Správa¶
Tato kapitola popisuje úlohy správy pro uživatele s rolí Administrator. Více informací o této roli naleznete v kapitole Role.
Důležité
Než začnete pracovat, přečtěte si informace na začátku tohoto dokumentu.
Správa systému¶
Informace o zařízení¶
Informace o dodavateli a produktu pro NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informace o koncovém bodu /info naleznete v dokumentaci API.
Režim bootování¶
NetHSM lze používat v režimu Attended Boot a Unattended Boot.
Režim bootování |
Popis |
|---|---|
Zúčastnil se Boot |
NetHSM se spouští do stavu _Zamčeno_.* Při každém spuštění je třeba zadat odemykací frázi , která slouží k dešifrování uživatelských dat *.. Z bezpečnostních důvodů se tento režim doporučuje a je výchozím režimem pro čerstvě vytvořený systém. |
Bezobslužné zavádění |
Systém se spustí bezobslužně, aniž by bylo nutné zadávat přístupovou frázi Unlock ** do stavu _Operational_. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot. |
Varování
Bez ohledu na režim spouštění si odemykací fráze ** zachovává svou platnost a je vyžadována pro obnovení záloh na jiném hardwaru. Odemykací frázi Unlock Passphrase mějte kdykoli na bezpečném místě.
Aktuální zaváděcí režim lze načíst následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Režim spouštění lze změnit následujícím způsobem. Při dalším spuštění se NetHSM bude chovat odpovídajícím způsobem.
Argumenty
Argument |
Popis |
|---|---|
Stav |
Povolte nebo zakažte funkci Unattended Boot. Může mít hodnotu |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Stát¶
Software NetHSM má čtyři stavy: Neprovisioned, Provisioned, Locked a Operational.
Stát |
Popis |
|---|---|
Neprovizované |
NetHSM bez konfigurace (výchozí nastavení z výroby) |
Provisioned |
NetHSM s konfigurací. Stav Provisioned znamená buď stav Operational, nebo Locked. |
Provozní |
NetHSM s konfigurací a připravený k provádění příkazů. Stav Operational znamená stav Provisioned. |
Zamčeno |
NetHSM s konfigurací, ale šifrovanými a nepřístupnými datovými úložišti. Dalším krokem je obvykle odemknutí systému. Stav Locked implikuje stav Provisioned. |
Stavy a přechody NetHSM¶
Aktuální stav NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informace o koncovém bodu /health/state naleznete v dokumentaci API.
Nový NetHSM má stav Unprovisioned a po provisioningu přechází do stavu Operational. Provisioning NetHSM je popsán v kapitole Provisioning.
Zařízení NetHSM ve stavu Operational lze opět uzamknout a chránit takto.
Příklad
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informace o koncovém bodu /lock najdete v dokumentaci API.
NetHSM ve stavu Locked lze odemknout následujícím způsobem. Dokud je NetHSM ve stavu _Locked_, nejsou možné žádné další operace. Poté je NetHSM ve stavu _Operational_.
Příklad
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informace o koncovém bodu /unlock najdete v dokumentaci API.
Odemknutí přístupové fráze¶
Fráze Unlock Passphrase se používá k odvození klíče Unlock Key, pokud je NetHSM ve stavu Locked. Heslo je původně nastaveno během poskytování zařízení NetHSM.
Varování
Bez znalosti aktuální hodnoty nelze odemykací frázi resetovat. Pokud dojde ke ztrátě odemykací heslové fráze, nelze ji resetovat na novou hodnotu ani odemknout NetHSM.
Odemknout heslovou frázi lze nastavit následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
|---|---|
|
Nová přístupová fráze pro odemknutí |
|
Aktuální přístupová fráze pro odemknutí |
|
Před změnou přístupové fráze nežádejte o potvrzení. |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informace o koncovém bodu /config/unlock-passphrase naleznete v dokumentaci API.
Certifikát TLS¶
Certifikát TLS se používá pro rozhraní REST API založené na protokolu HTTPS, a proto jej používá také nitropy. Během poskytování je vytvořen certifikát podepsaný samotným uživatelem. Certifikát lze nahradit například podepsaným certifikátem od certifikační autority. V takovém případě je třeba vygenerovat žádost o podepsání certifikátu (CSR). Po podepsání je třeba certifikát importovat do NetHSM.
Změna je nutná pouze v případě, že má být certifikát vyměněn. Takovou změnou může být nahrazení podepsaným certifikátem od certifikační autority.
Certifikát TLS lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informace o koncovém bodě /config/tls/cert.pem naleznete v dokumentaci API.
