Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

Identity Management での Vault の操作

Red Hat Enterprise Linux 9

IdM での機密データの保存と管理

Red Hat Customer Content Services

概要

Vault は、サービスの認証情報などの機密データを保存、取得、共有するための Red Hat Identity Management (IdM) の安全な場所です。コマンドラインまたは Ansible Playbook を使用して Vault を管理できます。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 IdM の Vault
リンクのコピー

Identity Management (IdM) の Vault について詳しく説明します。

1.1. Vault およびその利点
リンクのコピー

Identity Management (IdM) の Vault を使用すると、すべての機密データを 1 カ所でセキュアかつ便利に保存できます。

Vault は、シークレットの保存、取得、共有、および復旧を行うための IdM のセキュアな場所です。シークレットは、通常は一部のユーザーまたはエンティティーグループのみがアクセスできる、認証情報などの機密データを指します。たとえば、シークレットには以下が含まれます。

  • パスワード
  • 暗証番号
  • SSH 秘密鍵

Vault はパスワードマネージャーと類似しています。Vault を使用する場合、通常、パスワードマネージャーと同様に、ロックを解除するためのプライマリーのパスワードを 1 つ生成し、記憶して、Vault に保存されている情報にアクセスする必要があります。ただし、標準の Vault を指定することも可能です。標準の Vault では、Vault に保存されているシークレットにアクセスするためにパスワードを入力する必要はありません。

注記

IdM の Vault は、認証情報を保存して、IdM 関連以外の外部サービスに対して認証を可能にすることを目的としています。

IdM の Vault の特徴は次のとおりです。

  • Vault にアクセスできるのは、Vault の所有者と、Vault メンバーとして Vault の所有者が選択した IdM ユーザーだけです。さらに、IdM 管理者はすべての Vault にアクセスできます。
  • ユーザーに Vault を作成する権限がない場合には、IdM 管理者が Vault を作成し、そのユーザーを所有者として設定できます。
  • ユーザーおよびサービスは、IdM ドメインに登録されているマシンからであれば、Vault に保存されているシークレットにアクセスできます。
  • Vault 1 つに追加できるシークレットは 1 つのみです (例: ファイル 1 つ)。ただし、ファイル自体には、パスワード、キータブ、証明書など複数のシークレットを含めることができます。
注記

Vault は、IdM Web UI ではなく、IdM コマンドライン (CLI) からしか利用できません。

1.2. Vault の所有者、メンバー、および管理者
リンクのコピー

Identity Management (IdM) で識別される Vault ユーザータイプは以下のとおりです。

Vault 所有者

Vault 所有者は、Vault の基本的な管理権限のあるユーザーまたはサービスです。たとえば、Vault の所有者は Vault のプロパティーを変更したり、新しい Vault メンバーを追加したりできます。

各 Vault には最低でも所有者が 1 人必要です。Vault には複数の所有者を指定することもできます。

Vault メンバー
Vault メンバーは、別のユーザーまたはサービスが作成した Vault にアクセスできるユーザーまたはサービスです。
Vault 管理者

Vault 管理者は全 Vault に制限なくアクセスでき、Vault の操作をすべて実行できます。IdM のロールベースアクセス制御 (RBAC) のコンテキストでは、Vault 管理者は Vault Administrators 特権を持つ IdM ユーザーです。

注記

対称および非対称 Vault は、パスワードまたは鍵で保護されます。以下を実行する管理者には、特別なアクセス制御ルールが適用されます。

  • 対称および非対称 Vault のシークレットにアクセスする。
  • Vault のパスワードまたは鍵を変更またはリセットする。
Vault ユーザー

Vault ユーザーは、Vault のあるコンテナー内のユーザーです。Vault ユーザー 情報は、ipa Vault-show などの特定のコマンドの出力に表示されます。 

$ ipa vault-show my_vault
  Vault name: my_vault
  Type: standard
  Owner users: user
  Vault user: user
Copy to Clipboard Toggle word wrap

Vault コンテナーおよびユーザー Vault の詳細は、Vault コンテナー を参照してください。

1.3. 標準、対称、および非対称 Vault
リンクのコピー

IdM では、セキュリティーおよびアクセス制御のレベルをもとに Vault を以下のタイプに分類します。

標準 Vault
Vault 所有者と Vault メンバーが、パスワードや鍵を使用せずに Vault 内のシークレットをアーカイブおよび取得できます。
対称 Vault
Vault のシークレットが対称鍵を使用して保護されます。Vault の所有者とメンバーは、シークレットをアーカイブして取得できますが、Vault パスワードを指定する必要があります。
非対称 Vault
Vault のシークレットが非対称鍵で保護されます。ユーザーは公開鍵を使用してシークレットをアーカイブし、秘密鍵を使用してシークレットを取得します。Vault 所有者はシークレットをアーカイブおよび取得できます。Vault メンバーはシークレットのアーカイブだけ実行できます。

