Administración

Este capítulo describe las tareas administrativas para usuarios con el rol Administrador. Consulte el capítulo Roles para obtener más información sobre el rol.

Importante

Por favor, asegúrese de leer la información del principio de este documento antes de empezar a trabajar.

Gestión del sistema

Información sobre el dispositivo

La información sobre el proveedor y el producto de un NetHSM puede recuperarse como sigue.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo de arranque

NetHSM puede utilizarse en modo Attended Boot y en modo Unattended Boot.

Modo de arranque

Descripción

Bota asistida

El NetHSM arranca en estado _Bloqueado_. Es necesario introducir la frase de contraseña de desbloqueo ** durante cada arranque, que se utiliza para descifrar los datos de usuario ** . Por razones de seguridad, se recomienda este modo y es el modo por defecto para un sistema recién aprovisionado.

Arranque desatendido

El sistema arranca desatendido sin necesidad de introducir la Frase de contraseña de desbloqueo ** en estado _Operativo_. Utilice este modo si sus requisitos de disponibilidad no pueden cumplirse con el modo Arranque asistido.

Advertencia

Independientemente del modo de arranque, la Unlock Passphrase conserva su validez y es necesaria para restaurar copias de seguridad en otro hardware. Mantenga la Unlock Passphrase segura en todo momento.

El modo de arranque actual se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

El modo de arranque se puede cambiar de la siguiente manera. En el siguiente arranque, el NetHSM se comportará en consecuencia.

Argumentos

Argumento

Descripción

Estatus

Habilitar o deshabilitar el Arranque desatendido. Puede tener el valor on o off.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Estado

El software NetHSM tiene cuatro estados: Desaprovisionado, Aprovisionado, Bloqueado y Operativo.

Estado

Descripción

Sin aprovisionamiento

NetHSM sin configuración (por defecto)

Preparado

NetHSM con configuración. El estado Provisioned implica el estado Operational o Locked.

Operativo

NetHSM con configuración y listo para ejecutar comandos. El estado Operativo implica el estado Aprovisionado.

Bloqueado

NetHSM con configuración pero almacenes de datos encriptados e inaccesibles. Normalmente, el siguiente paso es desbloquear el sistema. El estado Locked implica el estado Provisioned.

Estados y transiciones de la NetHSM

Estados y transiciones de la NetHSM


El estado actual del NetHSM se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Un NetHSM nuevo tiene un estado No aprovisionado y después del aprovisionamiento entra en el estado Operativo. El aprovisionamiento de un NetHSM se describe en el capítulo Aprovisionamiento.

Un NetHSM en estado Operativo puede bloquearse de nuevo para protegerlo de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Una NetHSM en estado Bloqueado puede desbloquearse del siguiente modo. Mientras el NetHSM está en estado _Bloqueado_ no es posible realizar ninguna otra operación. Después, el NetHSM se encuentra en estado _Operativo_.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Desbloquear frase de acceso

La Frase de contraseña de desbloqueo se utiliza para obtener una Clave de desbloqueo si el NetHSM está en estado Bloqueado. La frase de contraseña se establece inicialmente durante el aprovisionamiento del NetHSM.

Advertencia

La frase de contraseña de desbloqueo no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de desbloqueo, no se puede restablecer a un nuevo valor ni se puede desbloquear el NetHSM.

La Frase de acceso de desbloqueo se puede configurar de la siguiente manera.

Opciones

Opción

Descripción

-n, --new-passphrase TEXT

La nueva frase de desbloqueo

-p, --current-passphrase TEXT

La frase de desbloqueo actual

-f, --force

No pida confirmación antes de cambiar la frase de contraseña

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificado TLS

El certificado TLS se utiliza para la API REST basada en HTTPS, y por lo tanto también es utilizado por nitropy. Durante el aprovisionamiento se crea un certificado autofirmado. El certificado puede ser sustituido, por ejemplo, por un certificado firmado de una autoridad de certificación (CA). En este caso debe generarse una solicitud de firma de certificado (CSR). Una vez firmado, el certificado debe importarse al NetHSM.

