B.5. Vault

B.5.1. 追加特権が不十分なため、ユーザーが Vault にアクセスできない

ユーザーは、自身のユーザー vault にアクセスしたり、新しいユーザー vault を追加したりできず、以下のエラーメッセージが表示されます。
ipa: ERROR: Insufficient access: Insufficient 'add' privilege to add the entry 'cn=testvault,cn=user,cn=users,cn=vaults,cn=kra,dc=example,dc=com'. (ipa: ERROR: アクセス権の欠如: エントリ 'cn=testvault,cn=user,cn=users,cn=vaults,cn=kra,dc=example,dc=com' を追加するための add 特権が不足しています)

エラー内容:

ユーザーの vault コンテナーは、別のユーザーが所有しています。一般的に、このような問題は、admin などの別のユーザーが、初めてのユーザーに対して初めてのユーザー vault を作成した際に起こります。よって、最初のユーザーは、自身の vault コンテナーの vault にアクセスできません。

解決方法:

vault コンテナーの所有者として、目的のユーザーを追加します。
  1. admin としてログインします。
    $ kinit admin
  2. コンテナーの所有者として ユーザー を追加します。
    $ ipa vaultcontainer-add-owner --user=user --users=user
      Owner users: admin, user
      Vault user: user
    ------------------------
    Number of owners added 1
    ------------------------
    これで adminユーザ の両方が、コンテナーの両方の所有者となったためユーザーの vault コンテナーにアクセスできるようになりました。
  3. オプション。ユーザーが新しいユーザー vault を作成できるかどうかを確認します。
    $ kinit user
    $ ipa vault-add testvault2
    ------------------------
    Added vault "testvault2"
    ------------------------

関連資料