Администрация#
Тази глава описва административните задачи за потребители с ролята Administrator. Моля, вижте глава Роли, за да научите повече за ролята.
Important
Моля, уверете се, че сте прочели информацията в началото на този документ, преди да започнете работа.
Управление на системата#
Информация за устройството#
Информацията за доставчика и продукта за NetHSM може да бъде извлечена, както следва.
Пример
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Информация за крайната точка /info може да бъде намерена в документацията на API.
Режим на зареждане#
NetHSM може да се използва в режим на присъствено зареждане и в режим на неприсъствено зареждане.
Режим на зареждане |
Описание |
---|---|
Участвал в Boot |
NetHSM се зарежда в състояние _Заключено_. По време на всяко стартиране трябва да се въведе паролата за отключване ** , която се използва за декриптиране на потребителските данни ** . От съображения за сигурност този режим е препоръчителен и е режим по подразбиране за прясно осигурена система. |
Безконтролно зареждане |
Системата се стартира без надзор, без да е необходимо да въвеждате Отключване Пасфраза в състояние _Operational_. Използвайте този режим, ако изискванията ви за наличност не могат да бъдат изпълнени с режима Attended Boot. |
Warning
Независимо от режима на зареждане, паролата за отключване на ** запазва своята валидност и е необходима за възстановяване на резервни копия на друг хардуер. Съхранявайте Unlock Passphrase на сигурно място по всяко време.
Текущият режим на зареждане може да се извлече по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Информация за крайната точка /config/unattended-boot може да бъде намерена в документацията на API.
Режимът на зареждане може да бъде променен, както следва. При следващото зареждане NetHSM ще се държи по съответния начин.
Аргументи
Аргумент |
Описание |
---|---|
Статус |
Активиране или деактивиране на Unattended Boot. Може да има стойност |
Пример
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Информация за крайната точка /config/unattended-boot може да бъде намерена в документацията на API.
Държава#
Софтуерът NetHSM има четири състояния: Непредоставени, Предоставени, Заключени и Оперативни.
Държава |
Описание |
---|---|
Непровизирани |
NetHSM без конфигурация (по подразбиране) |
Предоставени |
NetHSM с конфигурация. Състоянието Provisioned предполага или състояние Operational, или състояние Locked. |
Оперативно |
NetHSM с конфигурация и готовност за изпълнение на команди. Състоянието Operational предполага състояние Provisioned. |
Заключено |
NetHSM с конфигурация, но криптирани и недостъпни хранилища на данни. Обикновено следващата стъпка е да се отключи системата. Състоянието Locked (Заключена) предполага състоянието Provisioned (Осигурена). |
Текущото състояние на NetHSM може да бъде извлечено по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Информация за крайната точка /health/state може да бъде намерена в документацията на API.
Новият NetHSM има състояние Unprovisioned и след осигуряване влиза в състояние Operational. Осигуряването на NetHSM е описано в глава Provisioning (Осигуряване).
NetHSM в състояние Operational може да бъде заключен отново, за да бъде защитен по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Информация за крайната точка /lock може да бъде намерена в документацията на API.
NetHSM в състояние Locked може да бъде отключен по следния начин. Докато NetHSM е в състояние _Заключено_, не са възможни никакви други операции. След това NetHSM се намира в състояние _Operational_.
Пример
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Информация за крайната точка /unlock може да бъде намерена в документацията на API.
Отключване на парола#
Фразата за отключване се използва за получаване на ключ за отключване, ако NetHSM е в състояние заключен. Паролата се задава първоначално по време на създаването на NetHSM.
Warning
Паролата за отключване не може да бъде нулирана, без да се знае текущата ѝ стойност. Ако паролата за отключване бъде изгубена, тя не може да бъде нулирана до нова стойност, нито пък NetHSM може да бъде отключен.
Фразата за отключване може да се зададе, както следва.
Възможни опции
Опция |
Описание |
---|---|
|
Новата парола за отключване |
|
Текущата парола за отключване |
|
Не искайте потвърждение, преди да промените паролата |
Пример
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Информация за крайната точка /config/unlock-passphrase може да бъде намерена в документацията на API.
Сертификат TLS#
TLS сертификатът се използва за REST API, базиран на HTTPS, и следователно се използва и от nitropy. По време на предоставянето на услугата се създава самоподписан сертификат. Сертификатът може да бъде заменен, например с подписан сертификат от орган за издаване на сертификати (CA). В този случай трябва да се генерира заявка за подписване на сертификат (CSR). След подписването сертификатът трябва да се импортира в NetHSM.
