadmins_full \
    --desc="Полный доступ" \
    --hostcat=all

ipa sudorule-add-user sysadmins_full --groups=sysadmins
ipa sudorule-add-allow-command sysadmins_full \
    --sudocmdgroups=system-commands

Production: Используйте hostgroups вместо --hostcat=all

Тестирование

su - alice
sudo -l
sudo systemctl status httpd

# Если не применяется - очистить cache
sss_cache -E

6. Управление DNS

# A запись
ipa dnsrecord-add example.com web --a-rec=192.168.1.30

# CNAME
ipa dnsrecord-add example.com www --cname-rec=web.example.com.

# Reverse зона
ipa dnszone-add 1.168.192.in-addr.arpa

# PTR запись
ipa dnsrecord-add 1.168.192.in-addr.arpa 30 --ptr-rec=web.example.com.

# Удаление
ipa dnsrecord-del example.com web --a-rec=192.168.1.30

7. Мониторинг

#!/bin/bash
# freeipa-monitor.sh

REALM=$(hostname -d | tr '[:lower:]' '[:upper:]')

echo " Проверка FreeIPA"

# Сервисы
ipactl status

# Healthcheck
ipa-healthcheck --failures-only 2>/dev/null

# Web UI
HTTP_STATUS=$(curl -s -o /dev/null -w "%{http_code}" https://$(hostname -f)/ipa/ui)
echo "Web UI: $HTTP_STATUS"

# LDAP
kinit -k
DOMAIN=$(hostname -d)
BASE_DN=$(echo "$DOMAIN" | sed 's/\./,dc=/g; s/^/dc=/')
ldapsearch -Y GSSAPI -b "$BASE_DN" -LLL dn &>/dev/null && echo "LDAP: OK"

# Сертификат
openssl x509 -in /var/lib/ipa/certs/httpd.crt -noout -enddate

# Время
chronyc tracking

# Directory Server
DS_INSTANCE="dirsrv@$(echo $REALM | tr '.' '-').service"
systemctl is-active "$DS_INSTANCE"

8. Резервное копирование

#!/bin/bash
# freeipa-backup.sh

BACKUP_DIR="/backup/freeipa"
mkdir -p "$BACKUP_DIR"

# Резервное копирование
ipa-backup --data --online

# Архивация
LATEST=$(ls -t /var/lib/ipa/backup/ipa-data-* 2>/dev/null | head -1)
tar czf "${BACKUP_DIR}/backup-$(date +%Y%m%d).tar.gz" -C "$(dirname $LATEST)" "$(basename $LATEST)"

# Очистка старых (>30 дней)
find "$BACKUP_DIR" -name "*.tar.gz" -mtime +30 -delete

Multi-master: Backup делается на ОДНОЙ реплике

Автоматизация:

cat > /etc/cron.d/freeipa-backup << 'EOF'
PATH=/usr/sbin:/usr/bin:/sbin:/bin
0 2 * * * root /root/freeipa-backup.sh
EOF

Восстановление:

tar xzf backup-YYYYMMDD.tar.gz -C /var/lib/ipa/backup/
ipa-restore /var/lib/ipa/backup/ipa-data-YYYY-MM-DD-HH-MM-SS

Решение проблем

Проблема 1: Истёк сертификат

FreeIPA + NFS + Autofs: Production-Grade централизованное хранилище

Mon, 15 Dec 2025 10:00:00 +0300

Категория: Системное администрирование Цель: Настроить безопасное NFS хранилище с автомонтированием

Чему научитесь:

Безопасная настройка NFS (без no_root_squash!)
Правильные параметры монтирования (hard vs soft)
Autofs с FreeIPA LDAP
Kerberos для NFS
Решение проблем

Требования:

FreeIPA настроен (часть 1)
RHEL/CentOS Stream/AlmaLinux/Rocky 8-9
Статический IP
Root доступ

Серия статей: все части

Установка FreeIPA
NFS + Autofs (эта статья)
Hashicorp Vault интеграция

Production vs Лаборатория

Параметр	Лаборатория	Production
NFS exports	no_root_squash	root_squash
Монтирование /home	soft	hard
DNS	chattr +i	NetworkManager
Kerberos	Опционально	Обязательно
SELinux	Permissive	Enforcing

Важно: no_root_squash в production = нарушение безопасности!