Un cambio sólo es necesario cuando se va a sustituir el certificado. Dicho cambio puede consistir en sustituirlo por un certificado firmado por una autoridad de certificación (CA).

El certificado TLS se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Get the certificate for the NetHSM TLS interface

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

El certificado TLS se puede generar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

El tipo de la clave generada

-l, --length INTEGER

La longitud de la clave generada

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

La solicitud de firma de certificado (CSR) para el certificado se puede generar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Generar una CSR para el certificado TLS de NetHSM

--country TEXT

El nombre del país

--state-or-province TEXT

El nombre del estado o de la provincia

--locality TEXT

El nombre de la localidad

--organization TEXT

El nombre de la organización

--organizational-unit TEXT

El nombre de la unidad de organización

--common-name TEXT

El nombre común

--email-address TEXT

La dirección de correo electrónico

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

El certificado puede ser sustituido de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Establecer el certificado para la interfaz TLS de NetHSM

Argumentos

Argumento

Descripción

FILENAME

Archivo de certificados

Ejemplo

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Red

La configuración de red define los ajustes utilizados para el Puerto de red.

Nota

Estos ajustes no configuran el Puerto de red BMC.

La configuración de la red se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--network

Consultar la configuración de la red

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Establezca la configuración de la red como sigue.

Nota

El NetHSM no soporta DHCP (Dynamic Host Configuration Protocol).

Nota

El NetHSM no soporta IPv6 (Protocolo de Internet versión 6).

Opciones requeridas

Opción

Descripción

-a, --ip-address

La nueva dirección IP

-n, --netmask

La nueva máscara de red

-n, --netmask

La nueva pasarela

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Tiempo

La configuración de la hora establece la hora del sistema del software NetHSM. Normalmente no es necesario configurar la hora del sistema, ya que se establece durante el aprovisionamiento.

La configuración de la hora se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--time

Consultar la hora del sistema

Ejemplo

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ajuste la hora del NetHSM.

Importante

Asegúrese de pasar la hora en la zona horaria UTC.

Argumentos

Argumento

Descripción

time

La hora del sistema que se va a establecer (Formato: AAAA-MM-DDTHH:MM:SSZ)

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Métrica

El NetHSM registra las métricas de los parámetros del sistema. Consulte Metrics para obtener más información sobre cada métrica.

Las métricas se pueden recuperar de la siguiente manera.

Relación requerida

Esta operación requiere una autenticación con el rol Metrics.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registro

El NetHSM puede registrar los eventos del sistema en el puerto serie o en un servidor syslog de la red.

Importante

Para cualquier despliegue de producción, el registro de NetHSM debe supervisarse continuamente para proporcionar una notificación inmediata de cualquier problema de seguridad potencial.

La configuración del servidor syslog se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--network

Consultar la configuración del registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

La configuración del servidor syslog puede establecerse de la siguiente manera.

Opciones requeridas

Opción

Descripción

-p, --passphrase TEXT.

La dirección IP del nuevo destino de registro

-p, --port INTEGER

El puerto del nuevo destino de registro

-l, --log-level [debug|info|warning|error].

El nuevo nivel de registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

La consola en serie funciona desde el inicio del hardware NetHSM. Incluye eventos del firmware de NetHSM y del software de NetHSM.

La configuración de la conexión de la consola serie es la siguiente.

Configurar

Valor

Velocidad en baudios

115200

Bits de datos

8

Bits de parada

1

Paridad

Ninguno

Control de flujo

Ninguno

Copia de seguridad

Los Datos de Usuario de NetHSM pueden guardarse en un archivo de copia de seguridad. Este archivo de copia de seguridad contiene todos los Datos de usuario, a saber, Almacén de configuración, Almacén de autenticación, Almacén de claves de dominio y Almacén de claves.