Промяна е необходима само когато сертификатът трябва да бъде заменен. Такава промяна може да бъде замяната му с подписан сертификат от орган за издаване на сертификати (CA).
TLS сертификатът може да бъде изтеглен по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Задаване на сертификата за интерфейса TLS на NetHSM |
Пример
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Информация за крайната точка /config/tls/cert.pem може да бъде намерена в документацията на API.
TLS сертификатът може да бъде генериран по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Типът на генерирания ключ |
|
Дължината на генерирания ключ |
Пример
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Информация за крайната точка /config/tls/generate може да бъде намерена в документацията на API.
Искането за подписване на сертификат (CSR) за сертификата може да бъде генерирано по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Генериране на CSR за TLS сертификата на NetHSM |
|
Името на страната |
|
Наименованието на държавата или провинцията |
|
Наименованието на местността |
|
Името на организацията |
|
Име на организационната единица |
|
Общоприетото име |
|
Имейл адресът |
Пример
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Информация за крайната точка /config/tls/csr.pem може да бъде намерена в документацията на API.
Сертификатът може да бъде заменен по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Задаване на сертификата за интерфейса TLS на NetHSM |
Аргументи
Аргумент |
Описание |
---|---|
|
Файл със сертификат |
Пример
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Информация за крайната точка /config/tls/csr.pem може да бъде намерена в документацията на API.
Мрежа#
Конфигурацията на мрежата определя настройките, използвани за Мрежовия порт.
Note
Тези настройки не конфигурират Мрежовия порт на BMC.
Конфигурацията на мрежата може да бъде извлечена по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Запитване за конфигурацията на мрежата |
Пример
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Информация за крайната точка /config/network може да бъде намерена в документацията на API.
Задайте мрежовата конфигурация, както следва.
Note
NetHSM не поддържа DHCP (Dynamic Host Configuration Protocol).
Note
NetHSM не поддържа IPv6 (интернет протокол версия 6).
Задължителни опции
Опция |
Описание |
---|---|
|
Новият IP адрес |
|
Новата мрежова маска |
|
Новият портал |
Пример
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Информация за крайната точка /config/network може да бъде намерена в документацията на API.
Време#
Конфигурацията на времето задава системното време на софтуера NetHSM. Обикновено не е необходимо да се задава системното време, тъй като то се задава по време на провизирането.
Конфигурацията на времето може да бъде извлечена по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Запитване за системното време |
Пример
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Информация за крайната точка /config/time може да бъде намерена в документацията на API.
Задайте часа на NetHSM.
Important
Уверете се, че предавате времето в UTC часова зона.
Аргументи
Аргумент |
Описание |
---|---|
|
Системното време, което трябва да се зададе (формат: YYYY-MM-DDTHH:MM:SSZ) |
Пример
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Информация за крайната точка /config/time може да бъде намерена в документацията на API.
Метрики#
NetHSM регистрира метрики на системните параметри.
Note
Тази команда изисква удостоверяване на потребител с роля Metrics. Моля, вижте глава Роли, за да научите повече за ролята.
Моля, вижте Metrics, за да научите повече за всяка метрика.
Метриките могат да бъдат извлечени по следния начин.
Пример
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Информация за крайната точка /metrics може да бъде намерена в документацията на API.
Регистриране#
NetHSM може да регистрира системни събития на серийния порт или на syslog сървър в мрежата.
Important
При всяко производствено внедряване дневникът на NetHSM трябва да се следи непрекъснато, за да се осигури незабавно уведомяване за всякакви потенциални проблеми със сигурността.
Конфигурацията на Syslog сървъра може да бъде извлечена по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Запитване за конфигурацията за регистриране |
Пример
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Информация за крайната точка /config/logging може да бъде намерена в документацията на API.
Конфигурацията на Syslog сървъра може да бъде зададена, както следва.
Задължителни опции
Опция |
Описание |
---|---|
|
IP адресът на новата дестинация за регистриране |
|
Пристанището на новата дестинация за регистриране |
|
Новото ниво на дневника |
Пример
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Информация за крайната точка /config/logging може да бъде намерена в документацията на API.
Серийната конзола работи от самото начало на хардуера на NetHSM. Тя включва събития от фърмуера на NetHSM и софтуера на NetHSM.
Настройките на серийната конзолна връзка са следните.
Задаване на |
Стойност |
---|---|
Скорост на предаване |
115200 |
Битове данни |
8 |
Стоп битове |
1 |
Паритет |
Няма |
Контрол на потока |
Няма |
Резервно копие#
Данните за потребителя на NetHSM * могат да бъдат записани в резервен файл. Този файл за резервно копие съдържа всички Данни за потребителя, а именно Склад за конфигурация, Склад за удостоверяване, Склад за ключове на домейни и Склад за ключове.