1.4. ユーザー、サービスおよび共有 Vault
リンクのコピー

IdM では、所有権をもとに Vault を複数のタイプに分類します。以下の表 には、各タイプ、所有者、および使用方法に関する情報が含まれます。

Expand
表1.1 所有権に基づく IdM Vault
タイプ説明所有者備考

ユーザー Vault

ユーザーのプライベート Vault

ユーザー x 1

IdM 管理者が許可すれば、ユーザーは 1 つまたは複数のユーザー Vault を所有できます。

サービス Vault

サービスのプライベート Vault

サービス x 1

IdM 管理者が許可すれば、ユーザーは 1 つまたは複数のサービス Vault を所有できます。

共有 Vault

複数のユーザーおよびグループで共有される Vault

Vault を作成した Vault の管理者

IdM 管理者が許可すれば、ユーザーおよびサービスは 1 つまたは複数のユーザー Vault を所有できます。Vault の作成者以外に、Vault 管理者が Vault に対して完全なアクセス権があります。

1.5. Vault コンテナー
リンクのコピー

Vault コンテナーは Vault のコレクションです。以下の表 は、Identity Management (IdM) が提供するデフォルトの Vault コンテナーのリストです。

Expand
表1.2 IdM のデフォルトの Vault コンテナー
タイプ説明目的

ユーザーコンテナー

ユーザーのプライベートコンテナー

特定ユーザーのユーザー Vault を格納します。

サービスコンテナー

サービスのプライベートコンテナー

特定のサービスのサービス Vault を格納します。

共有コンテナー

複数のユーザーおよびサービスのコンテナー

複数のユーザーまたはサービスで共有可能な Vault を格納します。

IdM では、ユーザーまたはサービスのプライベート Vault が初めて作成されると、ユーザーまたはサービスごとにユーザーコンテナーおよびサービスコンテナーを自動的に作成します。ユーザーまたはサービスが削除されると、IdM はコンテナーとそのコンテンツを削除します。

1.6. 基本的な IdM Vault コマンド
リンクのコピー

以下に概説する基本的なコマンドを使用して、Identity Management (IdM) Vault を管理できます。以下の表 には、ipa vault-* コマンドとその目的が記載されています。

注記

ipa vault-* コマンドを実行する前に、IdM ドメインのサーバー 1 台以上に Key Recovery Authority (KRA) 証明書システムコンポーネントをインストールします。詳細は、IdM での Key Recovery Authority (KRA) のインストール を参照してください。

Expand
表1.3 基本的な IdM Vault コマンドおよび説明
コマンド目的

ipa help vault

IdM vault コマンドおよびサンプル Vault コマンドの概念などの情報を表示します。

ipa vault-add --helpipa vault-find --help

特定の ipa vault-* コマンドに --help オプションを追加すると、このコマンドで利用可能なオプションと詳細なヘルプが表示されます。

ipa vault-show user_vault --user idm_user

Vault メンバーとしてユーザー Vault にアクセスする場合は、Vault 所有者を指定する必要があります。Vault 所有者を指定しない場合には、IdM により Vault が見つからない旨が通知されます。 

[admin@server ~]$ ipa vault-show user_vault
ipa: ERROR: user_vault: vault not found
Copy to Clipboard Toggle word wrap

ipa vault-show shared_vault --shared

共有 Vault にアクセスする場合には、アクセスする Vault が共有 Vault であることを指定する必要があります。それ以外の場合は、IdM により Vault が見つからない旨が通知されます。 

[admin@server ~]$ ipa vault-show shared_vault
ipa: ERROR: shared_vault: vault not found
Copy to Clipboard Toggle word wrap

1.7. IdM での Key Recovery Authority のインストール
リンクのコピー

以下の手順に従って、特定の IdM サーバーに Key Recovery Authority (KRA) Certificate System (CS) コンポーネントをインストールして、Identity Management (IdM) の Vault を有効にします。

前提条件

  • IdM サーバーに root としてログインしている。
  • IdM 認証局が IdM サーバーにインストールされている。
  • Directory Manager 認証情報がある。

手順

  • KRA をインストールします。 

    # ipa-kra-install
    Copy to Clipboard Toggle word wrap
注記

Vault サービスの可用性と耐障害性を高めるには、2 台以上の IdM サーバーに KRA をインストールします。複数の KRA サーバーを保持することで、データの損失を防ぎます。

重要

非表示のレプリカに、IdM クラスターの最初の KRA をインストールできます。ただし、追加の KRA をインストールするには、非表示レプリカを一時的にアクティベートしてから、表示されているレプリカに KRA のクローンをインストールする必要があります。その後に、最初に非表示レプリカを再度非表示にできます。

第2章 IdM ユーザー Vault の使用: シークレットの保存および取得
リンクのコピー

この章では、Identity Management でユーザー Vault を使用する方法を説明します。具体的には、IdM Vault にシークレットを保存する方法と、シークレットを取得する方法を説明します。異なる IdM クライアント 2 台から保存と取得が可能です。

前提条件

2.1. ユーザー Vault でのシークレットの保存
リンクのコピー

この手順に従って、機密情報を含むファイルを安全に保存するための 1 つ以上のプライベート Vault を含む Vault コンテナーを作成します。以下の手順で使用する例では、idm_user ユーザーが標準タイプの Vault を作成します。標準タイプの Vault では、ファイルへのアクセス時に idm_user を認証する必要がありません。idm_user は、ユーザーがログインしている IdM クライアントからファイルを取得できます。

この手順では、以下を想定しています。

  • idm_user は Vault を作成するユーザーである。
  • my_Vault はユーザーの証明書保存に使用する Vault である。
  • アーカイブした証明書にアクセスするのに Vault のパスワードを指定しなくてもいいように Vault タイプが standard に設定されている。
  • secret.txt は Vault に保存する証明書が含まれるファイルです。

