暗号化デバイス上でのTangキー実装の確認

次のステップに従って、ホストの暗号化されたパーティションまたはボリュームに適用されるTang Key構成が正常に実装されたことを確認します。

前提条件

• 暗号化されたホスト・デバイス上のTangサーバー・キーの構成が正常に完了すること。詳細は、「暗号化されたデバイスのTangキーの作成」を参照してください
• 管理者権限。

ステップ

1. Cockpit Webコンソールの「ストレージ」ページで、「ドライブ」表からドライブを選択します。
2. ストレージ[モデル名]ページで、「パーティション」表に移動します。
3. 「パーティション」表で、暗号化されたパーティションまたはボリュームが含まれている行を見つけて、下矢印アイコンをクリックして表の情報を展開します。
   「暗号化」タブが表示されます。
4. 「暗号化」タブをクリックして、「キー」セクションに移動します。
5. 「キー」セクションで、Tangサーバーのプロパティが「キー」リストに表示されることを確認します。次に例を示します:

   Keys
   Passphrase                               Slot 0
   Keyserver: tangserver.example.com:7500   Slot 1

6. 次のステップを実行して、バインディングが早期の起動に使用できることを確認します:
   1. Cockpit Webコンソールで「端末」をクリックして、端末ウィンドウにアクセスします。
   2. lsinitrdコマンドを使用して、ホストのClevisバインディングが早期の起動に使用できることを確認します。次に例を示します:

      sudo lsinitrd | grep clevis

      次のような出力が表示されます。

      clevis
      clevis-pin-sss
      clevis-pin-tang
      clevis-pin-tpm2
      -rwxr-xr-x   1 root  root   1600 May 3 16:30 usr/bin/clevis
      -rwxr-xr-x   1 root  root   1654 May 3 16:30 usr/bin/clevis-decrypt
      ...
      -rwxr-xr-x   2 root  root     45 May 3 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
      -rwxr-xr-x   1 root  root   2257 May 3 16:30 usr/libexec/clevis-luks-askpass