Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

25.5. Vault でのサービスシークレットの保存

このセクションでは、管理者が vault を使用してサービスシークレットを一元的にセキュアに保存する方法を説明します。サービスシークレットはサービスの公開鍵で暗号化されます。その後、サービスはドメイン内のマシン上の秘密鍵を使用してシークレットを取得します。シークレットにアクセスできるのは、サービスと管理者のみです。
本セクションでは、以下の手順について説明します。
本手順での以下の用語について説明します。
  • admin は、サービスパスワードを管理する管理者です。
  • http_password は、管理者が作成したプライベートユーザー vault の名前です。
  • password.txt はサービスパスワードが含まれるファイルです。
  • password_vault は、サービス用に作成された vault です。
  • Http/server.example.com は、パスワードがアーカイブされるサービスです。
  • service-public.pem は、password_vault に保存されているパスワードの暗号化に使用するサービスの公開鍵です。

25.5.1. サービスパスワードを保存するユーザー vault の作成

管理者が所有するユーザー vault を作成し、これを使用してサービスパスワードを保存します。Vault タイプは standard で、vault の内容にアクセスする際に管理者が認証する必要がないようにします。
  1. 管理者としてログインします。
    $ kinit admin
  2. 標準ユーザー vault を作成します。
    $ ipa vault-add http_password --type standard
    ---------------------------
    Added vault "http_password"
    ---------------------------
      Vault name: http_password
      Type: standard
      Owner users: admin
      Vault user: admin
  3. サービスパスワードを vault にアーカイブします。
    $ ipa vault-archive http_password --in password.txt
    ----------------------------------------
    Archived data into vault "http_password"
    ----------------------------------------
    警告
    パスワードを vault にアーカイブしたら、システムから password.txt を削除します。