Архитектура

graph LR A[FreeIPA] B[NFS Сервер] C[Клиенты] A -->|Autofs maps| C B -->|NFS shares| C A -->|Kerberos| B A -->|Kerberos| C

Процесс монтирования:

Пользователь заходит: cd /home/username
Autofs запрашивает LDAP через SSSD
FreeIPA возвращает путь к NFS
Autofs монтирует с Kerberos
Доступ предоставлен

Требования

Компонент	Требования
FreeIPA	Настроен
NFS Server	RHEL 8-9
RAM	1-2 GB
Диск	По потребностям

Часть 1: NFS Сервер

Настройка hostname и DNS

hostnamectl set-hostname nfs-server.example.com

На FreeIPA:

kinit admin
ipa dnsrecord-add example.com nfs-server --a-rec=192.168.1.20

На NFS сервере (NetworkManager!):

НЕ используйте chattr +i!

# Определяем подключение
CONN_NAME=$(nmcli -t -f NAME,DEVICE con show --active | grep -v '^lo' | head -1 | cut -d: -f1)

# Настройка DNS
nmcli con mod "$CONN_NAME" ipv4.dns "192.168.1.10 8.8.8.8"
nmcli con mod "$CONN_NAME" ipv4.dns-search "example.com"
nmcli con mod "$CONN_NAME" ipv4.ignore-auto-dns yes
nmcli con up "$CONN_NAME"

# Проверка
nslookup nfs-server.example.com

Почему не chattr +i:

Ломает NetworkManager
Ломает systemd-resolved
Проблемы при диагностике

Установка NFS

dnf install -y nfs-utils rpcbind
systemctl enable --now rpcbind nfs-server

rpcbind: Для NFSv4-only не обязателен, но рекомендуется для совместимости

Firewall

firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=mountd
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --reload

Структура директорий

mkdir -p /export/home
mkdir -p /export/shared/{docs,projects,scripts}

chmod 755 /export/home
chmod 755 /export/shared

cat > /export/shared/README.txt << EOF
FreeIPA NFS Storage
Server: $(hostname -f)
EOF

NFS Exports (PRODUCTION!)

КРИТИЧНО: no_root_squash = SECURITY РИСК!

cat > /etc/exports << 'EOF'
# Production конфигурация - root_squash ОБЯЗАТЕЛЕН!

/export/home 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)
/export/shared 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)
EOF

exportfs -ra
exportfs -v
showmount -e localhost

О sec=sys: На начальном этапе используется sec=sys. Далее переключаемся на Kerberos. В production Kerberos обязателен!

Таблица параметров монтирования:

Сценарий	Параметры
/home	rw,hard,intr,sec=krb5p
/shared/docs	ro,soft,sec=krb5i
/shared/projects	rw,hard,intr,sec=krb5i

О no_root_squash:

Допустим ТОЛЬКО для backup серверов
НИКОГДА для /home или /shared!
Любой root на клиенте = root на NFS

Регистрация в FreeIPA

# Установка клиента
dnf install -y ipa-client

# Подключение
ipa-client-install \
 --server=ipa-master.example.com \
 --domain=example.com \
 --realm=EXAMPLE.COM \
 --principal=admin \
 --mkhomedir \
 --enable-dns-updates \
 --unattended

kinit admin

# Host и service
ipa host-add nfs-server.example.com --ip-address=192.168.1.20
ipa service-add nfs/nfs-server.example.com

