25.6. 为多个用户存储通用 secret
本节介绍管理员如何创建共享密码库并允许其他用户访问密码库中的机密。管理员会将常用密码归档到密码库中,其他用户能够检索域内任何计算机上的密码。
本节包括以下步骤:
在流程中:
shared_vault
是用于存储通用密码的库admin
是创建共享密码库的管理员- vault 类型是
标准
,因此访问存档的密码不需要用户提供 vault 密码 secret.txt
是包含通用 secret 的文件user1
和user2
是允许访问密码库的用户
25.6.1. 使用通用 secret 创建共享 Vault
创建一个共享密码库,并使用它来存储共同的机密。添加将要作为 vault 成员访问机密的用户。vault 类型是标准的,它可确保任何访问 secret 的用户都不需要进行身份验证。
- 以管理员身份登录:
$ kinit admin
- 创建共享库:
$ ipa vault-add shared_vault --shared --type standard --------------------------- Added vault "shared_vault" --------------------------- Vault name: shared_vault Type: standard Owner users: admin Shared vault: True
- 将机密存档到密码库中。添加
--shared
选项以指定 vault 位于共享容器中:$ ipa vault-archive shared_vault --shared --in secret.txt ----------------------------------- Archived data into vault "shared_vault" -----------------------------------
注意个密码库只能存储一个 secret。 - 添加
user1
和user2
作为 vault 成员:ipa vault-add-member shared_vault --shared --users={user1,user2} Vault name: shared_vault Type: standard Owner users: admin Shared vault: True Member users: user1, user2 ------------------------- Number of members added 2 -------------------------
25.6.2. 以 Member 用户身份从共享 Vault 检索 secret
以 vault 的成员用户身份登录,再使用密码从密码库中导出 文件。
- 以
user1
成员用户身份登录:$ kinit user1
- 从共享密码库中检索 secret:
$ ipa vault-retrieve shared_vault --shared --out secret_exported.txt ----------------------------------------- Retrieved data from vault "shared_vault" -----------------------------------------