前提条件

  • idm_user のパスワードを知っている。
  • IdM クライアントであるホストにログインしている。

手順

  1. idm_user の Kerberos Ticket Granting Ticket (TGT) を取得します。 

    $ kinit idm_user
    Copy to Clipboard Toggle word wrap

  2. ipa Vault-add コマンドに --type standard オプションを指定して、標準 Vault を作成します。 

    $ ipa vault-add my_vault --type standard
----------------------
Added vault "my_vault"
----------------------
  Vault name: my_vault
  Type: standard
  Owner users: idm_user
  Vault user: idm_user
    Copy to Clipboard Toggle word wrap
    重要

    最初のユーザー Vault の作成には、同じユーザーが使用されているようにしてください。ユーザーの最初の Vault を作成すると、ユーザーの Vault コンテナーも作成されます。作成エージェントは Vault コンテナーの所有者になります。

    たとえば、admin などの別のユーザーが user1 の最初のユーザー Vault を作成する場合には、ユーザーの Vault コンテナーの所有者も admin になり、user1 はユーザー Vault にアクセスしたり、新しいユーザー Vault を作成したりできません。

  3. ipa vault-archive コマンドに --in オプションを指定して、secret.txt ファイルを Vault にアーカイブします。 

    $ ipa vault-archive my_vault --in secret.txt
-----------------------------------
Archived data into vault "my_vault"
-----------------------------------
    Copy to Clipboard Toggle word wrap

2.2. ユーザー Vault からのシークレットの取得
リンクのコピー

Identity Management (IdM) では、ユーザープライベート Vault からシークレットを取得して、ログインしている IdM クライアントに配置できます。

この手順に従って、idm_user という名前の IdM ユーザーが my_vault という名前のユーザープライベート Vault からシークレットを取得して idm_client.idm.example.com に配置します。

前提条件

手順

  1. idm_clientidm_user として SSH 接続します。 

    $ ssh idm_user@idm_client.idm.example.com
    Copy to Clipboard Toggle word wrap

  2. idm_user としてログインします。 

    $ kinit user
    Copy to Clipboard Toggle word wrap

  3. --out オプションを指定した ipa vault-retrieve コマンドを使用して、Vault の内容を取得し、secret_exported.txt ファイルに保存します。 

    $ ipa vault-retrieve my_vault --out secret_exported.txt
--------------------------------------
Retrieved data from vault "my_vault"
--------------------------------------
    Copy to Clipboard Toggle word wrap

第3章 Ansible を使用した IdM ユーザー Vault の管理: シークレットの保存および取得
リンクのコピー

この章では、Ansible vault モジュールを使用して Identity Management でユーザー Vault を管理する方法を説明します。具体的には、ユーザーが Ansible Playbook を使用して以下の 3 つのアクションを実行する方法を説明しています。

異なる IdM クライアント 2 台から保存と取得が可能です。

前提条件

3.1. Ansible を使用して IdM に標準ユーザー Vault が存在する状態にする
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して 1 つ以上のプライベート Vault を持つ Vault コンテナーを作成し、機密情報を安全に保存します。以下の手順で使用する例では、idm_user ユーザーmy_vault という名前の標準タイプの Vault を作成します。標準タイプの Vault では、ファイルへのアクセス時に idm_user を認証する必要がありません。idm_user は、ユーザーがログインしている IdM クライアントからファイルを取得できます。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • idm_user のパスワードを知っている。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/ensure-standard-vault-is-present.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/ensure-standard-vault-is-present.yml ensure-standard-vault-is-present-copy.yml
    Copy to Clipboard Toggle word wrap
  3. ensure-standard-vault-is-present-copy.yml ファイルを開いて編集します。

  4. ipavault タスクセクションに以下の変数を設定して、ファイルを調整します。

    • ipaadmin_principal 変数は idm_user に設定します。
    • ipaadmin_password 変数は idm_user のパスワードに設定します。
    • user 変数は idm_user に設定します。
    • name 変数は my_vault に設定します。

    • vault_type 変数は standard に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false

  tasks:
  - ipavault:
      ipaadmin_principal: idm_user
      ipaadmin_password: idm_user_password
      user: idm_user
      name: my_vault
      vault_type: standard
    Copy to Clipboard Toggle word wrap
  5. ファイルを保存します。

  6. Playbook を実行します。 

    $ ansible-playbook -v -i inventory.file ensure-standard-vault-is-present-copy.yml
    Copy to Clipboard Toggle word wrap

3.2. Ansible を使用して IdM の標準ユーザー Vault でシークレットをアーカイブする手順
リンクのコピー

以下の手順に従って、Ansible Playbook を使用してパーソナル Vault に機密情報を保存します。この例では、idm_user ユーザーは my_vault という名前の Vault に password.txt という名前で機密情報が含まれるファイルをアーカイブします。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • idm_user のパスワードを知っている。
  • idm_user が所有者であるか、my_vault のメンバーユーザーである。
  • password.txt (my_vault にアーカイブするシークレット) にアクセスできる。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-symmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-symmetric-vault.yml data-archive-in-symmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap
  3. data-archive-in-standard-vault-copy.yml ファイルを開いて編集します。