# Keytab
ipa-getkeytab -s ipa-master.example.com \
 -p nfs/nfs-server.example.com \
 -k /etc/krb5.keytab

# Проверка
klist -k /etc/krb5.keytab

Создание домашних директорий

# Получаем через getent (надёжнее чем id!)
USERINFO=$(getent passwd testuser)
USERNAME=$(echo "$USERINFO" | cut -d: -f1)
UID=$(echo "$USERINFO" | cut -d: -f3)
GID=$(echo "$USERINFO" | cut -d: -f4)

mkdir -p "/export/home/$USERNAME"
chown "$UID:$GID" "/export/home/$USERNAME"
chmod 700 "/export/home/$USERNAME"

mkdir -p "/export/home/$USERNAME"/{Documents,Downloads,Projects}
chown -R "$UID:$GID" "/export/home/$USERNAME"

Часть 2: Autofs в FreeIPA

Создание Location

kinit admin

# Idempotent создание
ipa automountlocation-show default 2>/dev/null || \
ipa automountlocation-add default

Map для /home

ipa automountmap-add default auto.home

ipa automountkey-add default auto.master \
    --key=/home \
    --info=auto.home

# ВАЖНО: hard mounts для /home!
ipa automountkey-add default auto.home \
    --key='*' \
    --info='-rw,hard,sec=krb5p nfs-server.example.com:/export/home/&'

О параметрах /home:

Параметр	Почему
hard	Без потери данных! soft → битые .ssh, .bashrc
krb5p	Kerberos + шифрование

Примечание: опция intr deprecated с ядра 2.6.25 и игнорируется в NFSv4. Не используйте.

** НИКОГДА soft для /home!**

Map для /shared

ipa automountmap-add default auto.shared

ipa automountkey-add default auto.master \
    --key=/shared \
    --info=auto.shared

# Read-only docs (soft OK)
ipa automountkey-add default auto.shared \
    --key=docs \
    --info='-ro,soft,sec=krb5i nfs-server.example.com:/export/shared/docs'

# Projects (hard!)
ipa automountkey-add default auto.shared \
    --key=projects \
    --info='-rw,hard,intr,sec=krb5i nfs-server.example.com:/export/shared/projects'

Уровни безопасности Kerberos:

Уровень	Описание
krb5	Аутентификация
krb5i	+ Проверка целостности
krb5p	+ Шифрование

Часть 3: Клиенты

Подготовка

dnf install -y autofs nfs-utils

DNS (NetworkManager!)

CONN_NAME=$(nmcli -t -f NAME,DEVICE con show --active | grep -v '^lo' | head -1 | cut -d: -f1)

nmcli con mod "$CONN_NAME" ipv4.dns "192.168.1.10 8.8.8.8"
nmcli con mod "$CONN_NAME" ipv4.ignore-auto-dns yes
nmcli con up "$CONN_NAME"

dig nfs-server.example.com

Настройка Autofs

ipa-client-automount --location=default --unattended

# Проверка
automount -m

Запуск

systemctl restart sssd
systemctl enable autofs --now
systemctl status autofs

Часть 4: Kerberos для NFS

NFS сервер

# Уже получили keytab ранее

cat >> /etc/nfs.conf << 'EOF'

[nfsd]
vers4=y
vers4.0=y
vers4.1=y
vers4.2=y
EOF

# Обновление exports
cat > /etc/exports << 'EOF'
# Kerberos-secured

/export/home 192.168.1.0/24(rw,sync,sec=krb5p,root_squash,no_subtree_check)
/export/shared 192.168.1.0/24(rw,sync,sec=krb5i,root_squash,no_subtree_check)
EOF

exportfs -ra
systemctl restart nfs-server

Клиент (проверка!)

