Red Hat SummitCapítulo 55. Gestión de los secretos del servicio IdM: almacenamiento y recuperación de secretos
Esta sección muestra cómo un administrador puede utilizar el módulo ansible-freeipa vault para almacenar de forma segura un secreto de servicio en una ubicación centralizada. La bóveda utilizada en el ejemplo es asimétrica, lo que significa que para utilizarla, el administrador necesita realizar los siguientes pasos:
-
Genere una clave privada utilizando, por ejemplo, la utilidad
openssl. - Generar una clave pública basada en la clave privada.
El secreto del servicio se encripta con la clave pública cuando un administrador lo archiva en la bóveda. Después, una instancia de servicio alojada en una máquina específica del dominio recupera el secreto utilizando la clave privada. Sólo el servicio y el administrador pueden acceder al secreto.
Si el secreto está comprometido, el administrador puede reemplazarlo en la bóveda de servicios y luego redistribuirlo a aquellas instancias de servicio individuales que no han sido comprometidas.
Requisitos previos
- El componente del sistema de certificados de la Autoridad de recuperación de claves (KRA) se ha instalado en uno o varios servidores de su dominio de IdM. Para obtener más información, consulte Instalación de la Autoridad de recuperación de claves en IdM.
Esta sección incluye este procedimiento
Terminología utilizada
En los procedimientos:
- admin es el administrador que gestiona la contraseña del servicio.
- private-key-to-an-externally-signed-certificate.pem es el archivo que contiene el secreto del servicio, en este caso una clave privada de un certificado firmado externamente. No confundas esta clave privada con la clave privada utilizada para recuperar el secreto de la bóveda.
- secret_vault es la bóveda creada para el servicio.
- HTTP/webserver.idm.example.com es el servicio cuyo secreto se está archivando.
- service-public.pem es la clave pública del servicio utilizada para cifrar la contraseña almacenada en password_vault.
- service-private.pem es la clave privada del servicio utilizada para descifrar la contraseña almacenada en secret_vault.
55.1. Almacenamiento de un secreto de servicio IdM en una cámara acorazada asimétrica
Esta sección describe cómo crear una bóveda asimétrica y utilizarla para archivar un secreto de servicio.
Requisitos previos
- Conoce la contraseña del administrador de IdM.
Procedimiento
Inicie sesión como administrador:
kinit admin
$ kinit adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow Obtener la clave pública de la instancia de servicio. Por ejemplo, utilizando la utilidad
openssl:Generar la clave privada
service-private.pem.openssl genrsa -out service-private.pem 2048
$ openssl genrsa -out service-private.pem 2048 Generating RSA private key, 2048 bit long modulus .+++ ...........................................+++ e is 65537 (0x10001)Copy to Clipboard Copied! Toggle word wrap Toggle overflow Generar la clave pública
service-public.pema partir de la clave privada.openssl rsa -in service-private.pem -out service-public.pem -pubout
$ openssl rsa -in service-private.pem -out service-public.pem -pubout writing RSA keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Cree una bóveda asimétrica como la bóveda de la instancia de servicio, y proporcione la clave pública:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow La contraseña archivada en la cámara acorazada estará protegida con la llave.
Archivar el secreto de servicio en la bóveda de servicio:
ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem
$ ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem ----------------------------------- Archived data into vault "secret_vault" -----------------------------------Copy to Clipboard Copied! Toggle word wrap Toggle overflow Esto encripta el secreto con la clave pública de la instancia de servicio.
Repita estos pasos para cada instancia de servicio que requiera el secreto. Cree una nueva bóveda asimétrica para cada instancia de servicio.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}