Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

25.6. 为多个用户存储通用 secret

本节介绍管理员如何创建共享密码库并允许其他用户访问密码库中的机密。管理员会将常用密码归档到密码库中,其他用户能够检索域内任何计算机上的密码。
本节包括以下步骤:
在流程中:
  • shared_vault 是用于存储通用密码的库
  • admin 是创建共享密码库的管理员
  • vault 类型是 标准,因此访问存档的密码不需要用户提供 vault 密码
  • secret.txt 是包含通用 secret 的文件
  • user1user2 是允许访问密码库的用户

25.6.1. 使用通用 secret 创建共享 Vault

创建一个共享密码库,并使用它来存储共同的机密。添加将要作为 vault 成员访问机密的用户。vault 类型是标准的,它可确保任何访问 secret 的用户都不需要进行身份验证。
  1. 以管理员身份登录: 
    $ kinit admin
  2. 创建共享库: 
    $ ipa vault-add shared_vault --shared --type standard
---------------------------
Added vault "shared_vault"
---------------------------
  Vault name: shared_vault
  Type: standard
  Owner users: admin
  Shared vault: True
  3. 将机密存档到密码库中。添加 --shared 选项以指定 vault 位于共享容器中: 
    $ ipa vault-archive shared_vault --shared --in secret.txt
-----------------------------------
Archived data into vault "shared_vault"
-----------------------------------
    注意
    个密码库只能存储一个 secret。
  4. 添加 user1user2 作为 vault 成员: 
    ipa vault-add-member shared_vault --shared --users={user1,user2}
Vault name: shared_vault
Type: standard
Owner users: admin
Shared vault: True
Member users: user1, user2
-------------------------
Number of members added 2
-------------------------

25.6.2. 以 Member 用户身份从共享 Vault 检索 secret

以 vault 的成员用户身份登录,再使用密码从密码库中导出 文件。
  1. user1 成员用户身份登录: 
    $ kinit user1
  2. 从共享密码库中检索 secret: 
    $ ipa vault-retrieve shared_vault --shared --out secret_exported.txt
-----------------------------------------
Retrieved data from vault "shared_vault"
-----------------------------------------