第 2 章 使用 IdM 用户 vault:存储和检索 secret
本章论述了如何在身份管理中使用用户库。具体来说,它描述了用户如何将 secret 存储在 IdM vault 中,以及用户如何检索 secret。用户可以通过两个不同的 IdM 客户端进行存储和检索。
先决条件
- 密钥恢复授权中心 (KRA) 证书系统组件已安装在您的 IdM 域中的一个或多个服务器上。详情请参阅在 IdM 中安装密钥恢复授权。
2.1. 将 secret 存储在用户 vault 中
按照以下流程创建带有一个或多个私有 vault 的 vault 容器,以安全地存储具有敏感信息的文件。在以下步骤中使用的示例中,idm_user 用户创建标准类型库。标准密码库类型确保无需 idm_user 在访问该文件时进行身份验证。idm_user 能够从用户登录的任何 IdM 客户端检索 文件。
在此过程中:
- idm_user 是要创建 vault 的用户。
- my_vault 是用于存储用户证书的 vault。
-
vault 类型是
standard
,因此访问存档证书不需要用户提供 vault 密码。 - secret.txt 是包含用户要在密码库中存储的证书的文件。
先决条件
- 您知道 idm_user 的密码。
- 您登录到一个 IdM 客户端的主机。
步骤
获取
idm_user
的 Kerberos ticket granting ticket (TGT) :$ kinit idm_user
使用
ipa vault-add
命令和--type standard
选项来创建标准 vault:$ ipa vault-add my_vault --type standard ---------------------- Added vault "my_vault" ---------------------- Vault name: my_vault Type: standard Owner users: idm_user Vault user: idm_user
重要确保一个用户的第一个 vault 由相同的用户创建。为用户创建第一个 vault 也会创建用户的 vault 容器。创建的代理变成 vault 容器的所有者。
例如,如果另一个用户(如
admin
)为user1
创建了第一个用户 vault,该用户的 vault 容器的所有者会是admin
,user1
无法访问用户 vault 或创建新用户 vault。使用带有
--in
选项的ipa vault-archive
命令,将secret.txt
文件归档到 vault 中:$ ipa vault-archive my_vault --in secret.txt ----------------------------------- Archived data into vault "my_vault" -----------------------------------