Important
Софтуерът на системата NetHSM в режим на необслужвано зареждане ще изисква паролата за отключване, ако се възстанови на друг хардуер на NetHSM. Моля, вижте глава Unlock Passphrase, за да научите повече.
Important
NetHSM в режим Необслужвано зареждане ще бъде в същия режим след възстановяване.
Преди да бъде инициирано архивиране, трябва да се зададе Фраза за архивиране. Фразата Backup Passphrase се използва за криптиране на данните във файла за резервно копие.
Warning
Резервната парола не може да бъде нулирана, без да се знае текущата стойност. Ако паролата за резервно копие бъде изгубена, тя не може да бъде нулирана до нова стойност, нито да бъдат възстановени създадените резервни копия.
Резервната парола може да бъде зададена, както следва.
Възможни опции
Опция |
Описание |
---|---|
|
Новата парола за архивиране |
|
Текущата парола за резервно копие (или празен низ, ако не е зададена) |
|
Не искайте потвърждение, преди да промените паролата |
Пример
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Информация за крайната точка /config/backup-passphrase може да бъде намерена в документацията на API.
Note
Тази команда изисква удостоверяване на потребител с ролята Backup. Моля, вижте глава Роли, за да научите повече.
Резервното копие може да се изпълни по следния начин.
Аргументи
Аргумент |
Описание |
---|---|
|
Файл за резервно копие |
Пример
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Информация за крайната точка /system/backup може да бъде намерена в документацията на API.
Note
Този резервен файл може да бъде възстановен на невъведен NetHSM екземпляр:
Възстановяване на#
NetHSM може да бъде възстановен от резервен файл.
Ако NetHSM е Unprovisioned, той ще възстанови всички потребителски данни, включително системната конфигурация и ще се рестартира. Следователно системата може да получи различни мрежови настройки, TLS сертификат и Unlock Passphrase след това.
Ако NetHSM е Provisioned, ще бъдат възстановени потребителите и потребителските ключове, но не и системната конфигурация. В този случай всички съществуващи преди това потребители и потребителски ключове ще бъдат изтрити. NetHSM завършва в състояние Operational.
Възстановяването може да се приложи по следния начин.
Опционални опции
Опция |
Описание |
---|---|
|
Фразата за резервно копие |
|
Системното време, което трябва да се зададе (Формат: |
Important
Уверете се, че времето на локалния компютър е правилно настроено. За да зададете друго време, моля, задайте го ръчно.
Аргументи
Аргумент |
Описание |
|
---|---|---|
|
Пример
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Информация за крайната точка /system/restore може да бъде намерена в документацията на API.
Създаване на клъстери#
NetHSM е без състояние, така че могат да се използват няколко NetHSM устройства за обработка на изключително висока производителност и осигуряване на висока наличност. Модулът PKCS#11 поддържа кръгово разпределение за клъстер от екземпляри на NetHSM. Няколко екземпляра на NetHSM могат да се синхронизират чрез криптирани резервни копия. За тази цел отделна система изтегля и качва архивни файлове между инстанциите. Тази отделна система няма достъп до данните от резервното копие в свободен текст, тъй като файловете за резервно копие са криптирани. Синхронизацията може лесно да бъде скриптирана, като се използва pynitrokey, както е показано в този пример.
Актуализация на софтуера#
Актуализациите на софтуера могат да се инсталират в две стъпки. Първо образът на актуализацията трябва да бъде качен на Provisioned NetHSM. NetHSM проверява автентичността, целостта и номера на версията на изображението. По желание NetHSM показва бележки за изданието, ако има такива.
Warning
Възможно е да се стигне до загуба на данни поради инсталирането на бета актуализация! Стабилните версии не трябва да причиняват загуба на данни. Въпреки това е препоръчително да създадете резервно копие, преди да актуализирате.
Файлът за актуализация може да бъде качен по следния начин.
Аргументи
Аргумент |
Описание |
---|---|
|
Актуализиране на файла |
Пример
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Информация за крайната точка /system/update може да бъде намерена в документацията на API.
След това актуализацията може да бъде приложена или прекратена. Моля, вижте желаната опция по-долу. Ако NetHSM се изключи от захранването преди операцията „commit“, файлът за актуализация трябва да се качи отново.
Important
Ако качването на изображението за актуализация се провали с Error: NetHSM request failed: Bad request -- malformed image
, моля, следвайте стъпките по-долу.
