Administración¶

Este capítulo describe las tareas administrativas para usuarios con el rol Administrador. Consulte el capítulo Roles para obtener más información sobre el rol.

Importante

Por favor, asegúrese de leer la información del principio de este documento antes de empezar a trabajar.

Gestión del sistema¶

Información sobre el dispositivo¶

La información sobre el proveedor y el producto de un NetHSM puede recuperarse como sigue.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo de arranque¶

NetHSM puede utilizarse en modo Attended Boot y en modo Unattended Boot.

Modo de arranque	Descripción
Bota asistida	El NetHSM arranca en estado _Bloqueado_. Es necesario introducir la frase de contraseña de desbloqueo durante cada arranque, que se utiliza para descifrar los datos de usuario . Por razones de seguridad, se recomienda este modo y es el modo por defecto para un sistema recién aprovisionado.
Arranque desatendido	El sistema arranca desatendido sin necesidad de introducir la Frase de contraseña de desbloqueo ** en estado _Operativo_. Utilice este modo si sus requisitos de disponibilidad no pueden cumplirse con el modo Arranque asistido.

Advertencia

Independientemente del modo de arranque, la Unlock Passphrase conserva su validez y es necesaria para restaurar copias de seguridad en otro hardware. Mantenga la Unlock Passphrase segura en todo momento.

El modo de arranque actual se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

El modo de arranque se puede cambiar de la siguiente manera. En el siguiente arranque, el NetHSM se comportará en consecuencia.

Argumentos

Argumento	Descripción
Estatus	Habilitar o deshabilitar el Arranque desatendido. Puede tener el valor `on` o `off`.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Estado¶

El software NetHSM tiene cuatro estados: Desaprovisionado, Aprovisionado, Bloqueado y Operativo.

Estado	Descripción
Sin aprovisionamiento	NetHSM sin configuración (por defecto)
Preparado	NetHSM con configuración. El estado Provisioned implica el estado Operational o Locked.
Operativo	NetHSM con configuración y listo para ejecutar comandos. El estado Operativo implica el estado Aprovisionado.
Bloqueado	NetHSM con configuración pero almacenes de datos encriptados e inaccesibles. Normalmente, el siguiente paso es desbloquear el sistema. El estado Locked implica el estado Provisioned.

El estado actual del NetHSM se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Un NetHSM nuevo tiene un estado No aprovisionado y después del aprovisionamiento entra en el estado Operativo. El aprovisionamiento de un NetHSM se describe en el capítulo Aprovisionamiento.

Un NetHSM en estado Operativo puede bloquearse de nuevo para protegerlo de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Una NetHSM en estado Bloqueado puede desbloquearse del siguiente modo. Mientras el NetHSM está en estado _Bloqueado_ no es posible realizar ninguna otra operación. Después, el NetHSM se encuentra en estado _Operativo_.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Desbloquear frase de acceso¶

La Frase de contraseña de desbloqueo se utiliza para obtener una Clave de desbloqueo si el NetHSM está en estado Bloqueado. La frase de contraseña se establece inicialmente durante el aprovisionamiento del NetHSM.

Advertencia

La frase de contraseña de desbloqueo no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de desbloqueo, no se puede restablecer a un nuevo valor ni se puede desbloquear el NetHSM.

La Frase de acceso de desbloqueo se puede configurar de la siguiente manera.

Opciones

Opción	Descripción
`-n`, `--new-passphrase` `TEXT`	La nueva frase de desbloqueo
`-p`, `--current-passphrase` `TEXT`	La frase de desbloqueo actual
`-f`, `--force`	No pida confirmación antes de cambiar la frase de contraseña

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificado TLS¶

El certificado TLS se utiliza para la API REST basada en HTTPS, y por lo tanto también es utilizado por nitropy. Durante el aprovisionamiento se crea un certificado autofirmado. El certificado puede ser sustituido, por ejemplo, por un certificado firmado de una autoridad de certificación (CA). En este caso debe generarse una solicitud de firma de certificado (CSR). Una vez firmado, el certificado debe importarse al NetHSM.

