Przejdź do głównej zawartości

Pobranie hasła nie powiodło się lub sejf jest zablokowany

VaultPAM przechowuje poświadczenia w zaszyfrowanym sejfie Vault opartym na OpenBao. Gdy próbujesz uruchomić sesję lub pobrać poświadczenie, a operacja kończy się niepowodzeniem, prawie zawsze odpowiada za to jedna z czterech przyczyn. Zdarzenia zapieczętowania sejfu Vault są rzadkie, lecz uciążliwe; problemy z uprawnieniami i politykami występują znacznie częściej.

Objawy

  • Kliknięcie przycisku Uruchom sesję lub Pobierz hasło zwraca błąd, taki jak:
    • Vault is sealed — credential access unavailable
    • Credential policy expired
    • You do not have permission to check out this credential
    • This safe is locked
  • Pole poświadczenia w widoku szczegółów sejfu wyświetla ikonę kłódki lub napis „Unavailable" zamiast zamaskowanej wartości.
  • Wcześniej działające pobranie nagle zawodzi mimo braku widocznej zmiany.

Przyczyny

1. Zapieczętowany sejf Vault (OpenBao)

VaultPAM wykorzystuje OpenBao do szyfrowania poświadczeń. Jeśli instancja OpenBao jest zapieczętowana — z powodu ponownego uruchomienia bez automatycznego odpieczętowania, awarii dostawcy kluczy lub polecenia zapieczętowania wydanego przez operatora — żadna operacja odczytu ani zapisu poświadczeń nie może się powieść do czasu odpieczętowania sejfu Vault.

Sprawdzenie: Baner „Vault is sealed" może być widoczny w panelu administracyjnym VaultPAM w sekcji System → Vault Status. Operatorzy mogą również sprawdzić to bezpośrednio na hoście OpenBao:

bao status

Pole Sealed będzie miało wartość true, jeśli sejf Vault wymaga odpieczętowania.

Kto może to naprawić: Tylko operatorzy posiadający udziały klucza odpieczętowującego (lub dostęp do dostawcy automatycznego odpieczętowania, takiego jak GCP KMS lub AWS KMS) mogą odpieczętować sejf Vault. Użytkownicy końcowi nie mogą go odpieczętować.

Rozwiązanie dla operatorów: Odpieczętuj sejf Vault, używając wymaganej liczby udziałów klucza odpieczętowującego:

bao operator unseal <key-share>

Powtórz dla każdego wymaganego udziału. Po potwierdzeniu stanu Sealed: false operacje na poświadczeniach zostaną automatycznie wznowione. Jeśli skonfigurowano automatyczne odpieczętowanie, a sejf Vault został nieoczekiwanie zapieczętowany, sprawdź, czy klucz KMS lub ścieżka Transit są osiągalne z hosta OpenBao.

2. Wygasła polityka poświadczeń

Polityki poświadczeń na poziomie sejfu mogą wymuszać maksymalny czas pobrania, harmonogram rotacji lub datę wygaśnięcia. Jeśli polityka wygasła lub jeśli rotacja oparta na czasie unieważniła bieżące poświadczenie przed pobraniem, pobranie kończy się niepowodzeniem.

Sprawdzenie: Otwórz Safes → wybierz sejf → Edit → Credential policy. Zwróć uwagę na:

  • Datę zakończenia polityki, która już minęła.
  • Harmonogram rotacji, który się wykonał, a nowe poświadczenie nie zostało jeszcze zapisane.
  • Wartość „Checkout TTL" ustawioną na zero lub na bardzo krótki przedział czasu.

Rozwiązanie: Zaktualizuj politykę poświadczeń, aby wydłużyć okres ważności, lub uruchom ręczną rotację: Safes → wybierz sejf → Credentials → Rotate now. Jeśli rotacja wymaga zmiany w systemie nadrzędnym, skoordynuj działania z administratorem systemu docelowego.