Certifikát TLS lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Typ generovaného klíče |
|
Délka generovaného klíče |
Příklad
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informace o koncovém bodu /config/tls/generate naleznete v dokumentaci API.
Žádost o podpis certifikátu (CSR) pro certifikát lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Generování certifikátu CSR pro certifikát TLS NetHSM |
|
Název země |
|
Název státu nebo provincie |
|
Název lokality |
|
Název organizace |
|
Název organizační jednotky |
|
Společný název |
|
E-mailová adresa |
Příklad
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
Certifikát lze nahradit následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Nastavení certifikátu pro rozhraní NetHSM TLS |
Argumenty
Argument |
Popis |
|---|---|
|
Soubor s certifikátem |
Příklad
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
S흶
Konfigurace sítě definuje nastavení používané pro Síťový port.
Poznámka
This settings do not configure the BMC Network Port on the NetHSM 1.
Konfiguraci sítě lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Dotaz na konfiguraci sítě |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Nastavte konfiguraci sítě takto.
Poznámka
NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).
Poznámka
NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Nová IP adresa |
|
Nová síťová maska |
|
Nová brána |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Čas¶
Konfigurace času nastavuje systémový čas softwaru NetHSM. Obvykle není nutné nastavovat systémový čas, protože ten se nastavuje při provisioningu.
Konfiguraci času lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Dotaz na systémový čas |
Příklad
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Nastavení času NetHSM.
Důležité
Ujistěte se, že jste zadali čas v časovém pásmu UTC.
Argumenty
Argument |
Popis |
|---|---|
|
Nastavení systémového času (formát: RRRR-MM-DDTHH:MM:SSZ) |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Metriky¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Metriky lze získat následujícím způsobem.
Požadovaná role
This operation requires an authentication with the Metrics role.
Příklad
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informace o koncovém bodu /metrics najdete v dokumentaci API.
Protokolování¶
Zařízení NetHSM může zaznamenávat systémové události na sériový port nebo na server syslog v síti.
Důležité
Při jakémkoli produkčním nasazení by měl být protokol NetHSM průběžně monitorován, aby bylo možné okamžitě upozornit na případné bezpečnostní problémy.
Konfiguraci serveru syslog lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Dotaz na konfiguraci protokolování |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Konfiguraci serveru syslog lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
IP adresa nového cíle protokolování |
|
Port nového cíle protokolování |
|
Nová úroveň protokolu |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Sériová konzola funguje od samého počátku hardwaru NetHSM. Zahrnuje události z firmwaru NetHSM a softwaru NetHSM.
Nastavení sériového konzolového připojení jsou následující.
Nastavení |
Hodnota |
|---|---|
Přenosová rychlost |
115200 |
Datové bity |
8 |
Stop bity |
1 |
Parita |
Žádné |
Řízení toku |
Žádné |
Záloha¶
Uživatelská data NetHSM lze uložit do záložního souboru. Tento záložní soubor obsahuje všechna Uživatelská data, konkrétně Úložiště konfigurace, Úložiště ověření, Úložiště klíčů domény a Úložiště klíčů.
Důležité
Systémový software NetHSM v režimu Unattended Boot bude vyžadovat Unlock Passphrase, pokud bude obnoven na jiném hardwaru NetHSM. Více informací naleznete v kapitole Unlock Passphrase.
Důležité
Zařízení NetHSM v režimu Unattended Boot bude po obnovení ve stejném režimu.
Před zahájením zálohování je třeba nastavit zálohovací heslo. Backup Passphrase se používá k šifrování dat v záložním souboru.
Varování
Záložní přístupovou frázi nelze resetovat bez znalosti aktuální hodnoty. Pokud dojde ke ztrátě zálohovací heslové fráze, nelze ji obnovit na novou hodnotu ani obnovit vytvořené zálohy.
Záložní přístupovou frázi lze nastavit takto.
Volitelné možnosti
Možnost |
Popis |
|---|---|
|
Nová záložní přístupová fráze |
|
Aktuální záložní přístupová fráze (nebo prázdný řetězec, pokud není nastaven). |
|
Před změnou přístupové fráze nežádejte o potvrzení. |
Příklad
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informace o koncovém bodě /config/backup-passphrase naleznete v dokumentaci API.
Zálohování lze provést následujícím způsobem.
Požadovaná role
This operation requires an authentication with the Backup role.
Argumenty
Argument |
Popis |
|---|---|
|
Záložní soubor |
Příklad
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informace o koncovém bodu /system/backup naleznete v dokumentaci API.
Obnovení¶
NetHSM lze obnovit ze záložního souboru.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Pokud je NetHSM Provisioned, obnoví se uživatelé a uživatelské klíče, ale ne konfigurace systému. V tomto případě budou odstraněni všichni dříve existující uživatelé a uživatelské klíče. NetHSM skončí ve stavu Operational.
