Administration

Dette kapitel beskriver administrative opgaver for brugere med rollen Administrator. Se kapitel Roller for at få mere at vide om rollen.

Vigtigt

Sørg for at læse oplysningerne i begyndelsen af dette dokument, før du begynder at arbejde.

Systemforvaltning

Oplysninger om enheden

Leverandør- og produktoplysningerne for en NetHSM kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot-tilstand

NetHSM kan bruges i Attended Boot-tilstand og Unattended Boot-tilstand.

Boot-tilstand

Beskrivelse

Deltaget i Boot

NetHSM starter op i en _låst_ tilstand. Ved hver opstart skal Unlock Passphrase indtastes, som bruges til at dekryptere User Data. Af sikkerhedsmæssige årsager anbefales denne tilstand, og det er standardtilstanden for et nyligt klargjort system.

Uovervåget opstart

Systemet starter uovervåget uden behov for at indtaste Unlock Passphrase i en _Operational_ tilstand. Brug denne tilstand, hvis dine krav til tilgængelighed ikke kan opfyldes med Attended Boot mode.

Advarsel

Uanset opstartstilstand bevarer Unlock Passphrase sin gyldighed og er nødvendig for at gendanne sikkerhedskopier på anden hardware. Opbevar Unlock Passphrase sikkert til enhver tid.

Den aktuelle opstartstilstand kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Boot-tilstanden kan ændres på følgende måde. Ved næste opstart vil NetHSM opføre sig i overensstemmelse hermed.

Argumenter

Argument

Beskrivelse

Status

Aktiver eller deaktiver Unattended Boot. Kan have værdien on eller off.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Staten

NetHSM-softwaren har fire tilstande: Unprovisioned, Provisioned, Locked og Operational.

Staten

Beskrivelse

Uforsynet

NetHSM uden konfiguration (fabriksindstilling)

Tilvejebragt

NetHSM med konfiguration. Tilstanden Provisioned indebærer enten Operational eller Locked tilstand.

Operationel

NetHSM med konfiguration og klar til at udføre kommandoer. Tilstanden Operational forudsætter tilstanden Provisioned.

Låst

NetHSM med konfiguration, men krypterede og utilgængelige datalagre. Det næste skridt er typisk at låse systemet op. Tilstanden Locked indebærer tilstanden Provisioned.

Tilstande og overgange i NetHSM

Tilstande og overgange i NetHSM


NetHSM’s aktuelle tilstand kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

En ny NetHSM har tilstanden Unprovisioned og går efter provisionering over i tilstanden Operational. Provisioning af en NetHSM er beskrevet i kapitlet Provisioning.

En NetHSM i Operational-tilstand kan låses igen for at beskytte den på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

En NetHSM i Locked tilstand kan låses op på følgende måde. Mens NetHSM’en er i tilstanden _Locked_, er ingen andre handlinger mulige. Bagefter er NetHSM’en i en _Operational_ tilstand.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Lås op for adgangsfrase

Passphrase til oplåsning bruges til at udlede en Nøgle til oplåsning, hvis NetHSM’en er i Låst-tilstand. Passphrasen indstilles oprindeligt under tilrådighedsstillelsen af NetHSM.

Advarsel

Oplåsningspasfrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis oplåsningspasfrasen mistes, kan den ikke nulstilles til en ny værdi, og NetHSM kan heller ikke låses op.

Passphrase til oplåsning kan indstilles på følgende måde.

Optionelle muligheder

Mulighed

Beskrivelse

-n, --new-passphrase TEXT

Den nye adgangsfrase til oplåsning

-p, --current-passphrase TEXT

Den aktuelle adgangskode til oplåsning

-f, --force

Bed ikke om bekræftelse, før du ændrer adgangskoden.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS-certifikat

TLS-certifikatet bruges til den HTTPS-baserede REST API og bruges derfor også af nitropy. Under tilrådighedsstillelsen oprettes et selvsigneret certifikat. Certifikatet kan erstattes, f.eks. med et signeret certifikat fra en certifikatudstedende myndighed (CA). I dette tilfælde skal der genereres en Certificate Signing Request (CSR). Efter signeringen skal certifikatet importeres til NetHSM.

