Vai al contenuto principale

Checkout password non riuscito o vault bloccato

VaultPAM memorizza le credenziali in un vault crittografato supportato da OpenBao. Quando si tenta di avviare una sessione o eseguire il checkout di una credenziale e l'azione non riesce, una delle quattro cause è quasi sempre responsabile. Gli eventi di sigillo del vault sono rari ma dirompenti; i problemi di autorizzazione e policy sono molto più comuni.

Sintomi

  • Fare clic su Launch Session o Check out password restituisce un errore come:
    • Vault is sealed — credential access unavailable
    • Credential policy expired
    • You do not have permission to check out this credential
    • This safe is locked
  • Il campo credenziale nella visualizzazione dettagliata Safe mostra un'icona di lucchetto o "Unavailable" invece di un valore mascherato.
  • Un checkout precedentemente funzionante improvvisamente non riesce dopo nessun cambiamento visibile.

Cause

1. Vault sigillato (OpenBao)

VaultPAM utilizza OpenBao per la crittografia delle credenziali. Se l'istanza di OpenBao è sigillata — a causa di un riavvio senza auto-unseal, un'interruzione del provider di chiavi o un comando di sigillo dell'operatore — nessun'operazione di lettura o scrittura delle credenziali può avere successo finché il vault non viene aperto.

Controllo: Un banner "Vault is sealed" può essere visibile nel pannello amministratore di VaultPAM in System → Vault Status. Gli operatori possono anche verificare direttamente sull'host OpenBao:

bao status

Il campo Sealed sarà true se il vault necessita di unsealing.

Chi può risolvere: Solo gli operatori con frazioni di chiavi di unsealing (o accesso al provider di auto-unseal, come GCP KMS o AWS KMS) possono aprire il vault. Gli utenti finali non possono aprirlo.

Soluzione per gli operatori: Aprire il vault utilizzando il numero richiesto di frazioni di chiavi di unsealing:

bao operator unseal <key-share>

Ripetere per ogni frazione richiesta. Una volta confermato Sealed: false, le operazioni di credenziali riprendono automaticamente. Se l'auto-unseal è configurato e il vault è stato sigillato inaspettatamente, verificare che la chiave KMS o il percorso Transit sia raggiungibile dall'host OpenBao.

2. Policy di credenziali scaduta

Le policy di credenziali a livello Safe possono applicare una durata massima di checkout, una pianificazione di rotazione o una data di scadenza. Se una policy è scaduta o se una rotazione basata sul tempo ha invalidato la credenziale corrente prima del checkout, il checkout non riesce.

Controllo: Aprire Safes → scegliere Safe → Edit → Credential policy. Cercare:

  • Una data di fine policy che è trascorsa.
  • Una pianificazione di rotazione eseguita e la nuova credenziale non ancora memorizzata.
  • Un "Checkout TTL" impostato a zero o a una finestra molto breve.

Soluzione: Aggiornare la policy di credenziali per estendere la finestra di validità o attivare una rotazione manuale: Safes → scegliere Safe → Credentials → Rotate now. Se la rotazione richiede un cambiamento del sistema upstream, coordinare con l'amministratore del sistema di destinazione.

3. Utente privo di autorizzazione di checkout

Il checkout è un'autorizzazione esplicita concessa attraverso l'appartenenza a Safe e l'assegnazione del ruolo. Un utente con accesso in lettura a un Safe non ha automaticamente l'autorizzazione di checkout.

Controllo: Aprire Safes → scegliere Safe → Members. Trovare l'utente o il gruppo a cui appartiene l'utente. Confermare che il loro ruolo include l'autorizzazione Checkout. I ruoli e i loro insiemi di autorizzazioni sono visibili in Organization → Access → Roles.

Soluzione: Chiedere a un amministratore Safe o a un amministratore VaultPAM di aggiornare il ruolo dell'utente a uno che include l'autorizzazione Checkout o aggiungere l'utente a un gruppo che ha già questo accesso.

4. Safe bloccato dall'amministratore

Un amministratore può bloccare un Safe per prevenire tutte le sessioni e i checkout, tipicamente durante un'indagine su un incidente di sicurezza o una finestra di manutenzione. Un Safe bloccato mostra un'icona di lucchetto nell'elenco Safe.

Controllo: Nell'elenco Safes cercare un badge di lucchetto su Safe interessato. Se presente, il Safe è intenzionalmente bloccato.

Soluzione: Solo un proprietario di Safe o un amministratore VaultPAM può sbloccare un Safe. Contattare l'amministratore e chiedere di sbloccarlo tramite Safes → scegliere Safe → Actions → Unlock safe. Chiedere di confermare il motivo del blocco e se è sicuro sbloccare.

Passaggi di risoluzione

  1. Tentare il checkout o l'avvio della sessione. Annotare il messaggio di errore esatto.
  2. Se l'errore menziona il vault bloccato, aprire System → Vault Status nel pannello amministratore di VaultPAM. Se il vault è sigillato, escalare immediatamente a un operatore con accesso alle chiavi di unsealing — gli utenti finali non possono risolvere un vault sigillato.
  3. Se l'errore menziona una policy, aprire Safes → scegliere Safe → Edit → Credential policy e verificare una policy scaduta o una rotazione scaduta. Estendere la policy o attivare una rotazione manuale.
  4. Aprire Safes → scegliere Safe → Members e verificare che il ruolo includa l'autorizzazione Checkout. Se non la include, richiedere un cambio di ruolo a un amministratore Safe.
  5. Nell'elenco Safes confermare che nessuna icona di lucchetto sia visualizzata su Safe interessato. Se è bloccato, contattare un proprietario di Safe o un amministratore VaultPAM e chiedere di sbloccarlo.
  6. Dopo qualsiasi modifica, riprovare il checkout o l'avvio della sessione.

Percorso di escalation

Se nessuno dei passaggi precedenti risolve il problema:

  1. Annotare il messaggio di errore esatto e il nome del Safe e delle credenziali interessate.
  2. Se il vault è stato sigillato inaspettatamente (non durante la manutenzione programmata), trattare come un incidente operativo P1 e contattare immediatamente l'operatore VaultPAM.
  3. Per problemi di autorizzazione o policy persistenti che non possono essere spiegati dalla configurazione attuale, aprire un ticket di supporto con: nome Safe, nome utente interessato, messaggio di errore esatto e screenshot della policy di credenziali attuale e dell'elenco dei membri.

Articoli correlati