第 82 章 使用 IdM 用户库:存储和检索 secret
本章论述了如何在身份管理中使用用户库。具体来说,它描述了用户如何在 IdM 库中存储 secret,以及用户如何检索 secret。用户可以通过两个不同的 IdM 客户端进行存储和检索。
先决条件
- 密钥恢复授权中心 (KRA) 证书系统组件已安装在您的 IdM 域中的一个或多个服务器上。详情请参阅在 IdM 中安装密钥恢复授权。
82.1. 在用户密码库中存储 secret
按照以下流程创建带有一个或多个私有 vault 的 vault 容器,以安全地存储具有敏感信息的文件。在以下流程中使用的示例中,idm_user 用户创建标准类型的密码库。标准密码库类型确保无需 idm_user 在访问该文件时进行身份验证。idm_user 能够从用户登录的任何 IdM 客户端检索 文件。
在此过程中:
- idm_user 是想要创建密码库的用户。
- my_vault 是用于存储用户证书的库。
-
vault 类型是
标准的
,因此访问存档证书不要求用户提供 vault 密码。 - secret.txt 是包含用户希望在密码库中存储的证书的文件。
先决条件
- 您知道 idm_user 的密码。
- 您已登录到属于 IdM 客户端的主机。
流程
获取
idm_user
的 Kerberos 票据授予 ticket(TGT):$ kinit idm_user
使用
ipa vault-add
命令和--type 标准
选项来创建标准密码库:$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: idm_user Vault user: idm_user
重要确保用户的第一个用户库由同一用户创建。为用户创建第一个密码库也会创建用户的 vault 容器。创建的代理变为 vault 容器的所有者。
例如,如果其他用户(如
admin
)为user1
创建第一个用户库,则用户的 vault 容器所有者也是admin
,并且user1
无法访问用户密码库或创建新的用户库。使用
ipa vault-archive
命令及--in
选项将secret.txt
文件归档到密码库中:$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------