КРИТИЧНО: Проверить, что Kerberos работает!

su - testuser

# Проверка ticket
klist

# Переход в home (триггер монтирования)
cd /home/testuser

# Проверка параметров монтирования
mount | grep "/home/testuser"
# Должно содержать: sec=krb5p

exit

Тестирование

Тест 1: Автомонтирование

su - testuser
pwd
df -h /home/testuser
mount | grep testuser

echo "Test from $(hostname)" > test.txt
cat test.txt
exit

Тест 2: Shared

# Read-only
ls /shared/docs
touch /shared/docs/test.txt # Должна ошибка!

# Read-write
echo "Notes" > /shared/projects/notes.txt
cat /shared/projects/notes.txt

Тест 3: Kerberos

kdestroy
ls /home/testuser # Должна ошибка!

kinit testuser
ls /home/testuser # Работает!

Тест 4: Hard vs Soft

# На сервере
systemctl stop nfs-server

# На клиенте
ls /home/testuser # Зависает (правильно!)
ls /shared/docs # Ошибка через timeout

# Восстановление
systemctl start nfs-server

Production конфигурация

Скрипт создания домашних директорий

#!/bin/bash
# create-homes.sh - Production версия

NFS_HOME_BASE="/export/home"
MIN_UID=1000

USERS=$(ipa user-find --all --raw | grep 'uid:' | awk '{print $2}')

for user in $USERS; do
    USERINFO=$(getent passwd "$user" 2>/dev/null)
    
    [ -z "$USERINFO" ] && continue
    
    UID=$(echo "$USERINFO" | cut -d: -f3)
    GID=$(echo "$USERINFO" | cut -d: -f4)
    
    # Фильтр системных пользователей
    [ "$UID" -lt "$MIN_UID" ] && continue
    
    USER_HOME="${NFS_HOME_BASE}/${user}"
    
    if [ ! -d "$USER_HOME" ]; then
        mkdir -p "$USER_HOME"
        chown "$UID:$GID" "$USER_HOME"
        chmod 700 "$USER_HOME"
        mkdir -p "$USER_HOME"/{Documents,Downloads,Projects}
        chown -R "$UID:$GID" "$USER_HOME"
        echo " Создано: $USER_HOME"
    fi
done

Квоты

# В /etc/fstab (для сохранения после reboot!)
cat >> /etc/fstab << 'EOF'
/dev/mapper/vg-export /export xfs defaults,usrquota,grpquota 0 0
EOF

mount -o remount /export

# XFS (RHEL 8/9) — используйте xfs_quota, НЕ quotacheck/quotaon
xfs_quota -x -c 'limit bsoft=10g bhard=11g testuser' /export
xfs_quota -x -c 'report -h' /export

Важно: quotacheck и quotaon — утилиты для ext4. На XFS (стандарт RHEL 8/9) квоты управляются через xfs_quota и включаются mount-опциями usrquota,grpquota.

SELinux

# НЕ public_content_rw_t (это для Apache!)
# Используем nfs_t

semanage fcontext -a -t nfs_t "/export/home(/.*)?"
restorecon -R /export/home

semanage fcontext -a -t nfs_t "/export/shared(/.*)?"
restorecon -R /export/shared

setsebool -P use_nfs_home_dirs on

# На клиентах
setsebool -P use_nfs_home_dirs on

Мониторинг

#!/bin/bash
# nfs-monitor.sh

echo " NFS Server Monitoring"

nfsstat -s | head -20
exportfs -v
showmount -a # Legacy, но для быстрой диагностики
klist -k /etc/krb5.keytab | grep nfs
df -h /export

echo "Top 10 файлов:"
find /export/home -type f -exec du -h {} + 2>/dev/null | sort -rh | head -10

echo " Завершено: $(date)"

Решение проблем

Проблема 1: Autofs не монтирует

Интеграция Hashicorp Vault с FreeIPA: Управление секретами в DevOps

Mon, 15 Dec 2025 10:00:00 +0300

Архитектура интеграции

graph TB A[Пользователь] B[Vault Server] C[FreeIPA LDAP] A -->|1. Логин| B B -->|2. Проверка| C C -->|3. OK| B B -->|4. Token| A A -->|5. Секреты| B

Процесс аутентификации:

