25.6. 複数ユーザー用の共通の秘密の保存

本セクションでは、管理者が共有 vault を作成し、他のユーザーにこの vault 内の秘密へのアクセスを許可する方法を説明します。管理者は共通パスワードを vault にアーカイブし、他のユーザーはドメイン内のいずれかのマシンでもこのパスワードを取得できます。
本セクションには以下の手順があります。
これらの手順では、以下を想定しています。
  • shared_vault とは、共通パスワードを保存する vault です。
  • admin とは、共有 vault を作成する管理者です。
  • vault タイプは standard で、アーカイブ化されたパスワードにアクセスする際にユーザーは vault パスワードが必要ありません。
  • secret.txt は、共通の秘密を格納しているファイルです。
  • user1 および user2 は、vault へのアクセスを許可されているユーザーです。

25.6.1. 共通の秘密がある共有 Vault の作成

共有 vault を作成し、共通の秘密を保存します。この秘密にアクセスするユーザーを vault メンバーとして追加します。vault タイプは標準とし、秘密にアクセスする際に認証が不要とするようにします。
  1. 管理者としてログインします。 
    $ kinit admin
  2. 共有 vault を作成します。 
    $ ipa vault-add shared_vault --shared --type standard
---------------------------
Added vault "shared_vault"
---------------------------
  Vault name: shared_vault
  Type: standard
  Owner users: admin
  Shared vault: True
  3. 秘密を vault にアーカイブします。--shared オプションを追加して、vault が共有コンテナーにあるように指定します。 
    $ ipa vault-archive shared_vault --shared --in secret.txt
-----------------------------------
Archived data into vault "shared_vault"
-----------------------------------

    注記

    各 Vault が保存できるのは、シークレット 1 つのみです。
  4. user1user2 を vault メンバーとして追加します。 
    ipa vault-add-member shared_vault --shared --users={user1,user2}
Vault name: shared_vault
Type: standard
Owner users: admin
Shared vault: True
Member users: user1, user2
-------------------------
Number of members added 2
-------------------------

25.6.2. メンバーユーザーとして共有 Vault からの秘密の取得

vault のメンバーユーザーとしてログインし、秘密のあるファイルを vault からエクスポートします。
  1. user1 メンバーユーザーとしてログインします。 
    $ kinit user1
  2. 共有 vault から秘密を取得します。 
    $ ipa vault-retrieve shared_vault --shared --out secret_exported.txt
-----------------------------------------
Retrieved data from vault "shared_vault"
-----------------------------------------