Η εξαγωγή κωδικού πρόσβασης αποτυγχάνει ή το vault είναι κλειδωμένο
Το VaultPAM αποθηκεύει διαπιστευτήρια σε ένα κρυπτογραφημένο vault που υποστηρίζεται από το OpenBao. Όταν προσπαθείτε να εκκινήσετε μια συνεδρία ή να εξαγάγετε ένα διαπιστευτήριο και η ενέργεια αποτυγχάνει, σχεδόν πάντα ευθύνονται τέσσερις αιτίες. Τα γεγονότα sealed vault είναι σπάνια αλλά διαταρακτικά· τα προβλήματα δικαιωμάτων και πολιτικής είναι πολύ πιο συνηθισμένα.
Συμπτώματα
- Κάνοντας κλικ στο Launch Session ή Check out password επιστρέφει ένα σφάλμα όπως:
Vault is sealed — credential access unavailableCredential policy expiredYou do not have permission to check out this credentialThis safe is locked
- Το πεδίο διαπιστευτηρίου στην προβολή λεπτομερειών Safe εμφανίζει ένα εικονίδιο κλειδώματος ή "Unavailable" αντί για μια κρυμμένη τιμή.
- Μια προηγουμένως λειτουργούσα εξαγωγή ξαφνικά αποτυγχάνει μετά από καμία ορατή αλλαγή.
Αιτίες
1. Vault sealed (OpenBao)
Το VaultPAM χρησιμοποιεί το OpenBao για κρυπτογραφία διαπιστευτηρίων. Εάν η παρουσία του OpenBao είναι sealed — λόγω επανεκκίνησης χωρίς auto-unseal, διακοπής παροχής κλειδιού ή εντολής seal από τον χειριστή — κανένα διαπιστευτήριο λειτουργία ανάγνωσης ή εγγραφής δεν μπορεί να ολοκληρωθεί μέχri να unsealed το vault.
Έλεγχος: Ένα banner "Vault is sealed" μπορεί να είναι ορατό στον πίνακα διαχείρισης VaultPAM κάτω από System → Vault Status. Οι χειριστές μπορούν επίσης να ελέγξουν απευθείας στον κεντρικό υπολογιστή OpenBao:
bao status
Το πεδίο Sealed θα είναι true εάν το vault χρειάζεται unsealing.
Ποιος μπορεί να το διορθώσει: Μόνο οι χειριστές με μερίδες κλειδιού unseal (ή πρόσβαση στον παροχέα auto-unseal, όπως GCP KMS ή AWS KMS) μπορούν να unseal το vault. Οι τελικοί χρήστες δεν μπορούν να το κάνουν.
Διόρθωση για τους χειριστές: Unseal το vault χρησιμοποιώντας τον απαιτούμενο αριθμό μεριδών κλειδιού unseal:
bao operator unseal <key-share>
Επαναλάβετε για κάθε απαιτούμενη μερίδα. Αφού επιβεβαιωθεί Sealed: false, οι λειτουργίες διαπιστευτηρίων επανεκκινούνται αυτόματα. Εάν έχει ρυθμιστεί auto-unseal και το vault sealed αναπάντεχα, ελέγξτε ότι το κλειδί KMS ή το Transit path είναι προσβάσιμο από τον κεντρικό υπολογιστή OpenBao.
2. Credential policy ληγμένη
Πολιτικές διαπιστευτηρίων σε επίπεδο Safe μπορούν να επιβάλουν μέγιστη διάρκεια εξαγωγής, χρονοδιάγραμμα περιστροφής ή ημερομηνία λήξης. Εάν η πολιτική έχει λήξει ή εάν μια χρονική περιστροφή έχει ακυρώσει το τρέχον διαπιστευτήριο πριν από την εξαγωγή, η εξαγωγή αποτυγχάνει.
Έλεγχος: Ανοίξτε Safes → επιλέξτε Safe → Edit → Credential policy. Ψάξτε για:
- Ημερομηνία λήξης πολιτικής που έχει περάσει.
- Χρονοδιάγραμμα περιστροφής που εκτελέστηκε και το νέο διαπιστευτήριο δεν έχει αποθηκευτεί ακόμα.
- "Checkout TTL" που έχει ρυθμιστεί σε μηδέν ή πολύ σύντομο παράθυρο.
Διόρθωση: Ενημερώστε την πολιτική διαπιστευτηρίων για να επεκτείνετε το παράθυρο εγκυρότητας ή ενεργοποιήστε μια χειροκίνητη περιστροφή: Safes → επιλέξτε Safe → Credentials → Rotate now. Εάν η περιστροφή απαιτεί αλλαγή ανάντη συστήματος, συντονίστε με τον διαχειριστή του στοχοθέτημου συστήματος.
3. Ο χρήστης στερείται δικαιώματος εξαγωγής
Η εξαγωγή είναι ένα ρητό δικαίωμα που χορηγείται μέσω της συνδρομής Safe και της ανάθεσης ρόλου. Ένας χρήστης με πρόσβαση ανάγνωσης σε ένα Safe δεν έχει αυτόματα δικαίωμα εξαγωγής.
