案例:
手动过程:
step 1. login to vault with your LDAP credential and get your token.
step 2. generate the dynamic credential for the MySQL database with the role "read-database"
step 3. provide the dynamic credential to the "end user"
step 4. "end users" uses the dynamic cred to do stuff.
现在我的问题是关于自动化的:
脚本将如何获得动态凭证?
它会遵循上述步骤 1-4 的手动过程,并且 ofc 而不是 “最终用户”,它将是 “脚本”?
如果是这样,那么如果攻击者以某种方式获得初始 LDAP 凭证,那么一切都会受到损害,对吗? \
鉴于脚本在过期后需要获取另一个动态信用,脚本现在必须再次使用其 LDAP 信用进行身份验证,假设从 LDAP 生成的令牌也已过期,然后生成另一个动态信用。这意味着“初始”LDAP 凭据一次又一次地进行身份验证,从而导致潜在的嗅探或通过其他方式获取这些凭据,因为这是保管库为应用程序/数据库创建动态凭据的原因之一。 .
如果我不明白这是如何工作的,请告诉我,我只是分享我似乎理解的东西,如果我错了,我很想知道,这样我就能更好地理解 Vault。谢谢。