第2章 IdM ユーザー vault の使用: シークレットの保存および取得
本章では、Identity Management でユーザー vault を使用する方法を説明します。具体的には、IdM vault にシークレットを保存する方法と、シークレットを取得する方法を説明します。異なる IdM クライアント 2 台から保存と取得が可能です。
前提条件
- Key Recovery Authority (KRA) Certificate System コンポーネントが IdM ドメインの 1 つ以上のサーバーにインストールされている。詳細は IdM での Key Recovery Authority (KRA) のインストール を参照してください。
2.1. ユーザー vault でのシークレットの保存
この手順に従って、機密情報を含むファイルを安全に保存するための 1 つ以上のプライベート vault を含む vault コンテナーを作成します。以下の手順で使用する例では、idm_user ユーザーが標準タイプの vault を作成します。標準タイプの vault では、ファイルへのアクセス時に idm_user を認証する必要がありません。IdM_user は、ユーザーがログインしている IdM クライアントからファイルを取得できます。
この手順では、以下を想定しています。
- IdM_user は vault を作成するユーザーである。
- my_vault はユーザーの証明書保存に使用する vault である。
-
アーカイブした証明書にアクセスするのに vault のパスワードを指定しなくてもいいように vault タイプが
standard
に設定されている。 - secret.txt は vault に保存する証明書が含まれるファイルです。
前提条件
- idm_user のパスワードを知っている。
- IdM クライアントであるホストにログインしている。
手順
idm_user
の Kerberos Ticket Granting Ticket (TGT) を取得します。$ kinit idm_user
ipa vault-add
コマンドに--type standard
オプションを指定して、標準 vault を作成します。$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: idm_user Vault user: idm_user
重要最初のユーザー vault の作成には、同じユーザーが使用されているようにしてください。ユーザーの最初の vault を作成すると、ユーザーの vault コンテナーも作成されます。作成エージェントは vault コンテナーの所有者になります。
たとえば、
admin
などの別のユーザーがuser1
の最初のユーザー vault を作成する場合には、ユーザーの vault コンテナーの所有者もadmin
になり、user1
はユーザー vault にアクセスしたり、新しいユーザー vault を作成したりできません。ipa vault-archive
コマンドに--in
オプションを指定して、secret.txt
ファイルを vault にアーカイブします。$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------