Пользователь вводит LDAP учётные данные
Vault запрашивает FreeIPA LDAP
FreeIPA проверяет учётные данные
Vault выдаёт токен доступа
Пользователь работает с секретами

Серия статей: все части

Установка FreeIPA
NFS + Autofs интеграция
Hashicorp Vault интеграция (эта статья)

Требования

Компонент	Требования
FreeIPA	Настроен и работает (часть 1)
Vault Server	Linux, 2GB RAM
Клиенты	Vault CLI
Сеть	Доступ к FreeIPA:389

Часть 1: Установка Vault

Установка на RHEL/CentOS

# Репозиторий HashiCorp
dnf config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo

# Установка
dnf install -y vault

# Проверка
vault --version

Конфигурация Vault

mkdir -p /etc/vault.d
mkdir -p /opt/vault/data

cat > /etc/vault.d/vault.hcl << 'EOF'
# Vault конфигурация для интеграции с FreeIPA

storage "file" {
 path = "/opt/vault/data"
}

listener "tcp" {
 address = "0.0.0.0:8200"
 tls_disable = 1
}

api_addr = "http://192.168.1.30:8200"
ui = true
EOF

chown -R vault:vault /opt/vault /etc/vault.d
chmod 640 /etc/vault.d/vault.hcl

Важно: tls_disable = 1 только для лаборатории! В production используйте TLS!

Запуск Vault

# Systemd service
systemctl enable vault
systemctl start vault
systemctl status vault

Firewall

firewall-cmd --permanent --add-port=8200/tcp
firewall-cmd --reload

Инициализация

# Экспорт адреса
export VAULT_ADDR='http://127.0.0.1:8200'

# Инициализация
vault operator init -key-shares=5 -key-threshold=3

# СОХРАНИТЕ ВСЕ КЛЮЧИ И ROOT TOKEN!

Вывод будет примерно такой:

Unseal Key 1: xxx...
Unseal Key 2: yyy...
Unseal Key 3: zzz...
Unseal Key 4: aaa...
Unseal Key 5: bbb...

Initial Root Token: hvs.xxx...

КРИТИЧНО: Сохраните ключи в безопасном месте!

Распечатывание (Unseal)

# Используем 3 любых ключа из 5
vault operator unseal 
vault operator unseal 
vault operator unseal 

# Проверка статуса
vault status

Вход

vault login

Часть 2: Интеграция с FreeIPA LDAP

Создание учётной записи для Vault

На FreeIPA сервере:

kinit admin

# Создаём service account для Vault
ipa user-add vault-service \
    --first="Vault" \
    --last="Service" \
    --password

# Задаём постоянный пароль
ipa passwd vault-service

Важно: Сохраните пароль в безопасном месте!

Проверка LDAP подключения

С Vault сервера:

# Тест LDAP подключения
ldapsearch -x -H ldap://ipa-master.example.com \
    -D "uid=vault-service,cn=users,cn=accounts,dc=example,dc=com" \
    -W \
    -b "cn=users,cn=accounts,dc=example,dc=com" \
    "(uid=testuser)"

Должен вернуть информацию о пользователе

Включение LDAP аутентификации в Vault

# Включаем auth метод
vault auth enable ldap

# Настройка LDAP
vault write auth/ldap/config \
    url="ldap://ipa-master.example.com" \
    binddn="uid=vault-service,cn=users,cn=accounts,dc=example,dc=com" \
    bindpass="<пароль-vault-service>" \
    userdn="cn=users,cn=accounts,dc=example,dc=com" \
    userattr="uid" \
    groupdn="cn=groups,cn=accounts,dc=example,dc=com" \
    groupattr="cn" \
    groupfilter="(&(objectClass=posixGroup)(member={{.UserDN}}))"

# Проверка конфигурации
vault read auth/ldap/config

Тест LDAP аутентификации

# Вход под FreeIPA пользователем
vault login -method=ldap username=testuser
# Введите пароль

# Проверка токена
vault token lookup

Успешный вход = интеграция работает!

