5.9. Barbican と nCipher nShield Connect XC の統合
本セクションでは、PKCS#11 バックエンドを nCipher nShield Connect XC 暗号化バックエンドと統合する方法を説明します。
- Red Hat OpenStack Platform 環境における作業用の Barbican デプロイメント
HSM 統合を計画して、以下の設定を Ansible デプロイメントに準備できるようにします。これらの値は
barbican-backend-pkcs11-thales.yaml
(以下のセクションで説明)に入力されます。-
thales_client_working_dir
およびthales_client_tarball_location
- nCipher nShield Connect XC クライアントソフトウェアを、インストール時にアクセス可能な場所にマウントする必要があります。これらの値は、ファイルの場所とファイル名によって異なります。 -
thales_client_working_dir
- クライアントソフトウェアを展開すると、ソフトウェアの場所がこの値を変更する可能性があります。 -
thales_km_data_location
とthales_km_data_tarball_name
: これらはセキュリティー世界のデータを示し、アクセス可能な場所にマウントする必要があります。この資料は秘密であり、保護する必要があります。これを行うためにパスワードを使用する場合には、http://user:pass@location
またはftp://user:pass@location
として場所を指定する必要があります。インストールプロセス中、director は Ansible スクリプトを実行してこれらのファイルを取得します。以下の値で使用されるファイルパスは、インストールプロセスでアクセスできる必要があります。 -
thales_rfs_key
- RFS サーバーは、設定を更新するコマンドへのログインおよび実行権限を持つユーザーにアクセスできる必要があります。これにより、コントローラーを HSM クライアントとして追加できます。Ansible スクリプトは、提供される秘密鍵を使用して rfs サーバーに ssh を実行します。公開鍵は、最初に認証キーとして rfs サーバーにアップロードする必要があります。
-