En ændring er kun nødvendig, når certifikatet skal udskiftes. En sådan ændring kan være at erstatte det med et signeret certifikat fra en certifikatudstedende myndighed (CA).

TLS-certifikatet kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-a, --api, ``

Get the certificate for the NetHSM TLS interface

Eksempel

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS-certifikatet kan genereres på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]<x>

Typen for den genererede nøgle

-l, --length INTEGER

Længden af den genererede nøgle

Eksempel

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) for certifikatet kan genereres på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-a, --api, ``

Generer en CSR for NetHSM TLS-certifikatet

--country TEXT TEXT

Landets navn

--state-or-province TEXT `` ``

Staten eller provinsens navn

--locality TEXT TEXT

Lokalitetsnavn

--organization TEXT `` TEXT``

Organisationens navn

--organizational-unit TEXT TEXT

Navnet på den organisatoriske enhed

--common-name TEXT TEXT

Det fælles navn

--email-address TEXT `` ``

E-mail-adresse

Eksempel

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certifikatet kan udskiftes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-a, --api, ``

Indstil certifikatet for NetHSM TLS-grænsefladen

Argumenter

Argument

Beskrivelse

FILENAME

Certifikatfil

Eksempel

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Netværk

Netværkskonfigurationen definerer de indstillinger, der anvendes for Netværksport.

Bemærk

Disse indstillinger konfigurerer ikke BMC Network Port.

Netværkskonfigurationen kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

--network

Spørg efter netværkskonfigurationen

Eksempel

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Indstil netværkskonfigurationen som følger.

Bemærk

NetHSM understøtter ikke DHCP (Dynamic Host Configuration Protocol).

Bemærk

NetHSM understøtter ikke IPv6 (Internet Protocol version 6).

Nødvendige indstillinger

Mulighed

Beskrivelse

-a, --ip-address, --ip-address

Den nye IP-adresse

-n, --netmask, ``

Den nye netmaske

-n, --netmask, ``

Den nye gateway

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Tid

Tidskonfigurationen indstiller systemtiden for NetHSM-softwaren. Det er normalt ikke nødvendigt at indstille systemtiden, da den indstilles under tilrådighedsstillelsen.

Tidskonfigurationen kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

--time

Spørg om systemtid

Eksempel

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Indstil tiden for NetHSM.

Vigtigt

Sørg for at angive tiden i UTC-tidszone.

Argumenter

Argument

Beskrivelse

time

Systemtid, der skal indstilles (format: ÅÅÅÅÅ-MM-DDTHH:MM:SSZ)

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metrics

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Målingerne kan hentes på følgende måde.

Nødvendig rolle

This operation requires an authentication with the Metrics role.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logning

NetHSM kan logge systemhændelser til den serielle port eller til en syslog-server på netværket.

Vigtigt

Ved enhver produktionsudrulning bør NetHSM-loggen overvåges løbende for at give øjeblikkelig besked om eventuelle sikkerhedsproblemer.

Konfigurationen af syslog-serveren kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

--network

Spørg efter logføringskonfigurationen

Eksempel

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfigurationen af syslog-serveren kan indstilles på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-p, --passphrase TEXT

IP-adressen på den nye logningsdestination

-p, --port INTEGER<x>

Port til den nye logningsdestination

-l, --log-level [debug|info|warning|error]

Det nye logniveau

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Den serielle konsol fungerer lige fra starten af NetHSM-hardwaren. Den omfatter hændelser fra NetHSM-firmwaren og NetHSM-softwaren.

Indstillingerne for den serielle konsolforbindelse er som følger.

Indstilling

Værdi

Baud-hastighed

115200

Databits

8

Stopbits

1

Paritet

Ingen

Flow Control

Ingen

Backup

NetHSM Brugerdata kan gemmes i en backup-fil. Denne backup-fil indeholder alle Brugerdata, nemlig Configuration Store, Authentication Store, Domain Key Store og Key Store.

