Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 53. Usando os cofres do usuário IdM: armazenando e recuperando segredos

Este capítulo descreve como utilizar os cofres dos usuários na Gestão da Identidade. Especificamente, descreve como um usuário pode armazenar um segredo em um cofre de IdM e como o usuário pode recuperá-lo. O usuário pode fazer o armazenamento e a recuperação a partir de dois clientes diferentes de IdM.

Pré-requisitos

53.1. Armazenando um segredo em um cofre de usuário

Esta seção mostra como um usuário pode criar um container com um ou mais cofres privados para armazenar com segurança arquivos com informações sensíveis. No exemplo utilizado no procedimento abaixo, o usuário idm_user cria um cofre do tipo padrão. O tipo de cofre padrão garante que idm_user não será obrigado a autenticar ao acessar o arquivo. idm_user será capaz de recuperar o arquivo de qualquer cliente IdM no qual o usuário esteja logado.

No procedimento:

  • idm_user é o usuário que deseja criar o cofre.
  • my_vault é o cofre usado para armazenar o certificado do usuário.
  • O tipo de cofre é standard, de modo que o acesso ao certificado arquivado não exige que o usuário forneça uma senha do cofre.
  • secret.txt é o arquivo que contém o certificado que o usuário deseja armazenar no cofre.

Pré-requisitos

  • Você sabe a senha do site idm_user.
  • Você está logado em um host que é cliente da IdM.

Procedimento

  1. Obter o bilhete de concessão do bilhete Kerberos (TGT) para idm_user:

    $ kinit idm_user
  2. Use o comando ipa vault-add com a opção --type standard para criar um cofre padrão:

    $ ipa vault-add my_vault --type standard
    ----------------------
    Added vault "my_vault"
    ----------------------
      Vault name: my_vault
      Type: standard
      Owner users: idm_user
      Vault user: idm_user
    Importante

    Certifique-se de que o primeiro cofre para um usuário seja criado pelo mesmo usuário. A criação do primeiro cofre para um usuário também cria o recipiente do cofre do usuário. O agente da criação torna-se o proprietário do contêiner do cofre.

    Por exemplo, se outro usuário, como admin, criar o primeiro cofre de usuário para user1, o proprietário do cofre do usuário também será admin, e user1 não poderá acessar o cofre do usuário ou criar novos cofres de usuário.

  3. Use o comando ipa vault-archive com a opção --in para arquivar o arquivo secret.txt no cofre:

    $ ipa vault-archive my_vault --in secret.txt
    -----------------------------------
    Archived data into vault "my_vault"
    -----------------------------------