Skip to content
Snippets Groups Projects

Resolve "feature/ETQ Admin, je veux que ssham selle le vault au signal de fin"

Merged Resolve "feature/ETQ Admin, je veux que ssham selle le vault au signal de fin"
37-feature-etq-admin-je-veux-que-ssham-selle-le-vault-au-signal-de-fin into release-v1.2.0
Merged HARRY Guillaume requested to merge 37-feature-etq-admin-je-veux-que-ssham-selle-le-vault-au-signal-de-fin into release-v1.2.0
Viewing commit cf3f64b0
Next
Show latest version
6 files
+ 284
167
Compare changes
  • Side-by-side
  • Inline
Files
6
ssham/vault/HOWTO.md 0 → 100644
+ 69
0
# VAULT
## Installation
### Installation des binaires
Procédure d'installation : https://www.vaultproject.io/downloads
L'installation par la distruction OS, crée les clés TLS qui peuvent être utilisées pour les connexions SSL
### Configuration
Le fichier [ssham.hcl](ssham.hcl) est un exemple de configuration sans chiffrement SSL, car les connexions sont uniquement locales au serveur dans le cadre de la configuration basique de SSHAM.<br>
Pour plus de détails : https://www.vaultproject.io/docs/configuration
### Renforcement
https://learn.hashicorp.com/tutorials/vault/production-hardening
### Vérification
```
export VAULT_ADDR='http://127.0.0.1:8200'
vault status
```
Le serveur n'étant pas démarré, il normal d'obtenir l'erreur `connection refused`
### Vérifier les clés de sellement
Démarrer Vault
```
export VAULT_ADDR='http://127.0.0.1:8200'
vault server -config=/path/to/ssham/vault/ssham.hcl
```
Pour vérifier que les opérations de sellement et désellement sont opérationnelles, arrêter le server vault puis le démarrer à nouveau et lever le seau avec les clés obtenues au premier lancement de ssham
```
vault operator unseal
```
Pour seller à nouveau le vault, il faut utiliser la clé `root token`
```
export VAULT_TOKEN="..."
vault operator seal
```
## Utilisation de l'authentification userpass
cf. https://www.vaultproject.io/docs/auth/userpass
### Ajouter un compte utilisateur
```
vault write -address="http://127.0.0.1:8200" auth/userpass/users/bob password="long-password"
```
### Vérifier un compte utilisateur
```
vault login -method=userpass username=bob
```
### Lister les comptes utilisateurs
```
curl -X GET --header "X-Vault-Token: ..." --request LIST http://localhost:8200/v1/auth/userpass/users
```
## Troubleshooting
1. Vérifier les logs
2. Utiliser la commande `vault operator diagnose`
```
vault operator diagnose -config /path/to/ssham/vault/ssham.hcl
```
cf. https://learn.hashicorp.com/tutorials/vault/diagnose-startup-issues
### WARNING! Unable to read storage migration status
Si vault a été initialisé manuellement avec la commande vault, puis lancé comme un démon, vérifier les droits sur le répertoire indiqué dans la configuration `storage`

Documentation | Mentions légales | CGU | Accessibilité : non conforme