Έλεγχος: Ανοίξτε Safes → επιλέξτε Safe → Members. Βρείτε τον χρήστη ή την ομάδα στην οποία ανήκει ο χρήστης. Επιβεβαιώστε ότι ο ρόλος τους περιλαμβάνει το δικαίωμα Checkout. Οι ρόλοι και τα σύνολα δικαιωμάτων τους είναι ορατά στο Organization → Access → Roles.
Διόρθωση: Ζητήστε από έναν διαχειριστή Safe ή έναν διαχειριστή VaultPAM να ενημερώσει τον ρόλο του χρήστη σε έναν που περιλαμβάνει το δικαίωμα Checkout ή να προσθέσει τον χρήστη σε μια ομάδα που έχει ήδη πρόσβαση.
4. Safe κλειδωμένο από διαχειριστή
Ένας διαχειριστής μπορεί να κλειδώσει ένα Safe για να αποτρέψει όλες τις συνεδρίες και εξαγωγές, συνήθως κατά τη διάρκεια διερεύνησης περιστατικού ασφαλείας ή παραθύρου συντήρησης. Ένα κλειδωμένο Safe εμφανίζει ένα εικονίδιο κλειδώματος στη λίστα Safe.
Έλεγχος: Στη λίστα Safes, ψάξτε για ένα badge κλειδώματος στο επηρεασμένο Safe. Εάν υπάρχει, το Safe είναι ηθελημένα κλειδωμένο.
Διόρθωση: Μόνο ένας ιδιοκτήτης Safe ή ένας διαχειριστής VaultPAM μπορεί να ξεκλειδώσει ένα Safe. Επικοινωνήστε με τον διαχειριστή σας και ζητήστε να το ξεκλειδώσει μέσω Safes → επιλέξτε Safe → Actions → Unlock safe. Ζητήστε από αυτόν να επιβεβαιώσει τον λόγο για το κλείδωμα και αν είναι ασφαλές να ξεκλειδώσει.
Βήματα ανάλυσης
- Προσπαθήστε την εξαγωγή ή την εκκίνηση συνεδρίας. Σημειώστε το ακριβές μήνυμα σφάλματος.
- Εάν το σφάλμα αναφέρει ότι το vault είναι sealed, ανοίξτε System → Vault Status στον πίνακα διαχείρισης VaultPAM. Εάν το vault είναι sealed, δώστε αμέσως κλιμάκωση σε έναν χειριστή με πρόσβαση κλειδιού unseal — οι τελικοί χρήστες δεν μπορούν να επιλύσουν ένα sealed vault.
- Εάν το σφάλμα αναφέρει πολιτική, ανοίξτε Safes → επιλέξτε Safe → Edit → Credential policy και ελέγξτε για μια ληγμένη πολιτική ή καθυστερημένη περιστροφή. Επεκτείνετε την πολιτική ή ενεργοποιήστε μια χειροκίνητη περιστροφή.
- Ανοίξτε Safes → επιλέξτε Safe → Members και επαληθεύστε ότι ο ρόλος σας περιλαμβάνει το δικαίωμα Checkout. Εάν δεν περιλαμβάνει, ζητήστε αλλαγή ρόλου από έναν διαχειριστή Safe.
- Στη λίστα Safes, επιβεβαιώστε ότι δεν εμφανίζεται εικονίδιο κλειδώματος στο επηρεασμένο Safe. Εάν είναι κλειδωμένο, επικοινωνήστε με έναν ιδιοκτήτη Safe ή ένα διαχειριστή VaultPAM και ζητήστε τους να το ξεκλειδώσουν.
- Μετά από οποιαδήποτε αλλαγή, δοκιμάστε ξανά την εξαγωγή ή την εκκίνηση συνεδρίας.
Μονοπάτι κλιμάκωσης
Εάν κανένα από τα παραπάνω βήματα δεν επιλύσει την αποτυχία:
- Σημειώστε το ακριβές μήνυμα σφάλματος και το όνομα του Safe και του διαπιστευτηρίου που εμπλέκεται.
- Εάν το vault sealed αναπάντεχα (όχι κατά τη διάρκεια προγραμματισμένης συντήρησης), αντιμετωπίστε αυτό ως περιστατικό P1 λειτουργίας και επικοινωνήστε αμέσως με τον χειριστή VaultPAM.
- Για επίμονα προβλήματα δικαιωμάτων ή πολιτικής που δεν μπορούν να εξηγηθούν από την τρέχουσα ρύθμιση, ανοίξτε ένα αίτημα υποστήριξης με: όνομα Safe, επηρεασμένο όνομα χρήστη, ακριβές μήνυμα σφάλματος και στιγμιότυπο της τρέχουσας πολιτικής διαπιστευτηρίων και λίστας μελών.