Importante

Un software de sistema NetHSM en modo Arranque desatendido requerirá la frase de contraseña de desbloqueo ** si se restaura en un hardware NetHSM diferente. Consulte el capítulo Desbloquear frase de contraseña para obtener más información.

Importante

Un NetHSM en el modo de Botón Desatendido estará en el mismo modo después de una restauración.

Antes de iniciar una copia de seguridad, debe establecerse la Frase de acceso a la copia de seguridad. La Frase de acceso a la copia de seguridad se utiliza para cifrar los datos del archivo de copia de seguridad.

Advertencia

La frase de contraseña de copia de seguridad no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de copia de seguridad, no se puede restablecer a un nuevo valor ni se pueden restaurar las copias de seguridad creadas.

La frase de contraseña de respaldo se puede establecer de la siguiente manera.

Opciones

Opción

Descripción

-n, --new-passphrase TEXT

La nueva frase de paso de la copia de seguridad

-p, --current-passphrase TEXT

La frase de contraseña de la copia de seguridad actual (o una cadena vacía si no está definida)

-f, --force

No pida confirmación antes de cambiar la frase de contraseña

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

La copia de seguridad se puede ejecutar de la siguiente manera.

Relación requerida

Esta operación requiere una autenticación con el rol Backup.

Argumentos

Argumento

Descripción

FILENAME

Archivo de copia de seguridad

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Restaurar

El NetHSM puede restaurarse a partir de un archivo de copia de seguridad.

  • Si el NetHSM es Unprovisioned restaurará todos los Datos de usuario incluyendo la configuración del sistema y reiniciará. Por lo tanto, el sistema puede tener una configuración de red, un certificado TLS y una Frase de contraseña de desbloqueo diferentes.

  • Si el NetHSM es Provisioned restaurará los usuarios y las claves de usuario pero no la configuración del sistema. En este caso, se eliminarán todos los usuarios y claves de usuario existentes anteriormente. El NetHSM finaliza en un estado Operativo.

La restauración puede aplicarse de la siguiente manera.

Opciones opcionales

Opción

Descripción

-p, --backup-passphrase passphrase.

La frase de acceso a la copia de seguridad.

-t, --system-time

La hora del sistema a establecer (Formato: YYYY-MM-DDTHH:MM:SSZ)

Importante

Asegúrese de que la hora de su ordenador local está correctamente ajustada. Para establecer una hora diferente, proporciónela manualmente.

Argumentos

Argumento

Descripción

FILENAME | Restaurar archivo

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Actualización de software

Las actualizaciones de software pueden instalarse en un proceso de dos pasos. En primer lugar, la imagen de actualización debe cargarse en un NetHSM aprovisionado en ** . El NetHSM verifica la autenticidad, integridad y número de versión de la imagen. Opcionalmente, el NetHSM muestra las notas de la versión, si las hay.

Advertencia

Pueden producirse pérdidas de datos debido a la instalación de una actualización beta. Las versiones estables no deberían causar pérdida de datos. Sin embargo, se recomienda crear una copia de seguridad antes de actualizar.

El archivo de actualización se puede cargar de la siguiente manera.

Argumentos

Argumento

Descripción

FILENAME

Actualizar el archivo

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

A continuación, la actualización puede aplicarse o cancelarse. Consulte la opción deseada a continuación. Si el NetHSM se apaga antes de la operación «confirmar», el archivo de actualización tiene que cargarse de nuevo.

Importante

Si la carga de la imagen de actualización falla con Error: NetHSM request failed: Bad request -- malformed image, siga los pasos que se indican a continuación.

  1. Asegúrese de que dispone de un archivo de actualización válido comprobándolo con la firma proporcionada.

  2. Asegúrese de que no tiene activado un nivel de registro alto, como DEBUG. Consulte el capítulo Logging para obtener más información sobre la configuración del nivel de registro.