  4. ipavault タスクセクションに以下の変数を設定して、ファイルを調整します。

    • ipaadmin_principal 変数は idm_user に設定します。
    • ipaadmin_password 変数は idm_user のパスワードに設定します。
    • user 変数は idm_user に設定します。
    • name 変数は my_vault に設定します。
    • in 変数は機密情報が含まれるファイルへのパスに設定します。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_principal: idm_user
      ipaadmin_password: idm_user_password
      user: idm_user
      name: my_vault
      in: /usr/share/doc/ansible-freeipa/playbooks/vault/password.txt
      action: member
    Copy to Clipboard Toggle word wrap
  5. ファイルを保存します。

  6. Playbook を実行します。 

    $ ansible-playbook -v -i inventory.file data-archive-in-standard-vault-copy.yml
    Copy to Clipboard Toggle word wrap

3.3. Ansible を使用して IdM の標準ユーザー Vault からシークレットを取得する手順
リンクのコピー

以下の手順に従って、Ansible Playbook を使用してユーザーのパーソナル Vault からシークレットを取得します。以下の手順で使用する例では、idm_user ユーザーは、my_vault という名前の標準タイプの Vault から機密データを含むファイルを取得して、host01 という名前の IdM クライアントに配置します。ファイルへのアクセス時に idm_user を認証する必要はありません。idm_user は Ansible を使用して、Ansible がインストールされている IdM クライアントからファイルを取得できます。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • idm_user のパスワードを知っている。
  • idm_usermy_vault の所有者である。
  • idm_usermy_vault にシークレットを保存している。
  • Ansible が、シークレットを取得して配置する先の IdM ホストのディレクトリーに書き込みができる。
  • idm_user はシークレットを取得して配置する先の IdM ホストのディレクトリーから読み取りができる。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-symmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/retrive-data-symmetric-vault.yml retrieve-data-symmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap

  3. インベントリーファイルを開き、明確に定義されたセクションで、シークレットを取得する IdM クライアントを記載します。たとえば、Ansible に対して host01.idm.example.com にシークレットを取得して配置するよう指示するには、次のコマンドを実行します。 

    [ipahost]
host01.idm.example.com
    Copy to Clipboard Toggle word wrap
  4. retrieve-data-standard-vault.yml-copy.yml ファイルを編集のために開きます。
  5. hosts 変数は ipahost に設定して、ファイルを調整します。

  6. ipavault タスクセクションに以下の変数を設定して、ファイルを調整します。

    • ipaadmin_principal 変数は idm_user に設定します。
    • ipaadmin_password 変数は idm_user のパスワードに設定します。
    • user 変数は idm_user に設定します。
    • name 変数は my_vault に設定します。
    • out 変数は、シークレットをエクスポートするファイルの完全パスに設定します。

    • state 変数は retrieved に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipahost
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_principal: idm_user
      ipaadmin_password: idm_user_password
      user: idm_user
      name: my_vault
      out: /tmp/password_exported.txt
      state: retrieved
    Copy to Clipboard Toggle word wrap
  7. ファイルを保存します。

  8. Playbook を実行します。 

    $ ansible-playbook -v -i inventory.file retrieve-data-standard-vault.yml-copy.yml
    Copy to Clipboard Toggle word wrap

検証

  1. host01user01 として SSH 接続します。 

    $ ssh user01@host01.idm.example.com
    Copy to Clipboard Toggle word wrap

  2. Ansible Playbook ファイルに out 変数で指定したファイルを表示します。 

    $ vim /tmp/password_exported.txt
    Copy to Clipboard Toggle word wrap

これで、エクスポートされたシークレットが表示されます。

関連情報

  • Ansible を使用して IdM Vault およびユーザーシークレットを管理する方法および、Playbook 変数の情報は、/usr/share/doc/ansible-freeipa/ ディレクトリーで利用可能な README-vault.md Markdown ファイルおよび /usr/share/doc/ansible-freeipa/playbooks/vault/ で利用可能なサンプルの Playbook を参照してください。

第4章 IdM サービスシークレットの管理: シークレットの保存と取得
リンクのコピー

このセクションでは、管理者が Identity Management (IdM) のサービス Vault を使用して、サービスシークレットを一元的な場所にセキュアに保存する方法を説明します。この例で使用される Vault は非対称であるため、これを使用する場合は、管理者は以下の手順を実行する必要があります。

  1. openssl ユーティリティーなどを使用して秘密鍵を生成する。
  2. 秘密鍵をもとに公開鍵を生成する。

サービスシークレットは、管理者が Vault にアーカイブする時に公開鍵を使用して暗号化されます。その後、ドメイン内の特定のマシンでホストされるサービスインスタンスが、秘密鍵を使用してシークレットを取得します。シークレットにアクセスできるのは、サービスと管理者のみです。

シークレットが漏洩した場合には、管理者はサービス Vault でシークレットを置き換えて、漏洩されていないサービスインスタンスに配布しなおすことができます。

前提条件

この手順では、以下のものを使用します。

  • IdM の admin ユーザーは、サービスパスワードを管理する管理者です。
  • private-key-to-an-externally-signed-certificate.pem は、サービスシークレットを含むファイルです (ここでは外部署名証明書への秘密鍵)。この秘密鍵と、Vault からのシークレットの取得に使用する秘密鍵と混同しないようにしてください。
  • secret_vault は、サービス向けに作成された Vault です。
  • HTTP/webserver.idm.example.com は、シークレットがアーカイブされるサービスです。
  • service-public.pem は、password_vault に保存されているパスワードの暗号化に使用するサービスの公開鍵です。
  • service-private.pem は、secret_vault に保存されているパスワードの復号化に使用するサービスの秘密鍵です。

