Red Hat Training

A Red Hat training course is available for RHEL 8

第 63 章 使用 IdM 用户库:存储和检索 secret

本章论述了如何在身份管理中使用用户库。具体来说,它描述了用户如何在 IdM 库中存储 secret,以及用户如何检索 secret。用户可以通过两个不同的 IdM 客户端进行存储和检索。

先决条件

63.1. 在用户密码库中存储 secret

本节介绍用户可以如何使用一个或多个私有密码库创建 vault 容器,从而安全地存储具有敏感信息的文件。在以下流程中使用的示例中,idm_user 用户创建标准类型的密码库。标准密码库类型确保无需 idm_user 在访问该文件时进行身份验证。idm_user 能够从用户登录的任何 IdM 客户端检索 文件。

在此过程中:

  • idm_user 是想要创建密码库的用户。
  • my_vault 是用于存储用户证书的库。
  • vault 类型是 标准的,因此访问存档证书不要求用户提供 vault 密码。
  • secret.txt 是包含用户希望在密码库中存储的证书的文件。

先决条件

  • 您知道 idm_user 的密码。
  • 您已登录到属于 IdM 客户端的主机。

流程

  1. 获取 idm_user 的 Kerberos 票据授予 ticket(TGT):

    $ kinit idm_user
  2. 使用 ipa vault-add 命令和 --type 标准 选项来创建标准密码库:

    $ ipa vault-add my_vault --type standard
    ----------------------
    Added vault "my_vault"
    ----------------------
      Vault name: my_vault
      Type: standard
      Owner users: idm_user
      Vault user: idm_user
    重要

    确保用户的第一个用户库由同一用户创建。为用户创建第一个密码库也会创建用户的 vault 容器。创建的代理变为 vault 容器的所有者。

    例如,如果其他用户(如 admin )为 user1 创建第一个用户库,则用户的 vault 容器所有者也是 admin,并且 user1 无法访问用户密码库或创建新的用户库。

  3. 使用 ipa vault-archive 命令及 --in 选项将 secret.txt 文件归档到密码库中:

    $ ipa vault-archive my_vault --in secret.txt
    -----------------------------------
    Archived data into vault "my_vault"
    -----------------------------------