为什么创建token会导致“父token查找失败”

Question

我在使用salt为hashicorp-vault创建令牌时遇到了一个问题。

创建令牌：

$ curl --header "X-Vault-Token: f3821c23-4558-72db-8739-bbf7ac4b90d1" \
       --request POST \
       --data @create_token.json \
       http://127.0.0.1:8200/v1/auth/token/create

{"request_id":"72ba8117-fcb8-506d-f1c4-fe0e5e0f5cbf","lease_id":"","renewable":false,"lease_duration":0,"data":null,"wrap_info":null,"warnings":["Policy \"saltstack/minion/myhost\" does not exist"],"auth":{"client_token":"96bfd0f2-a10a-d966-2d46-3f803fb1d995","accessor":"8a0a296f-d19a-e01c-4782-0fbab06a6ebe","policies":["default","saltstack/minion/admin.p13","saltstack/minions"],"metadata":null,"lease_duration":2764800,"renewable":true,"entity_id":""}}

使用第一个操作的client_token创建一个子令牌。

$ curl --header "X-Vault-Token: 96bfd0f2-a10a-d966-2d46-3f803fb1d995" \
       --request POST \
       --data @test.json \
       http://127.0.0.1:8200/v1/auth/token/create

{"errors":["parent token lookup failed"]}

使用的负载：

文件create_token.json

{"policies": ["saltstack/minion/myhost", "saltstack/minions"], "num_uses":1}

文件test.json

{"num_uses": 0, "policies": ["default", "myapp"], "ttl": "1h", "no_parent": true, "renewable": true, "metadata": {"user": "root"}}

Answer 1

孤立令牌只能创建：

通过auth/token/create-orphan endpoint

• 在访问sudo时具有功能或根策略，并将孤立参数设置为auth/token/create

这意味着您的初始令牌没有与之关联的根策略。正如您在下面的策略列表中所看到的，

"policies":["default","saltstack/minion/admin.p13","saltstack/minions"],"metadata":null,"lease_duration":2764800,"renewable":true,"entity_id":""}}

除此之外，

如果您使用的是salt，则您的主令牌必须具有在minion中创建新令牌的权限，然后您可以使用vault.write_secret创建新令牌