4.1. 非対称 Vault での IdM サービスシークレットの保存
リンクのコピー

この手順に従って非対称 Vault を作成し、それを使用してサービスシークレットをアーカイブします。

前提条件

  • IdM 管理者パスワードを把握している。

手順

  1. 管理者としてログインします。 

    $ kinit admin
    Copy to Clipboard Toggle word wrap

  2. サービスインスタンスの公開鍵を取得します。たとえば、openssl ユーティリティーを使用する場合は以下を行います。

    1. service-private.pem 秘密鍵を生成します。 

      $ openssl genrsa -out service-private.pem 2048
Generating RSA private key, 2048 bit long modulus
.+++
...........................................+++
e is 65537 (0x10001)
      Copy to Clipboard Toggle word wrap

    2. 秘密鍵をもとに service-public.pem 公開鍵を生成します。 

      $ openssl rsa -in service-private.pem -out service-public.pem -pubout
writing RSA key
      Copy to Clipboard Toggle word wrap

  3. サービスインスタンス Vault として非対称 Vault を作成し、公開鍵を指定します。 

    $ ipa vault-add secret_vault --service HTTP/webserver.idm.example.com --type asymmetric --public-key-file service-public.pem
----------------------------
Added vault "secret_vault"
----------------------------
Vault name: secret_vault
Type: asymmetric
Public key: LS0tLS1C...S0tLS0tCg==
Owner users: admin
Vault service: HTTP/webserver.idm.example.com@IDM.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

    Vault にアーカイブされたパスワードはこの鍵で保護されます。

  4. サービスシークレットをサービス Vault にアーカイブします。 

    $ ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem
-----------------------------------
Archived data into vault "secret_vault"
-----------------------------------
    Copy to Clipboard Toggle word wrap

    これにより、サービスインスタンスの公開鍵でシークレットが暗号化されます。

上記の手順を、シークレットを必要とする全サービスインスタンスで繰り返します。サービスインスタンスごとに新規の非対称 Vault を作成します。

4.2. IdM サービスインスタンスのサービスシークレットの取得
リンクのコピー

サービスインスタンスを使用して、ローカルに保存されたサービス秘密鍵を使用してサービス Vault のシークレットを取得するには、次の手順を実行します。

前提条件

手順

  1. 管理者としてログインします。 

    $ kinit admin
    Copy to Clipboard Toggle word wrap

  2. サービスの Kerberos チケットを取得します。 

    # kinit HTTP/webserver.idm.example.com -k -t /etc/httpd/conf/ipa.keytab
    Copy to Clipboard Toggle word wrap

  3. サービス Vault パスワードを取得します。 

    $ ipa vault-retrieve secret_vault --service HTTP/webserver.idm.example.com --private-key-file service-private.pem --out secret.txt
------------------------------------
Retrieved data from vault "secret_vault"
------------------------------------
    Copy to Clipboard Toggle word wrap

4.3. シークレットが漏洩した場合の IdM サービス Vault シークレットの変更
リンクのコピー

サービスコンテナーのシークレットを変更して、侵害されたサービスインスタンスを隔離するには、次の手順に従います。

前提条件

  • IdM 管理者 パスワードが分かっている。
  • サービスシークレットの保存先の 非対称 Vault を作成している。
  • 新しいシークレットを生成し、そのシークレットにアクセスできる (例: new-private-key-to-an-externally-signed-certificate.pem ファイル)。

手順

  1. 新規シークレットをサービスインスタンス Vault にアーカイブします。 

    $ ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in new-private-key-to-an-externally-signed-certificate.pem
-----------------------------------
Archived data into vault "secret_vault"
-----------------------------------
    Copy to Clipboard Toggle word wrap

    これにより、Vault に保存されている現在のシークレットが上書きされます。

  2. 不正アクセスがされていないサービスインスタンスのみで新規シークレットを取得します。詳細は、IdM サービスインスタンスのサービスシークレットの取得 を参照してください。

第5章 Ansible を使用した IdM サービス Vault の管理: シークレットの保存および取得
リンクのコピー

このセクションでは、管理者が ansible-freeipa vault モジュールを使用して、サービスシークレットを一元化された場所に安全に保存する方法について説明します。この例で使用される Vault は非対称であるため、これを使用する場合は、管理者は以下の手順を実行する必要があります。

  1. openssl ユーティリティーなどを使用して秘密鍵を生成する。
  2. 秘密鍵をもとに公開鍵を生成する。

サービスシークレットは、管理者が Vault にアーカイブする時に公開鍵を使用して暗号化されます。その後、ドメイン内の特定のマシンでホストされるサービスインスタンスが、秘密鍵を使用してシークレットを取得します。シークレットにアクセスできるのは、サービスと管理者のみです。

シークレットが漏洩した場合には、管理者はサービス Vault でシークレットを置き換えて、漏洩されていないサービスインスタンスに配布しなおすことができます。

前提条件

  • 以下の Playbook で定義されている ipaserver ホストカテゴリー内のすべての IdM サーバーに、Key Recovery Authority (KRA) Certificate System コンポーネントがインストールされている。詳細は、IdM での Key Recovery Authority (KRA) のインストール を参照してください。