Уверете се, че разполагате с валиден файл за актуализация, като го проверите с предоставената сигнатура.
Уверете се, че нямате включено високо ниво на дневника, например
DEBUG
. Моля, вижте глава Логиране, за да научите повече за конфигурацията на нивото на лога.Рестартирайте уреда, за да освободите използваната памет.
Актуализацията може да бъде приложена (извършена), както следва. Миграцията на данни се извършва само след като NetHSM успешно е заредил новата версия на системния софтуер.
Пример
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Информация за крайната точка /system/commit-update може да бъде намерена в документацията на API.
Актуализацията може да бъде отменена по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Информация за крайната точка /system/cancel-update може да бъде намерена в документацията на API.
Информация за системата#
Системната информация, като версия на фърмуера, версия на софтуера и версия на хардуера, може да бъде извлечена, както следва.
Пример
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Информация за крайната точка /system/info може да бъде намерена в документацията на API.
Рестартиране и изключване#
NetHSM може да бъде рестартиран и изключен дистанционно или с бутона за рестартиране и изключване на предната част на хардуера на NetHSM.
Дистанционното рестартиране може да бъде инициирано по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Информация за крайната точка /system/reboot може да бъде намерена в документацията на API.
Дистанционното изключване може да се инициира по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Информация за крайната точка /system/shutdown може да бъде намерена в документацията на API.
Възстановяване на фабричните настройки по подразбиране#
Provisioned NetHSM може да бъде върнат към фабричните настройки. В този случай всички потребителски данни се изтриват по сигурен начин и NetHSM се зарежда в Unprovisioned състояние. След това може да поискате да осигурите NetHSM.
Възстановяването на фабричните настройки може да се извърши по следния начин.
Пример
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Информация за крайната точка /system/factory-reset може да бъде намерена в документацията на API.
Управление на потребителите#
Роли#
NetHSM позволява разделяне на задълженията чрез използване на различни роли. На всеки потребителски акаунт, конфигуриран в NetHSM, е присвоена една от следните Роли.
Роля |
Описание |
---|---|
Администратор |
Потребителски акаунт с тази роля има достъп до всички операции, предоставяни от NetHSM, с изключение на операциите за използване на ключове, т.е. подписване и декриптиране на съобщения. |
Оператор |
Р-оператор: Потребителски акаунт с тази роля има достъп до всички операции за използване на ключове, подмножество от операции за управление на ключове само за четене и операции за управление на потребители, които позволяват промени само в собствения му акаунт. |
Метрики |
Потребителски акаунт с тази роля има достъп само до операции за четене на метрики. |
Бекъп |
Потребителският акаунт с тази роля има достъп само до операциите, необходими за иницииране на архивиране на системата. |
Вижте Пространства от имена и Етикети за по-фини ограничения на достъпа.
Note
В бъдеща версия може да бъдат въведени допълнителни Роли.
Добавяне на потребител#
Добавете потребителски акаунт в NetHSM. Всеки потребителски акаунт има Роля, която трябва да бъде посочена. Моля, вижте глава Роли , за да научите повече за Роли.
По избор даден потребител може да бъде назначен към *Пространство от имена*.
Note
Идентификаторът на потребителя трябва да бъде буквено-цифров. NetHSM задава произволен потребителски идентификатор, ако не е посочен такъв.
Потребителски акаунт може да бъде добавен по следния начин.
Задължителни опции
Опция |
Описание |
---|---|
|
Истинското име на новия потребител |
|
Пространството от имена на новия потребител |
|
Ролята на новия потребител |
|
Паролата на новия потребител |
Възможни опции
Опция |
Описание |
---|---|
|
Потребителският идентификатор на новия потребител |
Пример
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Информация за крайната точка /users за създаване на потребител, без да се задава идентификатор на потребител, може да се намери в документацията на API.
Информация за крайната точка /users/{UserID}, за създаване на потребител с посочване на идентификатора на потребителя, може да се намери в документацията на API.
По подразбиране пространството от имена се наследява от потребителя, който добавя новия потребител. Само потребители без Пространство от имена могат да изберат друго Пространство от имена за новите потребители. Пространството от имена се използва като префикс за името на потребителя, например namespace~user. Следователно едно и също потребителско име може да се използва в няколко Пространства от имена.
Изтриване на потребител#
Изтриване на потребителски акаунт от NetHSM.
Warning
Изтриването е постоянно и не може да бъде върнато.
Потребителски акаунт може да бъде изтрит по следния начин.
