Zum Hauptinhalt springen

Passwort-Checkout schlägt fehl oder Vault ist gesperrt

VaultPAM speichert Anmeldeinformationen in einem verschlüsselten Vault, der durch OpenBao gestützt wird. Wenn Sie versuchen, eine Sitzung zu starten oder eine Anmeldeinformation auszuchecken und die Aktion fehlschlägt, ist fast immer eine von vier Ursachen verantwortlich. Vault-Versiegelungsereignisse sind selten, aber störend; Berechtigungs- und Richtlinienprobleme sind weitaus häufiger.

Symptome

  • Beim Klicken auf Sitzung starten oder Passwort auschecken wird ein Fehler zurückgegeben, etwa:
    • Vault is sealed — credential access unavailable
    • Credential policy expired
    • You do not have permission to check out this credential
    • This safe is locked
  • Das Feld für die Anmeldeinformation in der Safe-Detailansicht zeigt ein Schlosssymbol oder „Unavailable" anstelle eines maskierten Werts an.
  • Ein zuvor funktionierender Checkout schlägt plötzlich fehl, ohne dass eine sichtbare Änderung erfolgt ist.

Ursachen

1. Vault versiegelt (OpenBao)

VaultPAM verwendet OpenBao zur Verschlüsselung von Anmeldeinformationen. Wenn die OpenBao-Instanz versiegelt ist — aufgrund eines Neustarts ohne Auto-Unseal, eines Ausfalls des Schlüsselanbieters oder eines Operator-Versiegelungsbefehls — kann kein Lese- oder Schreibvorgang für Anmeldeinformationen erfolgreich sein, bis der Vault entsiegelt wird.

Prüfung: Im VaultPAM-Administrationsbereich unter System → Vault Status kann ein Banner „Vault is sealed" sichtbar sein. Operatoren können dies auch direkt auf dem OpenBao-Host prüfen:

bao status

Das Feld Sealed lautet true, wenn der Vault entsiegelt werden muss.

Wer dies beheben kann: Nur Operatoren mit Unseal-Key-Shares (oder Zugriff auf den Auto-Unseal-Anbieter, etwa GCP KMS oder AWS KMS) können den Vault entsiegeln. Endbenutzer können ihn nicht entsiegeln.

Lösung für Operatoren: Entsiegeln Sie den Vault mit der erforderlichen Anzahl von Unseal-Key-Shares:

bao operator unseal <key-share>

Wiederholen Sie dies für jeden erforderlichen Share. Sobald Sealed: false bestätigt ist, werden die Vorgänge für Anmeldeinformationen automatisch fortgesetzt. Wenn Auto-Unseal konfiguriert ist und der Vault unerwartet versiegelt wurde, prüfen Sie, ob der KMS-Schlüssel oder der Transit-Pfad vom OpenBao-Host aus erreichbar ist.

2. Anmeldeinformationsrichtlinie abgelaufen

Anmeldeinformationsrichtlinien auf Safe-Ebene können eine maximale Checkout-Dauer, einen Rotationsplan oder ein Ablaufdatum erzwingen. Wenn eine Richtlinie abgelaufen ist oder eine zeitbasierte Rotation die aktuelle Anmeldeinformation vor dem Checkout ungültig gemacht hat, schlägt der Checkout fehl.

Prüfung: Öffnen Sie Safes → Safe auswählen → Bearbeiten → Anmeldeinformationsrichtlinie. Achten Sie auf:

  • Ein Richtlinien-Enddatum, das überschritten wurde.
  • Einen Rotationsplan, der ausgeführt wurde, während die neue Anmeldeinformation noch nicht gespeichert wurde.
  • Einen „Checkout TTL", der auf null oder ein sehr kurzes Zeitfenster gesetzt ist.

Lösung: Aktualisieren Sie die Anmeldeinformationsrichtlinie, um das Gültigkeitsfenster zu verlängern, oder lösen Sie eine manuelle Rotation aus: Safes → Safe auswählen → Anmeldeinformationen → Jetzt rotieren. Wenn die Rotation eine Änderung am Upstream-System erfordert, stimmen Sie sich mit dem Administrator des Zielsystems ab.