Vigtigt

En NetHSM-systemsoftware i Unattended Boot -tilstand vil kræve Unlock Passphrase, hvis den gendannes på en anden NetHSM-hardware. Se kapitel Oplåsning af adgangssætning for at få mere at vide.

Vigtigt

En NetHSM i Unattended Boot-tilstand vil være i den samme tilstand efter en gendannelse.

Før en sikkerhedskopi kan startes, skal Backup Passphrase indstilles. Backup Passphrase bruges til at kryptere dataene i backup-filen.

Advarsel

Backup-passphrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis backup-passphrasen mistes, kan den ikke nulstilles til en ny værdi, og de oprettede backups kan ikke gendannes.

Sikkerhedskopi-passphrase kan indstilles som følger.

Optionelle muligheder

Mulighed

Beskrivelse

-n, --new-passphrase TEXT

Den nye adgangsfrase til sikkerhedskopiering

-p, --current-passphrase TEXT

Den aktuelle backup-passphrase (eller en tom streng, hvis den ikke er indstillet)

-f, --force

Bed ikke om bekræftelse, før du ændrer adgangskoden.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Sikkerhedskopien kan udføres på følgende måde.

Nødvendig rolle

This operation requires an authentication with the Backup role.

Argumenter

Argument

Beskrivelse

FILENAME

Backup-fil

Eksempel

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Gendan

NetHSM kan gendannes fra en backup-fil.

  • Hvis NetHSM er Unprovisioned vil den gendanne alle User Data inklusive systemkonfiguration og genstarte. Derfor kan systemet få forskellige netværksindstillinger, TLS-certifikat og Unlock Passphrase bagefter.

  • Hvis NetHSM er Provisioned, vil den gendanne brugere og brugernøgler, men ikke systemkonfigurationen. I dette tilfælde vil alle tidligere eksisterende brugere og brugernøgler blive slettet. NetHSM ender i en Operational tilstand.

Gendannelsen kan foretages på følgende måde.

Optionelle muligheder

Mulighed

Beskrivelse

-p, --backup-passphrase passphrase

Passfrasen til sikkerhedskopiering

-t, --system-time, --system-time

Systemtid, der skal indstilles (Format: YYYY-MM-DDTHH:MM:SSZ)

Vigtigt

Sørg for, at tiden på din lokale computer er korrekt indstillet. Hvis du vil indstille et andet tidspunkt, skal du angive det manuelt.

Argumenter

Argument

Beskrivelse

FILENAME | Gendan fil

Eksempel

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Opdatering af software

Softwareopdateringer kan installeres i en totrinsproces. Først skal opdateringsbilledet uploades til en Provisioned NetHSM. NetHSM’en verificerer billedets autenticitet, integritet og versionsnummer. Eventuelt viser NetHSM udgivelsesnoter, hvis der er nogen.

Advarsel

Der kan opstå datatab på grund af installationen af en beta-opdatering! Stabile versioner bør ikke forårsage datatab. Det anbefales dog at lave en sikkerhedskopi, før du opdaterer.

Opdateringsfilen kan uploades på følgende måde.

Argumenter

Argument

Beskrivelse

FILENAME

Opdatering af fil

Eksempel

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Bagefter kan opdateringen anvendes eller afbrydes. Se venligst den ønskede indstilling nedenfor. Hvis NetHSM slukkes før »commit«-operationen, skal opdateringsfilen uploades igen.

Vigtigt

Hvis upload af opdateringsbilledet mislykkes med Error: NetHSM request failed: Bad request -- malformed image, skal du følge nedenstående trin.

  1. Sørg for, at du har en gyldig opdateringsfil ved at tjekke med den medfølgende signatur.

  2. Sørg for, at du ikke har aktiveret et højt logniveau, f.eks. DEBUG. Se kapitlet Logning for at få mere at vide om konfiguration af logniveauer.