Часть 3: Политики доступа

Создание политик

Политика для разработчиков:

cat > /tmp/dev-policy.hcl << 'EOF'
# Политика для разработчиков

# Чтение/запись в secret/dev/*
path "secret/data/dev/*" {
 capabilities = ["create", "read", "update", "delete", "list"]
}

# Чтение secret/shared/*
path "secret/data/shared/*" {
 capabilities = ["read", "list"]
}

# Metadata
path "secret/metadata/*" {
 capabilities = ["list"]
}
EOF

vault policy write dev-policy /tmp/dev-policy.hcl

Политика для администраторов:

cat > /tmp/admin-policy.hcl << 'EOF'
# Политика для администраторов

# Полный доступ к secret/*
path "secret/*" {
 capabilities = ["create", "read", "update", "delete", "list"]
}

# Управление политиками
path "sys/policies/acl/*" {
 capabilities = ["create", "read", "update", "delete", "list"]
}

# Просмотр auth методов
path "sys/auth" {
 capabilities = ["read", "list"]
}
EOF

vault policy write admin-policy /tmp/admin-policy.hcl

Привязка политик к группам LDAP

# Группа developers → dev-policy
vault write auth/ldap/groups/developers policies=dev-policy

# Группа sysadmins → admin-policy
vault write auth/ldap/groups/sysadmins policies=admin-policy

# Проверка
vault read auth/ldap/groups/developers
vault read auth/ldap/groups/sysadmins

Проверка прав доступа

# Вход как разработчик
vault login -method=ldap username=alice
# alice в группе developers

# Проверка политик
vault token lookup | grep policies

# Тест доступа
vault kv put secret/dev/myapp password=secret123 # OK
vault kv get secret/dev/myapp # OK
vault kv put secret/prod/myapp password=test # Denied!

Часть 4: Управление секретами

Примечание: KV engine должен быть включён до использования vault kv put. Если вы выполняли примеры из Части 3 — включите engine сейчас.

Включение KV секретов

# KV version 2
vault secrets enable -path=secret kv-v2

# Проверка
vault secrets list

Создание секретов

# Простой секрет
vault kv put secret/dev/database \
    username=dbuser \
    password=SuperSecret123

# С метаданными
vault kv put secret/dev/api \
    api_key=abc123xyz \
    endpoint=https://api.example.com \
    created_by=admin

# Файл как секрет
vault kv put secret/dev/ssh-key value=@~/.ssh/id_rsa

Чтение секретов

# Полный вывод
vault kv get secret/dev/database

# Только значения
vault kv get -field=password secret/dev/database

# JSON формат
vault kv get -format=json secret/dev/database

Версии секретов

# Обновление (создаёт версию 2)
vault kv put secret/dev/database \
    username=dbuser \
    password=NewPassword456

# Просмотр версии 1
vault kv get -version=1 secret/dev/database

# Просмотр истории
vault kv metadata get secret/dev/database

# Откат к версии 1
vault kv rollback -version=1 secret/dev/database

Удаление секретов

# Мягкое удаление (можно восстановить)
vault kv delete secret/dev/database

# Восстановление
vault kv undelete -versions=2 secret/dev/database

# Полное удаление
vault kv destroy -versions=1,2 secret/dev/database

# Удаление всех версий
vault kv metadata delete secret/dev/database

Часть 5: Динамические секреты

Подключение к PostgreSQL (пример)

# Включаем database engine
vault secrets enable database

# Настройка подключения
vault write database/config/postgresql \
 plugin_name=postgresql-database-plugin \
 allowed_roles="dev-role" \
 connection_url="postgresql://{{username}}:{{password}}@postgres:5432/mydb" \
 username="vaultadmin" \
 password="vaultpass"

# Создание роли
vault write database/roles/dev-role \
 db_name=postgresql \
 creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; \
 GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \
 default_ttl="1h" \
 max_ttl="24h"

Генерация динамических учётных данных

# Получение временных credentials
vault read database/creds/dev-role

# Вывод:
# Key Value
# lease_id database/creds/dev-role/xxx
# lease_duration 1h
# username v-token-dev-role-yyy
# password A1B2C3D4E5F6

Учётные данные действуют 1 час, затем автоматически удаляются!