3. Benutzer fehlt die Checkout-Berechtigung

Der Checkout ist eine explizite Berechtigung, die über die Safe-Mitgliedschaft und die Rollenzuweisung gewährt wird. Ein Benutzer mit Lesezugriff auf einen Safe hat nicht automatisch die Checkout-Berechtigung.

Prüfung: Öffnen Sie Safes → Safe auswählen → Mitglieder. Suchen Sie den Benutzer oder die Gruppe, der der Benutzer angehört. Bestätigen Sie, dass dessen Rolle die Berechtigung Checkout umfasst. Rollen und ihre Berechtigungssätze sind unter Organisation → Zugriff → Rollen sichtbar.

Lösung: Bitten Sie einen Safe-Administrator oder VaultPAM-Administrator, die Rolle des Benutzers auf eine Rolle zu aktualisieren, die die Berechtigung Checkout umfasst, oder fügen Sie den Benutzer einer Gruppe hinzu, die bereits über diesen Zugriff verfügt.

4. Safe vom Administrator gesperrt

Ein Administrator kann einen Safe sperren, um alle Sitzungen und Checkouts zu verhindern, typischerweise während der Untersuchung eines Sicherheitsvorfalls oder eines Wartungsfensters. Ein gesperrter Safe zeigt ein Schlosssymbol in der Safe-Liste an.

Prüfung: Suchen Sie in der Safes-Liste nach einem Schloss-Badge am betroffenen Safe. Falls vorhanden, ist der Safe absichtlich gesperrt.

Lösung: Nur ein Safe-Eigentümer oder VaultPAM-Administrator kann einen Safe entsperren. Kontaktieren Sie Ihren Administrator und bitten Sie ihn, ihn über Safes → Safe auswählen → Aktionen → Safe entsperren zu entsperren. Bitten Sie ihn, den Grund für die Sperrung zu bestätigen und zu klären, ob ein Entsperren unbedenklich ist.

Lösungsschritte

  1. Versuchen Sie den Checkout oder den Sitzungsstart. Notieren Sie die genaue Fehlermeldung.
  2. Wenn der Fehler darauf hinweist, dass der Vault versiegelt ist, öffnen Sie System → Vault Status im VaultPAM-Administrationsbereich. Wenn der Vault versiegelt ist, eskalieren Sie sofort an einen Operator mit Unseal-Key-Zugriff — Endbenutzer können einen versiegelten Vault nicht beheben.
  3. Wenn der Fehler eine Richtlinie erwähnt, öffnen Sie Safes → Safe auswählen → Bearbeiten → Anmeldeinformationsrichtlinie und prüfen Sie auf eine abgelaufene Richtlinie oder eine überfällige Rotation. Verlängern Sie die Richtlinie oder lösen Sie eine manuelle Rotation aus.
  4. Öffnen Sie Safes → Safe auswählen → Mitglieder und überprüfen Sie, ob Ihre Rolle die Berechtigung Checkout umfasst. Falls nicht, fordern Sie eine Rollenänderung von einem Safe-Administrator an.
  5. Bestätigen Sie in der Safes-Liste, dass am betroffenen Safe kein Schlosssymbol angezeigt wird. Wenn er gesperrt ist, kontaktieren Sie einen Safe-Eigentümer oder VaultPAM-Administrator und bitten Sie ihn, ihn zu entsperren.
  6. Wiederholen Sie nach jeder Änderung den Checkout oder den Sitzungsstart.

Eskalationspfad

Wenn keiner der oben genannten Schritte den Fehler behebt:

  1. Notieren Sie die genaue Fehlermeldung sowie den Namen des betroffenen Safes und der betroffenen Anmeldeinformation.
  2. Wenn der Vault unerwartet versiegelt wurde (nicht während einer geplanten Wartung), behandeln Sie dies als P1-Betriebsvorfall und kontaktieren Sie sofort Ihren VaultPAM-Operator.
  3. Bei anhaltenden Berechtigungs- oder Richtlinienproblemen, die sich nicht durch die aktuelle Konfiguration erklären lassen, öffnen Sie ein Support-Ticket mit: Safe-Name, betroffenem Benutzernamen, genauer Fehlermeldung und einem Screenshot der aktuellen Anmeldeinformationsrichtlinie und Mitgliederliste.

Verwandte Artikel