  3. Reinicie el aparato para liberar la memoria utilizada.

La actualización puede aplicarse (confirmarse) del siguiente modo. Cualquier migración de datos sólo se realiza después de que el NetHSM haya arrancado correctamente la nueva versión de software del sistema.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

La actualización se puede cancelar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Información del sistema

La información del sistema, como la versión del firmware, la versión del software y la versión del hardware, se puede recuperar del siguiente modo.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Reinicio y apagado

El NetHSM puede reiniciarse y apagarse, ya sea de forma remota o con el botón de reinicio y apagado situado en la parte frontal del hardware del NetHSM.

El reinicio remoto puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

La desconexión remota puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Restablecer los valores de fábrica

Un NetHSM aprovisionado puede restablecerse a los valores predeterminados de fábrica. En este caso, todos los datos de usuario se borran de forma segura y el NetHSM arranca en un estado Sin aprovisionar. Después, es posible que desee aprovisionar el NetHSM.

El restablecimiento de los valores de fábrica se puede realizar de la siguiente manera.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestión de usuarios

Roles

El NetHSM permite la separación de funciones mediante el uso de diferentes roles. Cada cuenta de usuario configurada en el NetHSM tiene uno de los siguientes Roles asignados.

Papel

Descripción

Administrador

Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por el NetHSM, excepto a las operaciones de uso de claves, es decir, la firma y descifrado de mensajes.

Operador

R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta.

Métrica

Una cuenta de usuario con este rol tiene acceso sólo a operaciones de lectura de métricas.

Backup

Una cuenta de usuario con este rol sólo tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema.

Véase Namespaces y Tags para restricciones de acceso más precisas.

Nota

En una futura versión, es posible que se introduzcan Roles adicionales.

Añadir usuario

Añada una cuenta de usuario al NetHSM. Cada cuenta de usuario tiene un Rol, que debe especificarse. Consulte el capítulo Roles para obtener más información sobre Roles.

Opcionalmente, un usuario puede ser asignado a un *Namespace*.

Nota

El ID de usuario debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.

Se puede añadir una cuenta de usuario de la siguiente manera.

Opciones requeridas

Opción

Descripción

-n, --real-name TEXT.

El nombre real del nuevo usuario

-N, --namespace TEXT

El espacio de nombres del nuevo usuario

-r, --role [Administrator|Operator|Metrics|Backup].

El Role del nuevo usuario

-p, --passphrase TEXT.

La frase de contraseña del nuevo usuario

Opciones

Opción

Descripción

-u, --user-id TEXT.

El ID de usuario del nuevo usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Por defecto, el espacio de nombres se hereda del usuario que añade el nuevo usuario. Sólo los usuarios sin Namespace pueden elegir un Namespace diferente para los nuevos usuarios. El Namespace se utiliza como prefijo para el nombre de usuario, por ejemplo namespace~user. Por lo tanto, el mismo nombre de usuario puede ser utilizado en varios Namespaces.

Borrar usuario

Eliminar una cuenta de usuario del NetHSM.

Advertencia

El borrado es permanente y no se puede revertir.

Una cuenta de usuario puede ser eliminada de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

La identificación del usuario.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista de usuarios

Enumerar los usuarios en el NetHSM.

La lista se puede recuperar de la siguiente manera.

Opciones

Opción

Descripción

--details, --no-details

Consultar el nombre real y el rol del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Los usuarios de un espacio de nombres sólo pueden ver a los usuarios del mismo espacio de nombres.

Frase de acceso del usuario

La frase de contraseña de una cuenta de usuario puede restablecerse. La frase de contraseña se establece inicialmente durante la adición de una cuenta de usuario.

Nota

Las frases de paso deben tener >= 10 y <= 200 caracteres.

La frase de contraseña del usuario se puede establecer de la siguiente manera.

Opciones requeridas

Opción

Descripción

-u, --user-id TEXT.