この手順では、以下を使用します。

  • IdM の admin ユーザーは、サービスパスワードを管理する管理者です。
  • private-key-to-an-externally-signed-certificate.pem は、サービスシークレットを含むファイルです (ここでは外部署名証明書への秘密鍵)。この秘密鍵と、Vault からのシークレットの取得に使用する秘密鍵と混同しないようにしてください。
  • secret_vault は、サービスシークレット保存向けに作成された Vault です。
  • HTTP/webserver1.idm.example.com は Vault の所有者となるサービスです。
  • HTTP/webserver2.idm.example.com および HTTP/webserver3.idm.example.com は Vault メンバーサービスです。
  • service-public.pem は、password_vault に保存されているパスワードの暗号化に使用するサービスの公開鍵です。
  • service-private.pem は、secret_vault に保存されているパスワードの復号化に使用するサービスの秘密鍵です。

5.1. Ansible を使用して IdM に非対称サービス Vault が存在する状態にする
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して 1 つ以上のプライベート Vault を持つサービス Vault コンテナーを作成し、機密情報を安全に保存します。以下の手順で使用する例では、管理者は secret_vault という名前の非対称 Vault を作成します。こうすることで、Vault メンバーは、Vault のシークレットを取得する際に、秘密鍵を使用して必ず認証することになります。Vault メンバーは、IdM クライアントからファイルを取得できます。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/ensure-asymmetric-vault-is-present.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/ensure-asymmetric-vault-is-present.yml ensure-asymmetric-vault-is-present-copy.yml
    Copy to Clipboard Toggle word wrap

  3. サービスインスタンスの公開鍵を取得します。たとえば、openssl ユーティリティーを使用する場合は以下を行います。

    1. service-private.pem 秘密鍵を生成します。 

      $ openssl genrsa -out service-private.pem 2048
Generating RSA private key, 2048 bit long modulus
.+++
...........................................+++
e is 65537 (0x10001)
      Copy to Clipboard Toggle word wrap

    2. 秘密鍵をもとに service-public.pem 公開鍵を生成します。 

      $ openssl rsa -in service-private.pem -out service-public.pem -pubout
writing RSA key
      Copy to Clipboard Toggle word wrap
  4. ensure-asymmetric-vault-is-present-copy.yml ファイルを編集のために開きます。
  5. Ansible コントローラーから server.idm.example.com サーバーに service-public.pem の公開鍵をコピーするタスクを追加します。

  6. ipavault タスクセクションに以下の変数を設定して、残りのファイルを変更します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • secret_vault などの name 変数を使用して Vault の名前を定義します。
    • vault_type 変数は asymmetric に設定します。
    • service 変数は、Vault を所有するサービスのプリンシパル (例: HTTP/webserver1.idm.example.com) に設定します。

    • public_key_file は、公開鍵の場所に設定します。

      以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false
  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Copy public key to ipaserver.
    copy:
      src: /path/to/service-public.pem
      dest: /usr/share/doc/ansible-freeipa/playbooks/vault/service-public.pem
      mode: 0600
  - name: Add data to vault, from a LOCAL file.
    ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      vault_type: asymmetric
      service: HTTP/webserver1.idm.example.com
      public_key_file: /usr/share/doc/ansible-freeipa/playbooks/vault/service-public.pem
    Copy to Clipboard Toggle word wrap
  7. ファイルを保存します。

  8. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file ensure-asymmetric-service-vault-is-present-copy.yml
    Copy to Clipboard Toggle word wrap

5.2. Ansible を使用した非対称 Vault へのメンバーサービスの追加
リンクのコピー

以下の手順に従って、Ansible Playbook を使用してメンバーサービスをサービス Vault に追加し、これらすべてが Vault に保存されているシークレットを取得できるようにします。以下の手順で使用する例では、IdM の管理者は HTTP/webserver2.idm.example.comHTTP/webserver3.idm.example.com のサービスプリンシパルを HTTP/webserver1.idm.example.com が所有する secret_vault Vault に追加します。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • サービスシークレットの保存先の 非対称 Vault を作成している。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-asymmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-asymmetric-vault.yml data-archive-in-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap
  3. data-archive-in-asymmetric-vault-copy.yml ファイルを編集のために開きます。

  4. ファイルを変更するには、ipavault タスクセクションに以下の変数を設定します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • name 変数は Vault の名前 (例: secret_vault) に設定します。
    • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver1.idm.example.com)。
    • services 変数を使用して、Vault シークレットにアクセスできる services を定義します。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      service: HTTP/webserver1.idm.example.com
      services:
      - HTTP/webserver2.idm.example.com
      - HTTP/webserver3.idm.example.com
      action: member
    Copy to Clipboard Toggle word wrap
  5. ファイルを保存します。

  6. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file add-services-to-an-asymmetric-vault.yml
    Copy to Clipboard Toggle word wrap

5.3. Ansible を使用した非対称 Vault への IdM サービスシークレットの保存
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して、サービス Vault にシークレットを保存し、サービスが後で取得できるようにします。以下の手順で使用する例では、管理者は secret_vault という名前の非対称 Vault にシークレットが含まれる PEM ファイルを保存します。こうすることで、サービスは、Vault からシークレットを取得する際に、秘密鍵を使用して必ず認証することになります。このサービスは、任意の IdM クライアントからファイルを取得できるようになります。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • サービスシークレットの保存先の 非対称 Vault を作成している。
  • シークレットが /usr/share/doc/ansible-freeipa/playbooks/vault/private-key-to-an-externally-signed-certificate.pem ファイルなど、Ansible コントローラーのローカルに保存されている。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-asymmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/data-archive-in-asymmetric-vault.yml data-archive-in-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap
  3. data-archive-in-asymmetric-vault-copy.yml ファイルを編集のために開きます。

