Mergeți la conținutul principal

Extragerea parolei eșuează sau depozitul este blocat

VaultPAM stochează credențialele într-un depozit criptat sprijinit de OpenBao. Atunci când încercați să lansați o sesiune sau să extrageți o credență și acțiunea eșuează, una dintre patru cauze este aproape întotdeauna responsabilă. Evenimentele de sigilare a depozitului sunt rare, dar perturbatoare; problemele de permisiune și polită sunt mult mai frecvente.

Simptome

  • Făcând clic pe Launch Session sau Check out password se returnează o eroare, cum ar fi:
    • Vault is sealed — credential access unavailable
    • Credential policy expired
    • You do not have permission to check out this credential
    • This safe is locked
  • Câmpul de credență din vizualizarea detaliilor Safe afișează o pictogramă de blocare sau „Indisponibil" în loc de o valoare mascată.
  • O extragere anterior funcțională eșuează brusc după nicio modificare vizibilă.

Cauze

1. Depozit sigilat (OpenBao)

VaultPAM utilizează OpenBao pentru criptarea credențialelor. Dacă instanța OpenBao este sigilată — din cauza unei reporniri fără auto-unseal, a unei întreruperi a furnizorului de chei sau a unei comenzi de sigilare de operator — nici o operație de citire sau scriere a credențialelor nu poate avea succes până când depozitul nu este desigillat.

Verificare: Un banner „Vault is sealed" poate fi vizibil în panoul de administrare VaultPAM sub System → Vault Status. Operatorii pot de asemenea verifica direct pe gazda OpenBao:

bao status

Câmpul Sealed va fi true dacă depozitul trebuie desigillat.

Cine poate rezolva aceasta: Doar operatorii cu acțiuni la cheile de desigillare (sau acces la furnizorul auto-unseal, cum ar fi GCP KMS sau AWS KMS) pot desigilla depozitul. Utilizatorii finali nu pot desigilla.

Remediere pentru operatori: Desigillați depozitul utilizând numărul necesar de acțiuni la chei de desigillare:

bao operator unseal <key-share>

Repetați pentru fiecare acțiune necesară. Odată ce Sealed: false este confirmat, operațiile de credențiale se reia automatic. Dacă auto-unseal este configurat și depozitul s-a sigilat neașteptat, verificați că cheia KMS sau calea Transit este accesibilă din gazda OpenBao.

2. Polita de credență expirată

Politele de credență la nivel de Safe pot impune o durată maximă de extragere, un program de rotație sau o dată de expirare. Dacă o polită a expirat sau dacă o rotație bazată pe timp a invalidat credența curentă înainte de extragere, extragerea eșuează.

Verificare: Deschideți Safes → selectați Safe → Edit → Credential policy. Căutați:

  • O dată de încheiere a politei care a trecut.
  • Un program de rotație care a rulat și noua credență nu a fost încă stocată.
  • Un „Checkout TTL" care este setat la zero sau o fereastră foarte scurtă.

Remediere: Actualizați polita de credență pentru a extinde fereastra de valabilitate, sau declanșați o rotație manuală: Safes → selectați Safe → Credentials → Rotate now. Dacă rotația necesită o modificare a sistemului upstream, coordonați-vă cu administratorul sistemului țintă.

3. Utilizatorul nu are permisiune de extragere

Extragerea este o permisiune explicită acordată prin aparteneța la Safe și atribuirea de rol. Un utilizator cu acces de citire la un Safe nu are automat permisiunea de extragere.

Verificare: Deschideți Safes → selectați Safe → Members. Găsiți utilizatorul sau grupul căruia îi aparține utilizatorul. Confirmați că rolul lor include permisiunea Checkout. Rolurile și seturile lor de permisiuni sunt vizibile în Organization → Access → Roles.

Remediere: Cereți unui administrator de Safe sau unui administrator VaultPAM să actualizeze rolul utilizatorului la unul care include permisiunea Checkout, sau adăugați utilizatorul la un grup care deja are acel acces.

4. Seif blocat de administrator

Un administrator poate bloca un Safe pentru a preveni toate sesiunile și extragerile, de obicei în timpul unei investigații de incident de securitate sau a unei ferestre de întreținere. Un Safe blocat afișează o pictogramă de blocare în lista Safe.

Verificare: În lista Safes, căutați un badge de blocare pe Safe-ul afectat. Dacă este prezent, Safe-ul este intenționat blocat.

Remediere: Doar un proprietar de Safe sau un administrator VaultPAM poate debloca un Safe. Contactați administratorul dvs. și cereți-i să îl deblocheze via Safes → selectați Safe → Actions → Unlock safe. Cereți-i să confirme motivul pentru blocare și dacă este sigur să deblocheze.

Pași de rezolvare

  1. Încercați extragerea sau lansarea sesiunii. Notați mesajul de eroare exact.
  2. Dacă eroarea menționează că depozitul este sigilat, deschideți System → Vault Status în panoul de administrare VaultPAM. Dacă depozitul este sigilat, escaladați imediat la un operator cu acces la chei de desigillare — utilizatorii finali nu pot rezolva un depozit sigilat.
  3. Dacă eroarea menționează o polită, deschideți Safes → selectați Safe → Edit → Credential policy și verificați o polită expirată sau o rotație întârziată. Extindeți polita sau declanșați o rotație manuală.
  4. Deschideți Safes → selectați Safe → Members și verificați că rolul dvs. include permisiunea Checkout. Dacă nu o include, solicitați o schimbare de rol unui administrator de Safe.
  5. În lista Safes, confirmați că nu este afișată nicio pictogramă de blocare pe Safe-ul afectat. Dacă este blocat, contactați un proprietar de Safe sau un administrator VaultPAM și cereți-i să îl deblocheze.
  6. După orice modificare, reîncercați extragerea sau lansarea sesiunii.

Cale de escaladare

Dacă niciunul dintre pașii de mai sus nu rezolvă eșecul:

  1. Notați mesajul de eroare exact și numele Safe-ului și credențialei implicate.
  2. Dacă depozitul s-a sigilat neașteptat (nu în timpul întreținerii planificate), tratați aceasta ca incident operational P1 și contactați imediat operatorul VaultPAM.
  3. Pentru problemele persistente de permisiune sau polită care nu pot fi explicate de configurația curentă, deschideți un tichet de asistență cu: numele Safe-ului, numele de utilizator afectat, mesajul de eroare exact și o captură de ecran a politei de credență și a listei de membri curente.

Articole conexe