Chapitre 23. Configuration du déverrouillage automatique à l'aide d'une clé Tang dans la console web

Configurez le déverrouillage automatique d'un périphérique de stockage crypté LUKS à l'aide d'une clé fournie par un serveur Tang.

Conditions préalables

  • La console web RHEL 8 a été installée.

    Pour plus de détails, voir Installation de la console web.

  • Le package cockpit-storaged est installé sur votre système.
  • Le service cockpit.socket fonctionne au port 9090.
  • Les paquets clevis, tang et clevis-dracut sont installés.
  • Un serveur Tang est en cours d'exécution.

Procédure

  1. Ouvrez la console web RHEL en saisissant l'adresse suivante dans un navigateur web : 

    https://localhost:9090

    Remplacez la partie localhost par le nom d'hôte ou l'adresse IP du serveur distant lorsque vous vous connectez à un système distant.

  2. Fournissez vos identifiants et cliquez sur Stockage. Sélectionnez un périphérique crypté et cliquez sur Cryptage dans la partie Content:

  3. Cliquez sur dans la section Keys pour ajouter une clé Tang :

    RHEL web console: Encryption

  4. Fournissez l'adresse de votre serveur Tang et un mot de passe qui déverrouille le dispositif de cryptage LUKS. Cliquez sur Ajouter pour confirmer :

    RHEL web console: Add Tang key

  5. La fenêtre de dialogue suivante propose une commande permettant de vérifier que le hachage de la clé correspond. RHEL 8.2 a introduit le script tang-show-keys, et vous pouvez obtenir le hachage de la clé en utilisant la commande suivante sur le serveur Tang fonctionnant sur le port 7500: 

    # tang-show-keys 7500
3ZWS6-cDrCG61UPJS2BMmPU4I54

    Sur RHEL 8.1 et les versions antérieures, obtenez le hachage de la clé en utilisant la commande suivante : 

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
3ZWS6-cDrCG61UPJS2BMmPU4I54

  6. Cliquez sur Trust key lorsque les hachages de la clé dans la console web et dans la sortie des commandes précédemment listées sont identiques :

    RHEL web console: Verify Tang key

  7. Pour permettre au système de démarrage précoce de traiter la liaison du disque, cliquez sur Terminal en bas de la barre de navigation de gauche et entrez les commandes suivantes : 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Étapes de vérification

  1. Vérifiez que la clé Tang nouvellement ajoutée est maintenant répertoriée dans la section Keys avec le type Keyserver:

    RHEL web console: A keyserver key is listed

  2. Vérifiez que les fixations sont disponibles pour le démarrage anticipé, par exemple : 

    # lsinitrd | grep clevis
clevis
clevis-pin-sss
clevis-pin-tang
clevis-pin-tpm2
-rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
-rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
...
-rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
-rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Ressources complémentaires