25.6. 複数ユーザーの共通シークレットの保存
このセクションでは、管理者が共有 vault を作成し、他のユーザーが vault のシークレットにアクセスできるようにする方法を説明します。管理者は共通のパスワードを vault にアーカイブし、他のユーザーはドメイン内の任意のマシンでパスワードを取得できます。
このセクションでは、以下の手順について説明します。
本手順での以下の用語について説明します。
shared_vault
とは、共通パスワードを保存する vault です。admin
は、共有 vault を作成する管理者です。- アーカイブしたパスワードにアクセスするのに vault のパスワードを指定しなくてもいいように vault タイプが
standard
に設定されている。 secret.txt
は共通のシークレットが含まれるファイルです。user1
およびuser2
は vault へのアクセスが許可されるユーザーです。
25.6.1. Common Secret を使用した共有 vault の作成
共有 vault を作成し、これを使用して共通のシークレットを保存します。シークレットにアクセスするユーザーを vault メンバーとして追加します。Vault タイプは standard で、シークレットにアクセスするユーザーが認証する必要がないようにします。
- 管理者としてログインします。
$ kinit admin
- 共有 vault を作成します。
$ ipa vault-add shared_vault --shared --type standard --------------------------- Added vault "shared_vault" --------------------------- Vault name: shared_vault Type: standard Owner users: admin Shared vault: True
- シークレットを vault にアーカイブします。
--shared
オプションを追加して、vault が共有コンテナーにあることを指定します。$ ipa vault-archive shared_vault --shared --in secret.txt ----------------------------------- Archived data into vault "shared_vault" -----------------------------------
注記1 つの vault は 1 つのシークレットのみを保存することができます。 user1
およびuser2
を vault メンバーとして追加します。ipa vault-add-member shared_vault --shared --users={user1,user2} Vault name: shared_vault Type: standard Owner users: admin Shared vault: True Member users: user1, user2 ------------------------- Number of members added 2 -------------------------
25.6.2. メンバーユーザーとしての共有 Vault からのシークレットの取得
Vault のメンバーユーザーとしてログインし、vault からシークレットのあるファイルをエクスポートします。
user1
メンバーユーザーとしてログインします。$ kinit user1
- 共有 vault からシークレットを取得します。
$ ipa vault-retrieve shared_vault --shared --out secret_exported.txt ----------------------------------------- Retrieved data from vault "shared_vault" -----------------------------------------