Chapitre 2. Utilisation des coffres-forts des utilisateurs IdM : stockage et récupération des secrets
Ce chapitre décrit l'utilisation des coffres-forts d'utilisateurs dans la gestion de l'identité. Il décrit en particulier comment un utilisateur peut stocker un secret dans un coffre-fort IdM et comment il peut le récupérer. L'utilisateur peut effectuer le stockage et l'extraction à partir de deux clients IdM différents.
Conditions préalables
- Le composant du système de certificats de l'autorité de récupération des clés (KRA) a été installé sur un ou plusieurs serveurs de votre domaine IdM. Pour plus de détails, voir Installation de l'autorité de recouvrement des clés dans IdM.
2.1. Stocker un secret dans un coffre-fort d'utilisateur
Cette section montre comment un utilisateur peut créer un conteneur de coffre-fort avec un ou plusieurs coffres-forts privés pour stocker en toute sécurité des fichiers contenant des informations sensibles. Dans l'exemple utilisé dans la procédure ci-dessous, l'utilisateur idm_user crée un coffre-fort de type standard. Le type de coffre-fort standard garantit que idm_user n'aura pas à s'authentifier pour accéder au fichier. idm_user pourra récupérer le fichier à partir de n'importe quel client IdM auquel l'utilisateur est connecté.
Dans la procédure :
- idm_user est l'utilisateur qui souhaite créer l'espace de stockage.
- my_vault est le coffre-fort utilisé pour stocker le certificat de l'utilisateur.
-
Le type de coffre-fort est
standard
, de sorte que l'accès au certificat archivé ne nécessite pas que l'utilisateur fournisse un mot de passe pour le coffre-fort. - secret.txt est le fichier contenant le certificat que l'utilisateur souhaite stocker dans le coffre-fort.
Conditions préalables
- Vous connaissez le mot de passe de idm_user.
- Vous êtes connecté à un hôte qui est un client IdM.
Procédure
Obtenir le ticket d'octroi de ticket Kerberos (TGT) pour
idm_user
:$ kinit idm_user
Utilisez la commande
ipa vault-add
avec l'option--type standard
pour créer un coffre-fort standard :$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: idm_user Vault user: idm_user
ImportantAssurez-vous que le premier coffre-fort d'un utilisateur est créé par le même utilisateur. La création du premier coffre-fort d'un utilisateur crée également le conteneur de coffre-fort de l'utilisateur. L'agent de la création devient le propriétaire du conteneur de l'espace de stockage.
Par exemple, si un autre utilisateur, tel que
admin
, crée le premier coffre-fort d'utilisateur pouruser1
, le propriétaire du conteneur de coffre-fort de l'utilisateur sera égalementadmin
, etuser1
ne pourra pas accéder au coffre-fort d'utilisateur ou créer de nouveaux coffres-forts d'utilisateur.Utilisez la commande
ipa vault-archive
avec l'option--in
pour archiver le fichiersecret.txt
dans l'espace de stockage :$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------