Kapitel 23. Konfigurieren des automatischen Entsperrens mit einem Tang-Schlüssel in der Web-Konsole
Konfigurieren Sie die automatische Entsperrung eines LUKS-verschlüsselten Speichergeräts mit einem von einem Tang-Server bereitgestellten Schlüssel.
Voraussetzungen
Die RHEL 8 Web-Konsole wurde installiert.
Details finden Sie unter Installieren der Web-Konsole.
-
Das Paket
cockpit-storaged
ist auf Ihrem System installiert. -
Der Dienst
cockpit.socket
läuft auf Port 9090. -
Die Pakete
clevis
,tang
, undclevis-dracut
sind installiert. - Es läuft ein Tang-Server.
Verfahren
Öffnen Sie die RHEL-Webkonsole, indem Sie die folgende Adresse in einen Webbrowser eingeben:
https://localhost:9090
Ersetzen Sie den Teil localhost durch den Hostnamen oder die IP-Adresse des Remote-Servers, wenn Sie eine Verbindung zu einem Remote-System herstellen.
- Geben Sie Ihre Anmeldedaten ein und klicken Sie auf Content auf : . Wählen Sie ein verschlüsseltes Gerät und klicken Sie im Teil
Klicken Sie auf Keys, um einen Tang-Schlüssel hinzuzufügen:
im BereichGeben Sie die Adresse Ihres Tang-Servers und ein Passwort an, das das LUKS-verschlüsselte Gerät entsperrt. Klicken Sie zum Bestätigen auf
:Das folgende Dialogfenster bietet einen Befehl, um zu überprüfen, ob der Schlüssel-Hash übereinstimmt. Mit RHEL 8.2 wurde das Skript
tang-show-keys
eingeführt, und Sie können den Schlüssel-Hash mit dem folgenden Befehl auf dem Tang-Server abrufen, der auf dem Port 7500 läuft:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54
Unter RHEL 8.1 und früher erhalten Sie den Schlüssel-Hash mit dem folgenden Befehl:
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54
Klicken Sie auf
, wenn die Schlüssel-Hashes in der Web-Konsole und in der Ausgabe der zuvor aufgeführten Befehle übereinstimmen:Um das Frühstartsystem zu aktivieren, damit es die Festplattenbindung verarbeitet, klicken Sie unten in der linken Navigationsleiste auf
und geben Sie die folgenden Befehle ein:# yum install clevis-dracut # dracut -fv --regenerate-all
Schritte zur Verifizierung
Prüfen Sie, ob der neu hinzugefügte Tang-Schlüssel nun im Bereich Keys mit dem Typ
Keyserver
aufgeführt ist:Vergewissern Sie sich, dass die Bindungen z. B. für den frühen Start verfügbar sind:
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
Zusätzliche Ressourcen
- Weitere Details zum automatischen Entsperren von LUKS-verschlüsselten Volumes mit Clevis und Tang finden Sie im Kapitel Konfigurieren des automatischen Entsperrens von verschlüsselten Volumes mit richtlinienbasierter Entschlüsselung.