10.4. Web コンソールで Tang キーを使用して自動ロック解除を設定する

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. 管理者アクセスに切り替え、認証情報を入力して、Storage をクリックします。Storage テーブルで、自動的にロックを解除するために追加する予定の暗号化ボリュームが含まれるディスクをクリックします。

3. 次のページに選択したディスクの詳細が表示されたら、Keys セクションの + をクリックして Tang 鍵を追加します。

   

   View larger image

   

4. Key source として Tang keyserver を選択し、Tang サーバーのアドレスと、LUKS で暗号化されたデバイスのロックを解除するパスワードを入力します。Add をクリックして確定します。

   

   View larger image

   

   以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。

5. Tang サーバーのターミナルで、tang-show-keys コマンドを使用して、比較のためにキーハッシュを表示します。この例では、Tang サーバーはポート 7500 で実行されています。

   # tang-show-keys 7500
   x100_1k6GPiDOaMlL3WbpCjHOy9ul1bSfdhI3M08wO0

   Copy to Clipboard Toggle word wrap

6. Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。

   

   View larger image

   
7. RHEL 8.8 以降では、暗号化されたルートファイルシステムと Tang サーバーを選択した後、カーネルコマンドラインへの rd.neednet=1 パラメーターの追加、clevis-dracut パッケージのインストール、および初期 RAM ディスク (initrd) の再生成をスキップできます。非ルートファイルシステムの場合、Web コンソールは、remote-cryptsetup.target および clevis-luks-akspass.path systemd ユニットを有効にし、clevis-systemd パッケージをインストールし、_netdev パラメーターを fstab および crypttab 設定ファイルに追加するようになりました。

検証

1. 新規に追加された Tang キーが Keyserver タイプの Keys セクションにリスト表示されていることを確認します。

   

   View larger image

   

2. バインディングが初期ブートで使用できることを確認します。次に例を示します。

   # lsinitrd | grep clevis-luks
   lrwxrwxrwx   1 root     root           48 Jan  4 02:56 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path -> /usr/lib/systemd/system/clevis-luks-askpass.path
   …

   Copy to Clipboard Toggle word wrap