  4. ファイルを変更するには、ipavault タスクセクションに以下の変数を設定します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • name 変数は Vault の名前 (例: secret_vault) に設定します。
    • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver1.idm.example.com)。
    • in 変数は "{{ lookup('file', 'private-key-to-an-externally-signed-certificate.pem')| b64encode }}" に設定します。この設定では、Ansible が IdM サーバーではなく、Ansible コントローラーの作業ディレクトリーから秘密鍵のあるファイルを取得するようになります。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      service: HTTP/webserver1.idm.example.com
      in: "{{ lookup('file', 'private-key-to-an-externally-signed-certificate.pem') | b64encode }}"
      action: member
    Copy to Clipboard Toggle word wrap
  5. ファイルを保存します。

  6. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file data-archive-in-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap

5.4. Ansible を使用した IdM サービスのサービスシークレットの取得
リンクのコピー

以下の手順に従って、Ansible Playbook を使用してサービスの代わりにサービス Vault からシークレットを取得します。以下の手順で使用する例では、Playbook を実行して secret_vault という名前の PEM ファイルを取得し、Ansible インベントリーファイルに ipaservers として記載されている全ホストの指定の場所に保存します。

サービスは、キータブを使用して IdM に対して、さらに秘密鍵を使用して Vault に対して認証を実行します。ansible-freeipa がインストールされている IdM クライアントから、サービスの代わりにファイルを取得できます。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • サービスシークレットの保存先の 非対称 Vault を作成している。
  • Vault にシークレットをアーカイブ している。
  • Ansible コントローラーで private_key_file 変数が指定する場所にサービス Vault のシークレットの取得に使用する秘密鍵が保存されている。

手順

  1. MyPlaybooks ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. /usr/share/doc/ansible-freeipa/playbooks/vault/retrieve-data-asymmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。 

    $ cp /usr/share/doc/ansible-freeipa/playbooks/vault/retrieve-data-asymmetric-vault.yml retrieve-data-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap

  3. インベントリーファイルを開き、以下のホストを定義します。

    • [ipaserver] セクションで、使用する IdM サーバーを定義します。
    • [webservers] セクションで、シークレットを取得するホストを定義します。たとえば Ansible に対して webserver1.idm.example.comwebserver2.idm.example.com および webserver3.idm.example.com にシークレットを取得するように指示するには以下を実行します。 
    [ipaserver]
server.idm.example.com

[webservers]
webserver1.idm.example.com
webserver2.idm.example.com
webserver3.idm.example.com
    Copy to Clipboard Toggle word wrap
  4. retrieve-data-asymmetric-vault-copy.yml ファイルを編集のために開きます。

  5. ファイルを変更するには、ipavault タスクセクションに以下の変数を設定します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • name 変数は Vault の名前 (例: secret_vault) に設定します。
    • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver1.idm.example.com)。
    • private_key_file 変数は、サービス Vault のシークレットの取得に使用する秘密鍵の場所に設定します。
    • out 変数は、現在の作業ディレクトリーなど、private-key-to-an-externally-signed-certificate.pem シークレットの取得先となる IdM サーバーの場所に設定します。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Retrieve data from vault
  hosts: ipaserver
  become: no
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Retrieve data from the service vault
    ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      service: HTTP/webserver1.idm.example.com
      vault_type: asymmetric
      private_key: "{{ lookup('file', 'service-private.pem') | b64encode }}"
      out: private-key-to-an-externally-signed-certificate.pem
      state: retrieved
    Copy to Clipboard Toggle word wrap

  6. Playbook に、IdM サーバーから Ansible コントローラーにデータファイルを取得するセクションを追加します。 

    ---
- name: Retrieve data from vault
  hosts: ipaserver
  become: no
  gather_facts: false
  tasks:
[...]
  - name: Retrieve data file
    fetch:
      src: private-key-to-an-externally-signed-certificate.pem
      dest: ./
      flat: true
      mode: 0600
    Copy to Clipboard Toggle word wrap

  7. インベントリーファイルの webservers セクションに記載されている Web サーバーに、Ansible コントローラーから取得した private-key-to-an-externally-signed-certificate.pem ファイルを転送するセクションを Playbook に追加します。 

    ---
- name: Send data file to webservers
  become: no
  gather_facts: no
  hosts: webservers
  tasks:
  - name: Send data to webservers
    copy:
      src: private-key-to-an-externally-signed-certificate.pem
      dest: /etc/pki/tls/private/httpd.key
      mode: 0444
    Copy to Clipboard Toggle word wrap
  8. ファイルを保存します。

  9. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file retrieve-data-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap

