Chapitre 23. Configuration du déverrouillage automatique à l'aide d'une clé Tang dans la console web
Configurez le déverrouillage automatique d'un périphérique de stockage crypté LUKS à l'aide d'une clé fournie par un serveur Tang.
Conditions préalables
La console web RHEL 8 a été installée.
Pour plus de détails, voir Installation de la console web.
-
Le package
cockpit-storaged
est installé sur votre système. -
Le service
cockpit.socket
fonctionne au port 9090. -
Les paquets
clevis
,tang
etclevis-dracut
sont installés. - Un serveur Tang est en cours d'exécution.
Procédure
Ouvrez la console web RHEL en saisissant l'adresse suivante dans un navigateur web :
https://localhost:9090
Remplacez la partie localhost par le nom d'hôte ou l'adresse IP du serveur distant lorsque vous vous connectez à un système distant.
- Fournissez vos identifiants et cliquez sur Stockage. Sélectionnez un périphérique crypté et cliquez sur Cryptage dans la partie Content:
Cliquez sur dans la section Keys pour ajouter une clé Tang :
Fournissez l'adresse de votre serveur Tang et un mot de passe qui déverrouille le dispositif de cryptage LUKS. Cliquez sur Ajouter pour confirmer :
La fenêtre de dialogue suivante propose une commande permettant de vérifier que le hachage de la clé correspond. RHEL 8.2 a introduit le script
tang-show-keys
, et vous pouvez obtenir le hachage de la clé en utilisant la commande suivante sur le serveur Tang fonctionnant sur le port 7500:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54
Sur RHEL 8.1 et les versions antérieures, obtenez le hachage de la clé en utilisant la commande suivante :
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54
Cliquez sur Trust key lorsque les hachages de la clé dans la console web et dans la sortie des commandes précédemment listées sont identiques :
Pour permettre au système de démarrage précoce de traiter la liaison du disque, cliquez sur Terminal en bas de la barre de navigation de gauche et entrez les commandes suivantes :
# yum install clevis-dracut # dracut -fv --regenerate-all
Étapes de vérification
Vérifiez que la clé Tang nouvellement ajoutée est maintenant répertoriée dans la section Keys avec le type
Keyserver
:Vérifiez que les fixations sont disponibles pour le démarrage anticipé, par exemple :
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
Ressources complémentaires
- Pour plus de détails sur le déverrouillage automatique des volumes chiffrés LUKS à l'aide de Clevis et Tang, voir le chapitre Configuration du déverrouillage automatique des volumes chiffrés à l'aide du décryptage basé sur des politiques.