Аргументи
Аргумент |
Описание |
---|---|
|
Идентификаторът на потребителя. |
Пример
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Информация за крайната точка /users/{UserID} може да бъде намерена в документацията на API.
Списък на потребителите#
Изготвяне на списък на потребителите в NetHSM.
Списъкът може да бъде изтеглен по следния начин.
Възможни опции
Опция |
Описание |
---|---|
|
Запитване за истинското име и ролята на потребителя |
Пример
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Потребителите в рамките на дадено пространство от имена могат да виждат само потребители от същото пространство от имена.
Потребителска парола#
Паролата на потребителски акаунт може да бъде нулирана. Паролата се задава първоначално по време на добавянето на потребителски акаунт.
Note
Паролите трябва да съдържат >= 10 и <= 200 символа.
Потребителската парола може да бъде зададена, както следва.
Задължителни опции
Опция |
Описание |
---|---|
|
Идентификаторът на потребителя |
|
Новата парола на потребителя |
Пример
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Информация за крайната точка /users/{UserID}/passphrase може да бъде намерена в документацията на API.
Пространства от имена#
Пространства от имена бяха въведени във версия 2.0 на софтуера. При миграция от по-ранна версия на софтуера всички съществуващи потребители и ключове ще бъдат без пространство от имена.
Подобно на концепцията за дялове, NetHSM поддържа по-гъвкавите Пространства от имена, които групират ключове, администратори и потребители в NetHSM в отделни подмножества. Потребителите могат да виждат и използват ключове само в едно и също пространство от имена и могат да виждат потребители само в едно и също пространство от имена. Не е възможно да се виждат потребители и да се виждат и използват ключове от други Пространства от имена. Когато се създава нов потребител, той наследява Пространството от имена на потребителя, който го е създал. Наличният капацитет за съхранение се споделя между всички Пространства от имена.
Потребителите с роля Administrator ` <administration#roles>` __ се наричат също R-Administrator, ако не са в пространство от имена, или N-Administrator, ако са в пространство от имена.
За потребителите на R-Administrator се прилагат специални правила: Те могат да задават Пространство от имена за нови потребители, да съставят списък на всички потребители и да правят справки за Пространството от имена на даден потребител. Също така, достъп до конфигурацията на NetHSM имат само R-Administrator потребители. R-администраторите не могат да виждат ключове в пространство от имена.
За да може да се генерират ключове и потребители в пространство от имена, пространството от имена трябва да бъде създадено от потребител R-Administrator. След като пространството от имена бъде създадено, потребителите R-Administrator вече не могат да създават, изтриват или променят потребители в това пространство от имена. Това позволява да се защитят ключовете на Пространствата от имена, до които има достъп R-Administrator (също така непряко чрез добавяне на нов потребител от негово име или нулиране на идентификационните данни на съществуващ потребител или администратор). Следователно е необходимо да се създаде N-Administrator потребител за пространството от имена, преди да се създаде пространството от имена. Потребителите R-Administrator могат също така да изтриват пространство от имена с всички съдържащи се в него ключове.
Списък на пространствата от имена#
Изгответе списък на пространствата от имена в NetHSM.
Списъкът може да бъде изтеглен по следния начин.
Пример
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Информация за крайната точка /namespaces може да бъде намерена в документацията на API.
Добавяне на пространство от имена#
Добавяне на пространство от имена към NetHSM.
Потребителите на R-Administrator могат да създават нови акаунти в пространството от имена още преди то да бъде създадено. След създаването само потребителите N-Administrator могат да управляват потребителите в Пространството от имена. Създаването и използването на ключове в Пространството от имена е възможно само след като то бъде добавено.
Note
Идентификаторът на пространството от имена трябва да бъде буквено-цифров. NetHSM присвоява произволен потребителски идентификатор, ако такъв не е посочен.
Пространство от имена може да бъде добавено по следния начин.
Аргументи
Аргумент |
Описание |
|
---|---|---|
|
Пример
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Информация за крайната точка /namespaces/{NamespaceID} може да бъде намерена в документацията на API.
Изтриване на пространство от имена#
Изтриване на пространство от имена от NetHSM.
Изтриването на Пространство от имена изтрива и всички ключове на това Пространство от имена. Останалите потребители в пространството от имена не могат да добавят ключове, докато пространството от имена не бъде добавено отново.
Пространство от имена може да бъде изтрито по следния начин.
Аргументи
Аргумент |
Описание |
---|---|
|
Пространството от имена за изтриване. |
Пример
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Информация за крайната точка /namespaces/{NamespaceID} може да бъде намерена в документацията на API.