Obnovení lze použít následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
|---|---|
|
Záložní přístupová fráze |
|
Systémový čas, který se má nastavit (Formát: |
Důležité
Zkontrolujte, zda je správně nastaven čas v místním počítači. Chcete-li nastavit jiný čas, zadejte jej ručně.
Argumenty
Argument |
Popis |
|
|---|---|---|
|
||
Příklad
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informace o koncovém bodu /system/restore najdete v dokumentaci API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Aktualizace softwaru¶
Aktualizace softwaru lze instalovat ve dvou krocích. Nejprve je třeba nahrát obraz aktualizace na Provisioned NetHSM. NetHSM ověří pravost, integritu a číslo verze obrazu. Volitelně NetHSM zobrazí případné poznámky k vydání.
Varování
V důsledku instalace beta aktualizace může dojít ke ztrátě dat! Stabilní verze by neměly způsobit ztrátu dat. Před aktualizací však doporučujeme vytvořit zálohu.
Varování
Ujistěte se, že jste nainstalovali správný aktualizační soubor pro váš model hardwaru NetHSM 1 nebo NetHSM 2. Svůj model můžete zkontrolovat v systémových informacích na ` <administration#system-information>` __.
Aktualizační soubor lze nahrát následujícím způsobem.
Argumenty
Argument |
Popis |
|---|---|
|
Aktualizace souboru |
Příklad
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informace o koncovém bodu /system/update najdete v dokumentaci API.
Poté lze aktualizaci použít nebo přerušit. Požadovanou možnost naleznete níže. Pokud je NetHSM před operací „commit“ vypnut, je třeba aktualizační soubor nahrát znovu.
Důležité
Pokud se nahrávání aktualizačního obrazu nezdaří s Error: NetHSM request failed: Bad request -- malformed image, postupujte podle následujících kroků.
Zkontrolujte, zda máte platný aktualizační soubor pomocí poskytnutého podpisu.
Ujistěte se, že nemáte povolenou vysokou úroveň protokolu, například
DEBUG. Více informací o konfiguraci úrovně protokolování naleznete v kapitole Protokolování.Restartujte přístroj, aby se uvolnila použitá paměť.
Aktualizaci lze použít (odevzdat) následujícím způsobem. Případná migrace dat se provede až poté, co NetHSM úspěšně zavede novou verzi systémového softwaru.
Příklad
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informace o koncovém bodu /system/commit-update naleznete v dokumentaci API.
Aktualizaci lze zrušit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informace o koncovém bodu /system/cancel-update naleznete v dokumentaci API.
Systémové informace¶
Systémové informace, jako je verze firmwaru, verze softwaru a verze hardwaru, lze získat následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Informace o koncovém bodě /system/info naleznete v Dokumentaci rozhraní.
Zařízení NetHSM 1 se identifikuje jako verze hardwaru prodrive-hermes-1 a zařízení NetHSM 2 jako msi-z790-1.
Restart a vypnutí¶
Zařízení NetHSM lze restartovat a vypnout buď na dálku, nebo pomocí tlačítka restartování a vypnutí na přední straně hardwaru NetHSM.
Vzdálený restart lze zahájit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informace o koncovém bodu /system/reboot naleznete v dokumentaci API.
Vzdálené vypnutí lze spustit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informace o koncovém bodu /system/shutdown najdete v dokumentaci API.
Obnovení výchozích továrních nastavení¶
Zařízení Provisioned NetHSM lze obnovit do výchozího továrního nastavení. V takovém případě se bezpečně odstraní všechna uživatelská data a NetHSM se spustí do stavu Unprovisioned. Poté můžete chtít provision NetHSM.
Obnovení výchozího továrního nastavení lze provést následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informace o koncovém bodě /system/factory-reset naleznete v dokumentaci API.
Správa uživatelů¶
Role¶
NetHSM umožňuje oddělení povinností pomocí různých rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rol.
Role |
Popis |
|---|---|
Administrátor |
Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným NetHSM, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv. |
Operátor |
R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu. |
Metriky |
Uživatelský účet s touto rolí má přístup pouze k operacím s metrikami pro čtení. |
Záloha |
Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému. |
Podrobnější omezení přístupu naleznete na stránkách Obory názvů a Značky.
Poznámka
V některé z budoucích verzí mohou být zavedeny další Role.
Přidat uživatele¶
Přidání uživatelského účtu do NetHSM. Každý uživatelský účet má roli Role, kterou je třeba zadat. Více informací o Role naleznete v kapitole Role .
