4장. IdM 서비스 보안 관리: 보안 저장 및 검색

이 섹션에서는 관리자가 IdM(Identity Management)에서 서비스 자격 증명 모음을 사용하여 중앙 집중식 위치에 서비스 시크릿을 안전하게 저장하는 방법을 설명합니다. 이 예제에 사용된 자격 증명 모음 은 비대칭이므로 이를 사용하려면 관리자가 다음 단계를 수행해야 합니다.

openssl 유틸리티와 같이 을 사용하여 개인 키를 생성합니다.
개인 키를 기반으로 공개 키를 생성합니다.

관리자가 자격 증명 모음에 아카이브할 때 서비스 시크릿은 공개 키로 암호화됩니다. 이후 도메인의 특정 시스템에서 호스팅되는 서비스 인스턴스는 개인 키를 사용하여 시크릿을 검색합니다. 서비스 및 관리자만 보안에 액세스할 수 있습니다.

보안이 손상된 경우 관리자는 서비스 자격 증명 모음에서 이를 교체한 다음 손상되지 않은 개별 서비스 인스턴스에 다시 배포할 수 있습니다.

사전 요구 사항

키 복구 기관(KRA) 인증서 시스템 구성 요소가 IdM 도메인의 서버 중 하나 이상에 설치되어 있습니다. 자세한 내용은 IdM에 키 복구 기관 설치를 참조하십시오.

아래 절차에서는 다음을 수행합니다.

IdM admin 사용자는 서비스 암호를 관리하는 관리자입니다.

private-key-to-externally-signed-certificate.pem은 서비스 보안이 포함된 파일입니다(이 경우 외부 서명된 인증서에 대한 개인 키). 이 개인 키를 자격 증명 모음에서 시크릿을 검색하는 데 사용되는 개인 키와 혼동하지 마십시오.
secret_vault 는 서비스에 대해 생성된 자격 증명 모음입니다.
HTTP/webserver.idm.example.com 은 보안이 보관되고 있는 서비스입니다.
service-public.pem 은 password_vault 에 저장된 암호를 암호화하는 데 사용되는 서비스 공개 키입니다.
service-private.pem 은 secret_vault 에 저장된 암호를 해독하는 데 사용되는 서비스 개인 키입니다.

4.1. 대칭 자격 증명 모음에 IdM 서비스 시크릿 저장
링크 복사

다음 절차에 따라 asymmetric 자격 증명 모음을 만들고 이를 사용하여 서비스 시크릿을 보관합니다.

사전 요구 사항

IdM 관리자 암호를 알고 있습니다.

절차

관리자로 로그인합니다.
```
kinit admin
```
```
$ kinit admin
```
Copy to Clipboard Toggle word wrap

서비스 인스턴스의 공개 키를 가져옵니다. 예를 들어 openssl 유틸리티를 사용합니다.

service-private.pem 개인 키를 생성합니다.

openssl genrsa -out service-private.pem 2048
Generating RSA private key, 2048 bit long modulus
.+++
...........................................+++
e is 65537 (0x10001)

$ openssl genrsa -out service-private.pem 2048
Generating RSA private key, 2048 bit long modulus
.+++
...........................................+++
e is 65537 (0x10001)

Copy to Clipboard

Toggle word wrap

개인 키를 기반으로 service-public.pem 공개 키를 생성합니다.

openssl rsa -in service-private.pem -out service-public.pem -pubout
writing RSA key

$ openssl rsa -in service-private.pem -out service-public.pem -pubout
writing RSA key

Copy to Clipboard

Toggle word wrap

서비스 인스턴스 자격 증명 모음으로 symmetric 자격 증명 모음을 생성하고 공개 키를 제공합니다.

ipa vault-add secret_vault --service HTTP/webserver.idm.example.com --type asymmetric --public-key-file service-public.pem
----------------------------
Added vault "secret_vault"
----------------------------
Vault name: secret_vault
Type: asymmetric
Public key: LS0tLS1C...S0tLS0tCg==
Owner users: admin
Vault service: HTTP/webserver.idm.example.com@IDM.EXAMPLE.COM

$ ipa vault-add secret_vault --service HTTP/webserver.idm.example.com --type asymmetric --public-key-file service-public.pem
----------------------------
Added vault "secret_vault"
----------------------------
Vault name: secret_vault
Type: asymmetric
Public key: LS0tLS1C...S0tLS0tCg==
Owner users: admin
Vault service: HTTP/webserver.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

Toggle word wrap

자격 증명 모음에 보관된 암호는 키로 보호됩니다.

서비스 시크릿을 서비스 자격 증명 모음에 보관합니다.

ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem
-----------------------------------
Archived data into vault "secret_vault"
-----------------------------------

$ ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem
-----------------------------------
Archived data into vault "secret_vault"
-----------------------------------

Copy to Clipboard

Toggle word wrap

서비스 인스턴스 공개 키를 사용하여 시크릿을 암호화합니다.

시크릿이 필요한 모든 서비스 인스턴스에 대해 이 단계를 반복합니다. 각 서비스 인스턴스에 대해 새 symmetric 자격 증명 모음을 만듭니다.

4장. IdM 서비스 보안 관리: 보안 저장 및 검색

4.1. 대칭 자격 증명 모음에 IdM 서비스 시크릿 저장
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4장. IdM 서비스 보안 관리: 보안 저장 및 검색

4.1. 대칭 자격 증명 모음에 IdM 서비스 시크릿 저장링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.1. 대칭 자격 증명 모음에 IdM 서비스 시크릿 저장
링크 복사