5.5. シークレットが漏洩した場合の Ansible での IdM サービス Vault シークレットの変更
リンクのコピー

以下の手順に従って、サービスインスタンスが危険にさらされたときに Ansible Playbook を再利用し、サービス Vault に保存されているシークレットを変更します。以下の例のシナリオでは、シークレットを保存する非対称 Vault への鍵は漏洩されておらず、webserver3.idm.example.com で取得したシークレットの情報が漏洩した場合を前提としています。この例では、管理者は 非対称 Vault でシークレットを保存する時 および IdM ホストに非対称 Vault からシークレットを取得する時 に Ansible Playbook を再利用します。この手順のはじめに、IdM 管理者は新規シークレットを含む新しい PEM ファイルを非対称 Vault に保存し、不正アクセスのあった Web サーバー (webserver3.idm.example.com) に新しいシークレットを配置しないようにインベントリーファイルを調節し、もう一度この 2 つの手順を実行します。

前提条件

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。
  • IdM 管理者 パスワードが分かっている。
  • サービスシークレットの保存先の 非対称 Vault を作成している。
  • IdM ホストで実行中の Web サービスの httpd 鍵を新たに生成し、不正アクセスのあった以前の鍵を置き換えている。
  • 新しい httpd キーが /usr/share/doc/ansible-freeipa/playbooks/vault/private-key-to-an-externally-signed-certificate.pem ファイルなど、Ansible コントローラーのローカルに保存されている。

手順

  1. /usr/share/doc/ansible-freeipa/playbooks/vault ディレクトリーに移動します。 

    $ cd /usr/share/doc/ansible-freeipa/playbooks/vault
    Copy to Clipboard Toggle word wrap

  2. インベントリーファイルを開き、以下のホストが正しく定義されていることを確認します。

    • [ipaserver] セクションの IdM サーバー

    • [webservers] セクションのシークレット取得先のホスト。たとえば Ansible に対して webserver1.idm.example.comwebserver2.idm.example.com にシークレットを取得するように指示するには、以下を入力します。 

      [ipaserver]
server.idm.example.com

[webservers]
webserver1.idm.example.com
webserver2.idm.example.com
      Copy to Clipboard Toggle word wrap
    重要

    このリストに不正アクセスのあった Web サーバーが含まれないようにしてください (現在の例では webserver3.idm.example.com)。

  3. data-archive-in-asymmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。次に例を示します。 

    $ cp data-archive-in-asymmetric-vault.yml data-archive-in-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap
  4. data-archive-in-asymmetric-vault-copy.yml ファイルを編集のために開きます。

  5. ファイルを変更するには、ipavault タスクセクションに以下の変数を設定します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • name 変数は Vault の名前 (例: secret_vault) に設定します。
    • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver.idm.example.com)。
    • in 変数は "{{ lookup('file', 'new-private-key-to-an-externally-signed-certificate.pem')| b64encode }}" に設定します。この設定では、Ansible が IdM サーバーではなく、Ansible コントローラーの作業ディレクトリーから秘密鍵のあるファイルを取得するようになります。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Tests
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      service: HTTP/webserver.idm.example.com
      in: "{{ lookup('file', 'new-private-key-to-an-externally-signed-certificate.pem') | b64encode }}"
      action: member
    Copy to Clipboard Toggle word wrap
  6. ファイルを保存します。

  7. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file data-archive-in-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap
  8. retrieve-data-asymmetric-vault-copy.yml ファイルを開いて編集します。

  9. ファイルを変更するには、ipavault タスクセクションに以下の変数を設定します。

    • ipaadmin_password 変数は IdM 管理者パスワードに設定します。
    • name 変数は Vault の名前 (例: secret_vault) に設定します。
    • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver1.idm.example.com)。
    • private_key_file 変数は、サービス Vault のシークレットの取得に使用する秘密鍵の場所に設定します。
    • out 変数は、現在の作業ディレクトリーなど、new-private-key-to-an-externally-signed-certificate.pem シークレットの取得先となる IdM サーバーの場所に設定します。

    • action 変数は member に設定します。

      今回の例で使用するように変更した Ansible Playbook ファイル: 

    ---
- name: Retrieve data from vault
  hosts: ipaserver
  become: no
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Retrieve data from the service vault
    ipavault:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: secret_vault
      service: HTTP/webserver1.idm.example.com
      vault_type: asymmetric
      private_key: "{{ lookup('file', 'service-private.pem') | b64encode }}"
      out: new-private-key-to-an-externally-signed-certificate.pem
      state: retrieved
    Copy to Clipboard Toggle word wrap

  10. Playbook に、IdM サーバーから Ansible コントローラーにデータファイルを取得するセクションを追加します。 

    ---
- name: Retrieve data from vault
  hosts: ipaserver
  become: true
  gather_facts: false
  tasks:
[...]
  - name: Retrieve data file
    fetch:
      src: new-private-key-to-an-externally-signed-certificate.pem
      dest: ./
      flat: true
      mode: 0600
    Copy to Clipboard Toggle word wrap

  11. インベントリーファイルの webservers セクションに記載されている Web サーバーに、Ansible コントローラーから取得した new-private-key-to-an-externally-signed-certificate.pem ファイルを転送するセクションを Playbook に追加します。 

    ---
- name: Send data file to webservers
  become: true
  gather_facts: no
  hosts: webservers
  tasks:
  - name: Send data to webservers
    copy:
      src: new-private-key-to-an-externally-signed-certificate.pem
      dest: /etc/pki/tls/private/httpd.key
      mode: 0444
    Copy to Clipboard Toggle word wrap
  12. ファイルを保存します。

  13. Playbook を実行します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file retrieve-data-asymmetric-vault-copy.yml
    Copy to Clipboard Toggle word wrap

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat