Capítulo 53. Usando os cofres do usuário IdM: armazenando e recuperando segredos
Este capítulo descreve como utilizar os cofres dos usuários na Gestão da Identidade. Especificamente, descreve como um usuário pode armazenar um segredo em um cofre de IdM e como o usuário pode recuperá-lo. O usuário pode fazer o armazenamento e a recuperação a partir de dois clientes diferentes de IdM.
Pré-requisitos
- O componente do Sistema de Certificado da Key Recovery Authority (KRA) foi instalado em um ou mais servidores em seu domínio IdM. Para detalhes, consulte Instalando a Autoridade de Recuperação de Chaves no IdM.
53.1. Armazenando um segredo em um cofre de usuário
Esta seção mostra como um usuário pode criar um container com um ou mais cofres privados para armazenar com segurança arquivos com informações sensíveis. No exemplo utilizado no procedimento abaixo, o usuário idm_user cria um cofre do tipo padrão. O tipo de cofre padrão garante que idm_user não será obrigado a autenticar ao acessar o arquivo. idm_user será capaz de recuperar o arquivo de qualquer cliente IdM no qual o usuário esteja logado.
No procedimento:
- idm_user é o usuário que deseja criar o cofre.
- my_vault é o cofre usado para armazenar o certificado do usuário.
-
O tipo de cofre é
standard
, de modo que o acesso ao certificado arquivado não exige que o usuário forneça uma senha do cofre. - secret.txt é o arquivo que contém o certificado que o usuário deseja armazenar no cofre.
Pré-requisitos
- Você sabe a senha do site idm_user.
- Você está logado em um host que é cliente da IdM.
Procedimento
Obter o bilhete de concessão do bilhete Kerberos (TGT) para
idm_user
:$ kinit idm_user
Use o comando
ipa vault-add
com a opção--type standard
para criar um cofre padrão:$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: idm_user Vault user: idm_user
ImportanteCertifique-se de que o primeiro cofre para um usuário seja criado pelo mesmo usuário. A criação do primeiro cofre para um usuário também cria o recipiente do cofre do usuário. O agente da criação torna-se o proprietário do contêiner do cofre.
Por exemplo, se outro usuário, como
admin
, criar o primeiro cofre de usuário parauser1
, o proprietário do cofre do usuário também seráadmin
, euser1
não poderá acessar o cofre do usuário ou criar novos cofres de usuário.Use o comando
ipa vault-archive
com a opção--in
para arquivar o arquivosecret.txt
no cofre:$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------