25.4. 存储用户的个人机密
本节介绍用户如何创建一个或多个专用库来安全地存储个人机密。然后,用户在需要时在域中的任何计算机上检索 secret。例如,用户可以将个人证书归档到密码库中,从而安全地将证书存储在中央位置。
本节包括以下步骤:
在流程中:
- 用户是想要创建密码库的用户
my_vault
是用于存储用户证书的库- vault 类型
是标准的
,因此访问存档证书不需要用户提供 vault 密码 secret.txt
是包含用户希望存储在密码库中的证书的文件secret_exported.txt
是用户将存档证书导出到的文件
25.4.1. 归档用户的个人机密
创建专用用户密码库,并将您的证书存储在其中。vault 类型是 standard,它可确保在访问证书时您不需要进行身份验证。
以用户
身份登录:$ kinit user
- 使用 ipa vault-add 命令来创建标准密码库:
$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: user Vault user: user
重要确保同一用户创建了用户的第一个用户密码库。例如,如果其他用户(如admin
)为user1
创建第一个用户 vault,则用户 vault 容器的所有者也是admin
,user1
无法访问用户 vault 或创建新用户库。另请参阅 第 B.5.1 节 “用户无法访问其 Vault,因为使用无效"添加"权限”。 - 使用 ipa vault-archive --in 命令将
secret.txt
文件归档到密码库中:$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------
注意个密码库只能存储一个 secret。
25.4.2. 检索用户的个人机密
从您的私有标准密码库导出证书。
以用户
身份登录:$ kinit user
- 使用 ipa vault-retrieve --out 命令检索密码库的内容,并将它们保存到
secret_exported.txt
文件中。$ ipa vault-retrieve my_vault --out secret_exported.txt -------------------------------------- Retrieved data from vault "my_vault" --------------------------------------