25.4. ユーザーの個人シークレットの保存
このセクションでは、1 つ以上のプライベート vault を作成して個人のシークレットをセキュアに保存する方法を説明します。その後、ユーザーは必要に応じてドメインの任意のマシンでシークレットを取得します。たとえば、ユーザーは vault に個人証明書をアーカイブできるため、証明書を一元的にセキュアに保存できます。
このセクションでは、以下の手順について説明します。
本手順での以下の用語について説明します。
user
は vault を作成するユーザーである。my_vault
はユーザーの証明書保存に使用する vault である。- アーカイブした証明書にアクセスするのに vault のパスワードを指定しなくてもいいように vault タイプが
standard
に設定されている。 secret.txt
は vault に保存する証明書が含まれるファイルです。secret_exported.txt
は、ユーザーがアーカイブした証明書をエクスポートするファイルです。
25.4.1. ユーザーの個人シークレットのアーカイブ
プライベートユーザー vault を作成し、証明書を保存します。Vault タイプは standard です。これにより、証明書へのアクセス時に認証は必要ありません。
user
としてログインします。$ kinit user
- ipa vault-add コマンドを使用して、標準 vault を作成します。
$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: user Vault user: user
重要最初のユーザー vault の作成には、同じユーザーが使用されているようにしてください。たとえば、admin
などの別のユーザーがuser1
の最初のユーザー vault を作成する場合には、ユーザーの vault コンテナーの所有者もadmin
になり、user1
はユーザー vault にアクセスしたり、新しいユーザー vault を作成したりできません。「十分な追加権限がないことが原因で Vault にユーザーがアクセスできない」も参照してください。 - ipa vault-archive --in コマンドを使用して、
secret.txt
ファイルを vault にアーカイブします。$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------
注記1 つの vault は 1 つのシークレットのみを保存することができます。
25.4.2. ユーザーの個人シークレットの取得
プライベート標準 vault から証明書をエクスポートします。
user
としてログインします。$ kinit user
- ipa vault-retrieve --out コマンドを使用して vault の内容を取得し、
secret_exported.txt
ファイルに保存します。$ ipa vault-retrieve my_vault --out secret_exported.txt -------------------------------------- Retrieved data from vault "my_vault" --------------------------------------