Un cambio sólo es necesario cuando se va a sustituir el certificado. Dicho cambio puede consistir en sustituirlo por un certificado firmado por una autoridad de certificación (CA).

El certificado TLS se puede recuperar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-a`, `--api`	Get the certificate for the NetHSM TLS interface

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

El certificado TLS se puede generar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	El tipo de la clave generada
`-l`, `--length` `INTEGER`	La longitud de la clave generada

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

La solicitud de firma de certificado (CSR) para el certificado se puede generar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-a`, `--api`	Generar una CSR para el certificado TLS de NetHSM
`--country` `TEXT`	El nombre del país
`--state-or-province` `TEXT`	El nombre del estado o de la provincia
`--locality` `TEXT`	El nombre de la localidad
`--organization` `TEXT`	El nombre de la organización
`--organizational-unit` `TEXT`	El nombre de la unidad de organización
`--common-name` `TEXT`	El nombre común
`--email-address` `TEXT`	La dirección de correo electrónico

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

El certificado puede ser sustituido de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-a`, `--api`	Establecer el certificado para la interfaz TLS de NetHSM

Argumentos

Argumento	Descripción
`FILENAME`	Archivo de certificados

Ejemplo

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Red¶

La configuración de red define los ajustes utilizados para el Puerto de red.

Nota

This settings do not configure the BMC Network Port on the NetHSM 1.

La configuración de la red se puede recuperar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`--network`	Consultar la configuración de la red

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Establezca la configuración de la red como sigue.

Nota

El NetHSM no soporta DHCP (Dynamic Host Configuration Protocol).

Nota

El NetHSM no soporta IPv6 (Protocolo de Internet versión 6).

Opciones requeridas

Opción	Descripción
`-a`, `--ip-address`	La nueva dirección IP
`-n`, `--netmask`	La nueva máscara de red
`-n`, `--netmask`	La nueva pasarela

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Tiempo¶

La configuración de la hora establece la hora del sistema del software NetHSM. Normalmente no es necesario configurar la hora del sistema, ya que se establece durante el aprovisionamiento.

La configuración de la hora se puede recuperar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`--time`	Consultar la hora del sistema

Ejemplo

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ajuste la hora del NetHSM.

Importante

Asegúrese de pasar la hora en la zona horaria UTC.

Argumentos

Argumento	Descripción
`time`	La hora del sistema que se va a establecer (Formato: AAAA-MM-DDTHH:MM:SSZ)

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Métrica¶

El NetHSM registra las métricas de los parámetros del sistema. Consulte Metrics para obtener más información sobre cada métrica.

Las métricas se pueden recuperar de la siguiente manera.

Relación requerida

Esta operación requiere una autenticación con el rol Metrics.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registro¶

El NetHSM puede registrar los eventos del sistema en el puerto serie o en un servidor syslog de la red.

Importante

Para cualquier despliegue de producción, el registro de NetHSM debe supervisarse continuamente para proporcionar una notificación inmediata de cualquier problema de seguridad potencial.

La configuración del servidor syslog se puede recuperar de la siguiente manera.

Opciones requeridas

Opción	Descripción
`--network`	Consultar la configuración del registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

La configuración del servidor syslog puede establecerse de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-p`, `--passphrase` `TEXT`.	La dirección IP del nuevo destino de registro
`-p`, `--port` `INTEGER`	El puerto del nuevo destino de registro
`-l`, `--log-level` `[debug\|info\|warning\|error]`.	El nuevo nivel de registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

La consola en serie funciona desde el inicio del hardware NetHSM. Incluye eventos del firmware de NetHSM y del software de NetHSM.

La configuración de la conexión de la consola serie es la siguiente.