El ID del usuario

-p, --passphrase TEXT.

La nueva frase de acceso del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Espacios de nombres

Los espacios de nombres se introdujeron en la versión 2.0 del software. Al migrar desde una versión anterior del software, todos los usuarios y claves existentes estarán sin Namespace.

De forma similar al concepto de particiones, NetHSM soporta el más flexible Namespaces que agrupa claves, administradores y usuarios en un NetHSM en subconjuntos separados. Los usuarios sólo pueden ver y utilizar claves en el mismo Namespace y sólo pueden ver usuarios en el mismo Namespace. No es posible ver usuarios y ver y utilizar claves de otros Namespaces. Cuando se crea un nuevo usuario, éste hereda el Namespace del usuario que lo creó. La capacidad de almacenamiento disponible se comparte entre todos los Namespaces.

Los usuarios con la función *Administrador* también se denominan R-Administrador si no están en un espacio de nombres, o N-Administrador si están en un espacio de nombres.

Se aplican normas especiales a los usuarios de R-Administrator: Pueden establecer el Namespace para nuevos usuarios, listar todos los usuarios y consultar el Namespace de un usuario. Además, sólo los usuarios de R-Administrator pueden acceder a la configuración de NetHSM. Los R-Administradores no pueden ver las claves de un Namespace.

Para poder generar claves y usuarios en un espacio de nombres, éste debe ser creado por un usuario R-Administrator. Una vez creado el espacio de nombres, los usuarios R-Administrator ya no pueden crear, eliminar ni modificar usuarios en ese espacio de nombres. Esto permite proteger las claves de los Namespaces a las que accede R-Administrator (también indirectamente añadiendo un nuevo usuario en su nombre o restableciendo las credenciales del usuario o administrador existente). Por lo tanto, es necesario crear un usuario N-Administrator para el espacio de nombres antes de crear el espacio de nombres. Los usuarios R-Administrador también pueden eliminar un Espacio de nombres con todas las claves que contenga.

Lista de espacios de nombres

Enumerar los espacios de nombres en el NetHSM.

La lista se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Añadir espacio de nombres

Añadir un espacio de nombres al NetHSM.

Los usuarios R-Administrador ya pueden crear nuevas cuentas en el Espacio de Nombres antes de su creación. Después de la creación, sólo los usuarios N-Administrador pueden gestionar los usuarios del espacio de nombres. La creación y el uso de claves en el espacio de nombres sólo es posible después de que se haya añadido.

Nota

El ID del espacio de nombres debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.

Se puede añadir un espacio de nombres de la siguiente manera.

Argumentos

Argumento

Descripción

NAMESPACE | El nuevo Namespace.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Eliminar espacio de nombres

Eliminar un espacio de nombres del NetHSM.

Al eliminar un espacio de nombres también se eliminan todas las claves de ese espacio de nombres. Los usuarios restantes del Namespace no podrán añadir claves hasta que el Namespace haya sido añadido de nuevo.

Un espacio de nombres puede eliminarse del siguiente modo.

Argumentos

Argumento

Descripción

NAMESPACE

El espacio de nombres que se va a eliminar.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Etiquetas para los usuarios

Las etiquetas se pueden utilizar para establecer restricciones de acceso detalladas en las claves, y son una función opcional.* Sólo se pueden asignar una o varias etiquetas a cuentas de usuario con el rol de operador * . Los Operadores pueden ver todas las claves, pero sólo utilizan aquellas a las que corresponde al menos una Etiqueta. Una clave no puede ser modificada por un usuario Operador.

Para saber cómo utilizar las etiquetas ** en las llaves, consulte Etiquetas para llaves.

Se puede añadir una etiqueta Tag de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

El ID de usuario en el que se va a fijar la etiqueta.

TAG

La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

La Etiqueta se puede eliminar de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

El ID de usuario en el que se va a fijar la etiqueta.

TAG

La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443