Checkout password non riuscito o vault bloccato
VaultPAM memorizza le credenziali in un vault crittografato supportato da OpenBao. Quando si tenta di avviare una sessione o eseguire il checkout di una credenziale e l'azione non riesce, una delle quattro cause è quasi sempre responsabile. Gli eventi di sigillo del vault sono rari ma dirompenti; i problemi di autorizzazione e policy sono molto più comuni.
Sintomi
- Fare clic su Launch Session o Check out password restituisce un errore come:
Vault is sealed — credential access unavailableCredential policy expiredYou do not have permission to check out this credentialThis safe is locked
- Il campo credenziale nella visualizzazione dettagliata Safe mostra un'icona di lucchetto o "Unavailable" invece di un valore mascherato.
- Un checkout precedentemente funzionante improvvisamente non riesce dopo nessun cambiamento visibile.
Cause
1. Vault sigillato (OpenBao)
VaultPAM utilizza OpenBao per la crittografia delle credenziali. Se l'istanza di OpenBao è sigillata — a causa di un riavvio senza auto-unseal, un'interruzione del provider di chiavi o un comando di sigillo dell'operatore — nessun'operazione di lettura o scrittura delle credenziali può avere successo finché il vault non viene aperto.
Controllo: Un banner "Vault is sealed" può essere visibile nel pannello amministratore di VaultPAM in System → Vault Status. Gli operatori possono anche verificare direttamente sull'host OpenBao:
bao status
Il campo Sealed sarà true se il vault necessita di unsealing.
Chi può risolvere: Solo gli operatori con frazioni di chiavi di unsealing (o accesso al provider di auto-unseal, come GCP KMS o AWS KMS) possono aprire il vault. Gli utenti finali non possono aprirlo.
Soluzione per gli operatori: Aprire il vault utilizzando il numero richiesto di frazioni di chiavi di unsealing:
bao operator unseal <key-share>
Ripetere per ogni frazione richiesta. Una volta confermato Sealed: false, le operazioni di credenziali riprendono automaticamente. Se l'auto-unseal è configurato e il vault è stato sigillato inaspettatamente, verificare che la chiave KMS o il percorso Transit sia raggiungibile dall'host OpenBao.
2. Policy di credenziali scaduta
Le policy di credenziali a livello Safe possono applicare una durata massima di checkout, una pianificazione di rotazione o una data di scadenza. Se una policy è scaduta o se una rotazione basata sul tempo ha invalidato la credenziale corrente prima del checkout, il checkout non riesce.
Controllo: Aprire Safes → scegliere Safe → Edit → Credential policy. Cercare:
- Una data di fine policy che è trascorsa.
- Una pianificazione di rotazione eseguita e la nuova credenziale non ancora memorizzata.
- Un "Checkout TTL" impostato a zero o a una finestra molto breve.
Soluzione: Aggiornare la policy di credenziali per estendere la finestra di validità o attivare una rotazione manuale: Safes → scegliere Safe → Credentials → Rotate now. Se la rotazione richiede un cambiamento del sistema upstream, coordinare con l'amministratore del sistema di destinazione.
3. Utente privo di autorizzazione di checkout
Il checkout è un'autorizzazione esplicita concessa attraverso l'appartenenza a Safe e l'assegnazione del ruolo. Un utente con accesso in lettura a un Safe non ha automaticamente l'autorizzazione di checkout.
Controllo: Aprire Safes → scegliere Safe → Members. Trovare l'utente o il gruppo a cui appartiene l'utente. Confermare che il loro ruolo include l'autorizzazione Checkout. I ruoli e i loro insiemi di autorizzazioni sono visibili in Organization → Access → Roles.
Soluzione: Chiedere a un amministratore Safe o a un amministratore VaultPAM di aggiornare il ruolo dell'utente a uno che include l'autorizzazione Checkout o aggiungere l'utente a un gruppo che ha già questo accesso.
4. Safe bloccato dall'amministratore
Un amministratore può bloccare un Safe per prevenire tutte le sessioni e i checkout, tipicamente durante un'indagine su un incidente di sicurezza o una finestra di manutenzione. Un Safe bloccato mostra un'icona di lucchetto nell'elenco Safe.
Controllo: Nell'elenco Safes cercare un badge di lucchetto su Safe interessato. Se presente, il Safe è intenzionalmente bloccato.
Soluzione: Solo un proprietario di Safe o un amministratore VaultPAM può sbloccare un Safe. Contattare l'amministratore e chiedere di sbloccarlo tramite Safes → scegliere Safe → Actions → Unlock safe. Chiedere di confermare il motivo del blocco e se è sicuro sbloccare.
Passaggi di risoluzione
- Tentare il checkout o l'avvio della sessione. Annotare il messaggio di errore esatto.
- Se l'errore menziona il vault bloccato, aprire System → Vault Status nel pannello amministratore di VaultPAM. Se il vault è sigillato, escalare immediatamente a un operatore con accesso alle chiavi di unsealing — gli utenti finali non possono risolvere un vault sigillato.
- Se l'errore menziona una policy, aprire Safes → scegliere Safe → Edit → Credential policy e verificare una policy scaduta o una rotazione scaduta. Estendere la policy o attivare una rotazione manuale.
- Aprire Safes → scegliere Safe → Members e verificare che il ruolo includa l'autorizzazione Checkout. Se non la include, richiedere un cambio di ruolo a un amministratore Safe.
- Nell'elenco Safes confermare che nessuna icona di lucchetto sia visualizzata su Safe interessato. Se è bloccato, contattare un proprietario di Safe o un amministratore VaultPAM e chiedere di sbloccarlo.
- Dopo qualsiasi modifica, riprovare il checkout o l'avvio della sessione.
Percorso di escalation
Se nessuno dei passaggi precedenti risolve il problema:
- Annotare il messaggio di errore esatto e il nome del Safe e delle credenziali interessate.
- Se il vault è stato sigillato inaspettatamente (non durante la manutenzione programmata), trattare come un incidente operativo P1 e contattare immediatamente l'operatore VaultPAM.
- Per problemi di autorizzazione o policy persistenti che non possono essere spiegati dalla configurazione attuale, aprire un ticket di supporto con: nome Safe, nome utente interessato, messaggio di errore esatto e screenshot della policy di credenziali attuale e dell'elenco dei membri.