Часть 6: Мониторинг

Проверка здоровья Vault

#!/bin/bash
# vault-health.sh

export VAULT_ADDR='http://127.0.0.1:8200'

echo " Проверка Vault"

# Статус
vault status

# Health endpoint
curl -s http://127.0.0.1:8200/v1/sys/health | jq

# Проверка LDAP
vault auth list | grep ldap

# Проверка секретов
vault secrets list

# Политики
vault policy list

echo " Завершено"

Аудит логи

# Включение файлового аудита
vault audit enable file file_path=/var/log/vault-audit.log

# Проверка
vault audit list

# Просмотр логов
tail -f /var/log/vault-audit.log | jq

Часть 7: Использование Vault CLI

Настройка окружения

# В ~/.bashrc или ~/.zshrc
export VAULT_ADDR='http://vault-server:8200'
export VAULT_TOKEN='hvs.xxx...' # Или используйте vault login

# Или создайте файл
cat > ~/.vault-env << 'EOF'
export VAULT_ADDR='http://192.168.1.30:8200'
EOF

source ~/.vault-env

Часто используемые команды

# Статус
vault status

# Вход
vault login -method=ldap username=alice

# Чтение секрета
vault kv get secret/dev/myapp

# Запись секрета
vault kv put secret/dev/myapp key=value

# Список секретов
vault kv list secret/dev/

# Политики
vault policy list
vault policy read dev-policy

# Токены
vault token lookup
vault token renew
vault token revoke

Автоматизация с vault CLI

#!/bin/bash
# deploy-with-secrets.sh

# Вход (пароль запрашивается интерактивно — не передавайте в аргументах!)
vault login -method=ldap username=deploy-user

# Получение секретов
DB_PASS=$(vault kv get -field=password secret/prod/database)
API_KEY=$(vault kv get -field=api_key secret/prod/api)

# Использование в deployment
docker run -e DB_PASSWORD="$DB_PASS" -e API_KEY="$API_KEY" myapp

Часть 8: Best Practices

Безопасность

TLS обязателен в production:

# В vault.hcl
listener "tcp" {
  address = "0.0.0.0:8200"
  tls_cert_file = "/etc/vault.d/vault.crt"
  tls_key_file = "/etc/vault.d/vault.key"
}

Ротация root token:

vault token revoke 
vault operator generate-root

Минимальные привилегии:
- Используйте специфичные политики
- Не давайте root доступ всем
- Регулярно проверяйте права
Аудит:
- Включите аудит логи
- Мониторьте доступ
- Настройте алерты

Резервное копирование

#!/bin/bash
# vault-backup.sh

BACKUP_DIR="/backup/vault"
DATE=$(date +%Y%m%d_%H%M%S)

mkdir -p "$BACKUP_DIR"

# Остановка Vault
systemctl stop vault

# Backup данных
tar czf "${BACKUP_DIR}/vault-data-${DATE}.tar.gz" /opt/vault/data

# Backup конфигурации
tar czf "${BACKUP_DIR}/vault-config-${DATE}.tar.gz" /etc/vault.d

# Запуск
systemctl start vault

# Очистка старых (>30 дней)
find "$BACKUP_DIR" -name "*.tar.gz" -mtime +30 -delete

echo " Backup завершён: ${DATE}"

High Availability

Для production рекомендуется:

3+ серверов Vault
Integrated Storage (Raft) — встроенный backend с Vault 1.4+
Load balancer перед Vault
Auto-unseal через облачные KMS

Решение проблем

Проблема 1: Vault sealed