Optionally, a user can be assigned to a Namespace.
Poznámka
ID uživatele musí být alfanumerické. Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.
Uživatelský účet lze přidat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
Skutečné jméno nového uživatele |
|
Obor názvů nového uživatele |
|
Role nového uživatele |
|
Přístupová fráze nového uživatele |
Volitelné možnosti
Možnost |
Popis |
|---|---|
|
ID nového uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Ve výchozím nastavení je obor názvů zděděn od uživatele, který přidává nového uživatele. Pouze uživatelé bez oboru názvů mohou pro nové uživatele zvolit jiný obor názvů. Prostor jmen se používá jako předpona pro jméno uživatele, například namespace~user. Stejné uživatelské jméno proto může být použito v několika Prostorech názvů.
Odstranit uživatele¶
Odstranění uživatelského účtu z NetHSM.
Varování
Vymazání je trvalé a nelze je vrátit zpět.
Uživatelský účet lze odstranit následujícím způsobem.
Argumenty
Argument |
Popis |
|---|---|
|
Id uživatele. |
Příklad
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID} najdete v dokumentaci API.
Seznam uživatelů¶
Seznam uživatelů v systému NetHSM.
Seznam lze získat následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
|---|---|
|
Dotaz na skutečné jméno a roli uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uživatelé v rámci oboru názvů mohou vidět pouze uživatele ve stejném oboru názvů.
Uživatelská přístupová fráze¶
Heslo uživatelského účtu lze resetovat. Přístupová fráze se původně nastavuje při přidávání uživatelského účtu.
Poznámka
Hesla musí mít >= 10 a <= 200 znaků.
Uživatelskou přístupovou frázi lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
|---|---|
|
ID uživatele |
|
Nová přístupová fráze uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID}/passphrase najdete v dokumentaci API.
Prostory názvů¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Prostory názvů byly zavedeny ve verzi softwaru 2.0. Při přechodu z dřívější verze softwaru budou všichni stávající uživatelé a klíče bez oboru názvů.
Uživatelé s rolí Administrator ` <administration#roles>`__ jsou také označováni jako R-Administrator, pokud nejsou v oboru názvů, nebo N-Administrator, pokud jsou v oboru názvů.
Pro uživatele R-Administrator platí zvláštní pravidla: Mohou nastavovat jmenný prostor pro nové uživatele, vypisovat všechny uživatele a dotazovat se na jmenný prostor uživatele. Také ke konfiguraci NetHSM mají přístup pouze uživatelé R-Administrator. R-Administrators nemohou vidět klíče v oboru názvů.
Aby bylo možné generovat klíče a uživatele v oboru názvů, musí být obor názvů vytvořen uživatelem R-Administrator. Po vytvoření oboru názvů již uživatelé R-Administrator nemohou v tomto oboru názvů vytvářet, mazat ani upravovat uživatele. To umožňuje chránit klíče oborů názvů, k nimž má přístup R-Administrator (také nepřímo přidáním nového uživatele jménem nebo resetováním přihlašovacích údajů stávajícího uživatele nebo správce). Proto je nutné před vytvořením oboru názvů vytvořit pro daný obor názvů uživatele N-Administrator. Uživatelé R-Administrator mohou také odstranit obor názvů se všemi obsaženými klíči.
Seznam jmenných prostorů¶
Seznam jmenných prostorů v NetHSM.
Seznam lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informace o koncovém bodu /namespaces najdete v Dokumentaci rozhraní.
Přidat obor názvů¶
Přidání oboru názvů do NetHSM.
Uživatelé R-Administrator mohou vytvářet nové účty v oboru názvů již před jeho vytvořením. Po vytvoření mohou uživatele v oboru názvů spravovat pouze uživatelé N-Administrator. Vytváření a používání klíčů v oboru názvů je možné až po jeho přidání.
Poznámka
ID oboru názvů musí být alfanumerické. Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.
Prostor názvů lze přidat následujícím způsobem.
Argumenty
Argument |
Popis |
|
|---|---|---|
|
||
Příklad
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informace o koncovém bodu /namespaces/{NamespaceID} naleznete v dokumentaci API.
Odstranění oboru názvů¶
Odstranění oboru názvů z NetHSM.
Odstraněním oboru názvů se odstraní také všechny klíče tohoto oboru názvů. Zbývající uživatelé v oboru názvů nemohou přidávat klíče, dokud není obor názvů znovu přidán.
Prostor názvů lze odstranit následujícím způsobem.
Argumenty
Argument |
Popis |
|---|---|
|
Obor názvů, který má být odstraněn. |
Příklad
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informace o koncovém bodu /namespaces/{NamespaceID} naleznete v dokumentaci API.