  3. Genstart apparatet for at frigøre brugt hukommelse.

Opdateringen kan anvendes (committed) på følgende måde. Enhver datamigrering udføres først efter NetHSM har startet den nye systemsoftwareversion med succes.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Opdateringen kan annulleres på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Systeminformation

Systemoplysninger som firmwareversion, softwareversion og hardwareversion kan hentes på følgende måde.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Genstart og nedlukning

NetHSM kan genstartes og lukkes ned, enten eksternt eller med genstart- og sluk-knappen på forsiden af NetHSM-hardwaren.

Fjerngenstart kan startes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Fjernafbrydelsen kan startes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Nulstil til fabriksindstillingerne

En Provisioned NetHSM kan nulstilles til fabriksindstillingerne. I dette tilfælde slettes alle brugerdata sikkert, og NetHSM starter op i en Unprovisioned tilstand. Bagefter vil du måske provisionere NetHSM’en.

Nulstillingen til fabriksindstillingerne kan udføres på følgende måde.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Brugerstyring

Roller

NetHSM gør det muligt at adskille opgaverne ved at anvende forskellige roller. Hver brugerkonto, der er konfigureret på NetHSM, har en af følgende roller tildelt.

Rolle

Beskrivelse

Administrator

En brugerkonto med denne rolle har adgang til alle operationer, der leveres af NetHSM, bortset fra nøglebrugsoperationer, dvs. signering og dekryptering af meddelelser.

Operator

R-Operator: En brugerkonto med denne rolle har adgang til alle nøglebrugsoperationer, en delmængde af nøgleadministrationsoperationer med skrivebeskyttet adgang og brugeradministrationsoperationer, der kun tillader ændringer til deres egen konto.

Metrikker

En brugerkonto med denne rolle har kun adgang til skrivebeskyttede metrikoperationer.

Backup

En brugerkonto med denne rolle har kun adgang til de handlinger, der kræves for at starte en systembackup.

Se Namespaces og Tags for mere finkornede adgangsbegrænsninger.

Bemærk

I en fremtidig udgave kan der blive indført yderligere roller.

Tilføj bruger

Tilføj en brugerkonto til NetHSM. Hver brugerkonto har en Role, som skal specificeres. Se kapitel Roller for at få mere at vide om Roller.

Eventuelt kan en bruger tildeles et *Namespace*.

Bemærk

Bruger-id’et skal være alfanumerisk. NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.

En brugerkonto kan tilføjes på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-n, --real-name TEXT

Den nye brugers rigtige navn

-N, --namespace TEXT

Den nye brugers navnerum

-r, --role [Administrator|Operator|Metrics|Backup]<x>

Den nye brugers Rolle.

-p, --passphrase TEXT

Den nye brugers adgangsfrase

Optionelle muligheder

Mulighed

Beskrivelse

-u, --user-id TEXT

Bruger-id for den nye bruger

Eksempel

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Som standard arves Namespace fra den bruger, der tilføjer den nye bruger. Kun brugere uden et Namespace kan vælge et andet Namespace til nye brugere. Namespace bruges som præfiks for brugernavnet, for eksempel namespace~user. Derfor kan det samme brugernavn bruges i flere Namespaces.

Slet bruger

Slet en brugerkonto fra NetHSM.

Advarsel

Sletningen er permanent og kan ikke genoprettes.

En brugerkonto kan slettes på følgende måde.

Argumenter

Argument

Beskrivelse

USER_ID

Brugerens bruger-id.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Liste over brugere

Liste over brugerne på NetHSM.

Listen kan hentes på følgende måde.

Optionelle muligheder

Mulighed

Beskrivelse

--details, --no-details, --no-details

Spørg efter brugerens rigtige navn og rolle

Eksempel

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Brugere i et navnerum kan kun se brugere i det samme navnerum.

Brugerens adgangsfrase

En brugerkontos adgangsfrase kan nulstilles. En adgangsfrase indstilles første gang, når der tilføjes en brugerkonto.

Bemærk

Passphrases skal have >= 10 og <= 200 tegn.

Brugerens adgangsfrase kan indstilles på følgende måde.

