Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

25.4. ユーザーの個人シークレットの保存

このセクションでは、1 つ以上のプライベート vault を作成して個人のシークレットをセキュアに保存する方法を説明します。その後、ユーザーは必要に応じてドメインの任意のマシンでシークレットを取得します。たとえば、ユーザーは vault に個人証明書をアーカイブできるため、証明書を一元的にセキュアに保存できます。
このセクションでは、以下の手順について説明します。
本手順での以下の用語について説明します。
  • user は vault を作成するユーザーである。
  • my_vault はユーザーの証明書保存に使用する vault である。
  • アーカイブした証明書にアクセスするのに vault のパスワードを指定しなくてもいいように vault タイプが standard に設定されている。
  • secret.txt は vault に保存する証明書が含まれるファイルです。
  • secret_exported.txt は、ユーザーがアーカイブした証明書をエクスポートするファイルです。

25.4.1. ユーザーの個人シークレットのアーカイブ

プライベートユーザー vault を作成し、証明書を保存します。Vault タイプは standard です。これにより、証明書へのアクセス時に認証は必要ありません。
  1. userとしてログインします。
    $ kinit user
  2. ipa vault-add コマンドを使用して、標準 vault を作成します。
    $ ipa vault-add my_vault --type standard
    ----------------------
    Added vault "my_vault"
    ----------------------
      Vault name: my_vault
      Type: standard
      Owner users: user
      Vault user: user
    重要
    最初のユーザー vault の作成には、同じユーザーが使用されているようにしてください。たとえば、admin などの別のユーザーが user1 の最初のユーザー vault を作成する場合には、ユーザーの vault コンテナーの所有者も admin になり、user1 はユーザー vault にアクセスしたり、新しいユーザー vault を作成したりできません。「十分な追加権限がないことが原因で Vault にユーザーがアクセスできない」も参照してください。
  3. ipa vault-archive --in コマンドを使用して、secret.txt ファイルを vault にアーカイブします。
    $ ipa vault-archive my_vault --in secret.txt
    -----------------------------------
    Archived data into vault "my_vault"
    -----------------------------------
    注記
    1 つの vault は 1 つのシークレットのみを保存することができます。

25.4.2. ユーザーの個人シークレットの取得

プライベート標準 vault から証明書をエクスポートします。
  1. userとしてログインします。
    $ kinit user
  2. ipa vault-retrieve --out コマンドを使用して vault の内容を取得し、secret_exported.txt ファイルに保存します。
    $ ipa vault-retrieve my_vault --out secret_exported.txt
    --------------------------------------
    Retrieved data from vault "my_vault"
    --------------------------------------