搜索

第 82 章 使用 IdM 用户库:存储和检索 secret

download PDF

本章论述了如何在身份管理中使用用户库。具体来说,它描述了用户如何在 IdM 库中存储 secret,以及用户如何检索 secret。用户可以通过两个不同的 IdM 客户端进行存储和检索。

先决条件

82.1. 在用户密码库中存储 secret

按照以下流程创建带有一个或多个私有 vault 的 vault 容器,以安全地存储具有敏感信息的文件。在以下流程中使用的示例中,idm_user 用户创建标准类型的密码库。标准密码库类型确保无需 idm_user 在访问该文件时进行身份验证。idm_user 能够从用户登录的任何 IdM 客户端检索 文件。

在此过程中:

  • idm_user 是想要创建密码库的用户。
  • my_vault 是用于存储用户证书的库。
  • vault 类型是 标准的,因此访问存档证书不要求用户提供 vault 密码。
  • secret.txt 是包含用户希望在密码库中存储的证书的文件。

先决条件

  • 您知道 idm_user 的密码。
  • 您已登录到属于 IdM 客户端的主机。

流程

  1. 获取 idm_user 的 Kerberos 票据授予 ticket(TGT):

    $ kinit idm_user
  2. 使用 ipa vault-add 命令和 --type 标准 选项来创建标准密码库:

    $ ipa vault-add my_vault --type standard
    ----------------------
    Added vault "my_vault"
    ----------------------
      Vault name: my_vault
      Type: standard
      Owner users: idm_user
      Vault user: idm_user
    重要

    确保用户的第一个用户库由同一用户创建。为用户创建第一个密码库也会创建用户的 vault 容器。创建的代理变为 vault 容器的所有者。

    例如,如果其他用户(如 admin )为 user1 创建第一个用户库,则用户的 vault 容器所有者也是 admin,并且 user1 无法访问用户密码库或创建新的用户库。

  3. 使用 ipa vault-archive 命令及 --in 选项将 secret.txt 文件归档到密码库中:

    $ ipa vault-archive my_vault --in secret.txt
    -----------------------------------
    Archived data into vault "my_vault"
    -----------------------------------
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.