Nødvendige indstillinger

Mulighed

Beskrivelse

-u, --user-id TEXT

Brugerens bruger-id

-p, --passphrase TEXT

Brugerens nye adgangsfrase

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Navnerum

Namespaces blev introduceret i softwareversion 2.0. Når man migrerer fra en tidligere version af softwaren, vil alle eksisterende brugere og nøgler være uden et Namespace.

På samme måde som begrebet partitioner understøtter NetHSM det mere fleksible Namespaces, som grupperer nøgler, administratorer og brugere på en NetHSM i separate delmængder. Brugere kan kun se og bruge nøgler i samme Namespace, og de kan kun se brugere i samme Namespace. Det er ikke muligt at se brugere og at se og bruge nøgler i andre Namespaces. Når en ny bruger oprettes, arver den navneområdet for den bruger, der oprettede den. Den tilgængelige lagerkapacitet deles mellem alle Namespaces.

Brugere med rollen Administrator ` <administration#roles>`__ kaldes også R-Administrator, hvis de ikke er i et navnerum, eller N-Administrator, hvis de er i et navnerum.

Der gælder særlige regler for R-Administrator brugere: De kan indstille Namespace for nye brugere, liste alle brugere og forespørge om en brugers Namespace. NetHSM-konfigurationen kan også kun tilgås af R-Administrator brugere. R-administratorer kan ikke se nøgler i et Namespace.

For at kunne generere nøgler og brugere i et Namespace skal Namespace oprettes af en R-Administrator bruger. Når navnerummet er oprettet, kan R-Administrator brugere ikke længere oprette, slette eller ændre brugere i det navnerum. Dette gør det muligt at beskytte Namespaces‹ nøgler, som R-Administrator har adgang til (også indirekte ved at tilføje en ny bruger på vegne af eller nulstille en eksisterende brugers eller administrators legitimationsoplysninger). Derfor er det nødvendigt at oprette en N-Administrator bruger til navnerummet, før navnerummet oprettes. R-Administrator brugere kan også slette et navnerum med alle de indeholdte nøgler.

Liste over navnerum

Liste over navneområder på NetHSM.

Listen kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Tilføj navnerum

Tilføj et navnerum til NetHSM.

R-Administrator brugere kan allerede oprette nye konti i Namespace, før det oprettes. Efter oprettelsen er det kun N-Administrator brugere, der kan administrere brugerne i Namespace. Oprettelse og brug af nøgler i Namespace er kun muligt, når det er blevet tilføjet.

Bemærk

Namespace-id’et skal være alfanumerisk. NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.

Et navnerum kan tilføjes på følgende måde.

Argumenter

Argument

Beskrivelse

NAMESPACE | Det nye navnerum.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Slet navnerummet

Slet et navnerum fra NetHSM.

Sletning af et navnerum sletter også alle nøgler i det navnerum. Resterende brugere i navnerummet kan ikke tilføje nøgler, før navnerummet er blevet tilføjet igen.

Et navnerum kan slettes på følgende måde.

Argumenter

Argument

Beskrivelse

NAMESPACE

Det navnerum, der skal slettes.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Tags for brugere

Tags kan bruges til at indstille finkornede adgangsbegrænsninger på nøgler, og er en valgfri funktion. Et eller flere Tags kan kun tildeles brugerkonti med rollen Operator. * Operatører* kan se alle nøgler, men kun bruge dem med mindst ét tilsvarende Tag. En nøgle kan ikke ændres af en Operatør bruger.

Hvis du vil vide mere om, hvordan du bruger Tags på nøgler, kan du se Tags til nøgler.

Et Tag kan tilføjes på følgende måde.

Argumenter

Argument

Beskrivelse

USER_ID

Det bruger-id, der skal bruges til at sætte mærket på.

TAG

Det tag, der skal sættes på bruger-id’et.

Eksempel

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag kan slettes på følgende måde.

Argumenter

Argument

Beskrivelse

USER_ID

Det bruger-id, der skal bruges til at sætte mærket på.

TAG

Det tag, der skal sættes på bruger-id’et.

Eksempel

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443