第2章 IdM ユーザー vault の使用: シークレットの保存および取得

本章では、Identity Management でユーザー vault を使用する方法を説明します。具体的には、IdM vault にシークレットを保存する方法と、シークレットを取得する方法を説明します。異なる IdM クライアント 2 台から保存と取得が可能です。

前提条件

2.1. ユーザー vault でのシークレットの保存

このセクションでは、1 つ以上のプライベート vault で vault コンテナーを作成し、機密情報が含まれるファイルをセキュアに保存する方法を説明します。以下の手順で使用する例では、idm_user ユーザーが標準タイプの vault を作成します。標準タイプの vault では、ファイルへのアクセス時に idm_user を認証する必要がありません。IdM_user は、ユーザーがログインしている IdM クライアントからファイルを取得できます。

この手順では、以下を想定しています。

  • IdM_user は vault を作成するユーザーである。
  • my_vault はユーザーの証明書保存に使用する vault である。
  • アーカイブした証明書にアクセスするのに vault のパスワードを指定しなくてもいいように vault タイプが standard に設定されている。
  • secret.txt は vault に保存する証明書が含まれるファイルです。

前提条件

  • idm_user のパスワードを知っている。
  • IdM クライアントであるホストにログインしている。

手順

  1. idm_user の Kerberos Ticket Granting Ticket (TGT) を取得します。

    $ kinit idm_user
  2. ipa vault-add コマンドに --type standard オプションを指定して、標準 vault を作成します。

    $ ipa vault-add my_vault --type standard
    ----------------------
    Added vault "my_vault"
    ----------------------
      Vault name: my_vault
      Type: standard
      Owner users: idm_user
      Vault user: idm_user
    重要

    最初のユーザー vault の作成には、同じユーザーが使用されているようにしてください。ユーザーの最初の vault を作成すると、ユーザーの vault コンテナーも作成されます。作成エージェントは vault コンテナーの所有者になります。

    たとえば、admin などの別のユーザーが user1 の最初のユーザー vault を作成する場合には、ユーザーの vault コンテナーの所有者も admin になり、user1 はユーザー vault にアクセスしたり、新しいユーザー vault を作成したりできません。

  3. ipa vault-archive コマンドに --in オプションを指定して、secret.txt ファイルを vault にアーカイブします。

    $ ipa vault-archive my_vault --in secret.txt
    -----------------------------------
    Archived data into vault "my_vault"
    -----------------------------------

2.2. ユーザー vault からのシークレットの取得

Identity Management (IdM) では、ユーザープライベート vault からシークレットを取得して、ログインしている IdM クライアントに配置できます。

本セクションでは、idm_user という名前の IdM ユーザーが my_vault という名前のユーザープライベート vault からシークレットを取得して idm_client.idm.example.com に配置する方法を説明します。

前提条件

手順

  1. idm_clientidm_user として SSH 接続します。

    $ ssh idm_user@idm_client.idm.example.com
  2. idm_user としてログインします。

    $ kinit user
  3. --out オプションを指定して ipa vault-retrieve --out コマンドを使用し、vault のコンテンツを取得して、secret_exported.txt ファイルに保存します。

    $ ipa vault-retrieve my_vault --out secret_exported.txt
    --------------------------------------
    Retrieved data from vault "my_vault"
    --------------------------------------

関連情報