3. Użytkownik nie ma uprawnienia do pobrania

Pobranie to jawne uprawnienie nadawane poprzez członkostwo w sejfie i przypisanie roli. Użytkownik posiadający dostęp do odczytu sejfu nie ma automatycznie uprawnienia do pobrania.

Sprawdzenie: Otwórz Safes → wybierz sejf → Members. Znajdź użytkownika lub grupę, do której należy. Potwierdź, że jego rola obejmuje uprawnienie Checkout. Role i ich zestawy uprawnień są widoczne w Organization → Access → Roles.

Rozwiązanie: Poproś administratora sejfu lub administratora VaultPAM o zaktualizowanie roli użytkownika do takiej, która obejmuje uprawnienie Checkout, albo o dodanie użytkownika do grupy, która już ma ten dostęp.

4. Sejf zablokowany przez administratora

Administrator może zablokować sejf, aby uniemożliwić wszystkie sesje i pobrania, zazwyczaj podczas dochodzenia w sprawie incydentu bezpieczeństwa lub okna serwisowego. Zablokowany sejf wyświetla ikonę kłódki na liście sejfów.

Sprawdzenie: Na liście Safes poszukaj znacznika kłódki przy danym sejfie. Jeśli jest obecny, sejf został celowo zablokowany.

Rozwiązanie: Tylko właściciel sejfu lub administrator VaultPAM może odblokować sejf. Skontaktuj się ze swoim administratorem i poproś go o odblokowanie go przez Safes → wybierz sejf → Actions → Unlock safe. Poproś o potwierdzenie przyczyny blokady oraz tego, czy odblokowanie jest bezpieczne.

Kroki rozwiązania

  1. Spróbuj wykonać pobranie lub uruchomić sesję. Zanotuj dokładny komunikat o błędzie.
  2. Jeśli błąd wspomina o zapieczętowaniu sejfu Vault, otwórz System → Vault Status w panelu administracyjnym VaultPAM. Jeśli sejf Vault jest zapieczętowany, natychmiast eskaluj sprawę do operatora posiadającego dostęp do klucza odpieczętowującego — użytkownicy końcowi nie mogą rozwiązać problemu zapieczętowanego sejfu Vault.
  3. Jeśli błąd wspomina o polityce, otwórz Safes → wybierz sejf → Edit → Credential policy i sprawdź, czy polityka nie wygasła lub czy rotacja nie jest zaległa. Wydłuż politykę lub uruchom ręczną rotację.
  4. Otwórz Safes → wybierz sejf → Members i zweryfikuj, czy Twoja rola obejmuje uprawnienie Checkout. Jeśli nie, poproś administratora sejfu o zmianę roli.
  5. Na liście Safes potwierdź, że przy danym sejfie nie jest wyświetlana ikona kłódki. Jeśli jest zablokowany, skontaktuj się z właścicielem sejfu lub administratorem VaultPAM i poproś o jego odblokowanie.
  6. Po każdej zmianie ponów próbę pobrania lub uruchomienia sesji.

Ścieżka eskalacji

Jeśli żaden z powyższych kroków nie rozwiąże problemu:

  1. Zanotuj dokładny komunikat o błędzie oraz nazwę sejfu i poświadczenia, których dotyczy.
  2. Jeśli sejf Vault został nieoczekiwanie zapieczętowany (nie podczas planowanej konserwacji), potraktuj to jako incydent operacyjny o priorytecie P1 i natychmiast skontaktuj się ze swoim operatorem VaultPAM.
  3. W przypadku utrzymujących się problemów z uprawnieniami lub polityką, których nie da się wyjaśnić bieżącą konfiguracją, otwórz zgłoszenie do pomocy technicznej zawierające: nazwę sejfu, nazwę użytkownika, którego dotyczy, dokładny komunikat o błędzie oraz zrzut ekranu bieżącej polityki poświadczeń i listy członków.

Powiązane artykuły