Configurar	Valor
Velocidad en baudios	115200
Bits de datos	8
Bits de parada	1
Paridad	Ninguno
Control de flujo	Ninguno

Copia de seguridad¶

Los Datos de Usuario de NetHSM pueden guardarse en un archivo de copia de seguridad. Este archivo de copia de seguridad contiene todos los Datos de usuario, a saber, Almacén de configuración, Almacén de autenticación, Almacén de claves de dominio y Almacén de claves.

Importante

Un software de sistema NetHSM en modo Arranque desatendido requerirá la frase de contraseña de desbloqueo ** si se restaura en un hardware NetHSM diferente. Consulte el capítulo Desbloquear frase de contraseña para obtener más información.

Importante

Un NetHSM en el modo de Botón Desatendido estará en el mismo modo después de una restauración.

Antes de iniciar una copia de seguridad, debe establecerse la Frase de acceso a la copia de seguridad. La Frase de acceso a la copia de seguridad se utiliza para cifrar los datos del archivo de copia de seguridad.

Advertencia

La frase de contraseña de copia de seguridad no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de copia de seguridad, no se puede restablecer a un nuevo valor ni se pueden restaurar las copias de seguridad creadas.

La frase de contraseña de respaldo se puede establecer de la siguiente manera.

Opciones

Opción	Descripción
`-n`, `--new-passphrase` `TEXT`	La nueva frase de paso de la copia de seguridad
`-p`, `--current-passphrase` `TEXT`	La frase de contraseña de la copia de seguridad actual (o una cadena vacía si no está definida)
`-f`, `--force`	No pida confirmación antes de cambiar la frase de contraseña

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

La copia de seguridad se puede ejecutar de la siguiente manera.

Relación requerida

Esta operación requiere una autenticación con el rol Backup.

Argumentos

Argumento	Descripción
`FILENAME`	Archivo de copia de seguridad

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Restaurar¶

El NetHSM puede restaurarse a partir de un archivo de copia de seguridad.

If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Si el NetHSM es Provisioned restaurará los usuarios y las claves de usuario pero no la configuración del sistema. En este caso, se eliminarán todos los usuarios y claves de usuario existentes anteriormente. El NetHSM finaliza en un estado Operativo.

La restauración puede aplicarse de la siguiente manera.

Opciones opcionales

Opción	Descripción
`-p`, `--backup-passphrase` `passphrase`.	La frase de acceso a la copia de seguridad.
`-t`, `--system-time`	La hora del sistema a establecer (Formato: `YYYY-MM-DDTHH:MM:SSZ`)

Importante

Asegúrese de que la hora de su ordenador local está correctamente ajustada. Para establecer una hora diferente, proporciónela manualmente.

Argumentos

Argumento		Descripción
`FILENAME` \| Restaurar archivo

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication¶

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Actualización de software¶

Las actualizaciones de software pueden instalarse en un proceso de dos pasos. En primer lugar, la imagen de actualización debe cargarse en un NetHSM aprovisionado en ** . El NetHSM verifica la autenticidad, integridad y número de versión de la imagen. Opcionalmente, el NetHSM muestra las notas de la versión, si las hay.

Advertencia

Pueden producirse pérdidas de datos debido a la instalación de una actualización beta. Las versiones estables no deberían causar pérdida de datos. Sin embargo, se recomienda crear una copia de seguridad antes de actualizar.

Advertencia

Asegúrese de instalar el archivo de actualización correcto para su modelo de hardware NetHSM 1 o NetHSM 2. Puede comprobar su modelo en la información del sistema ` <administration#system-information>` __.

El archivo de actualización se puede cargar de la siguiente manera.

Argumentos

Argumento	Descripción
`FILENAME`	Actualizar el archivo

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

A continuación, la actualización puede aplicarse o cancelarse. Consulte la opción deseada a continuación. Si el NetHSM se apaga antes de la operación «confirmar», el archivo de actualización tiene que cargarse de nuevo.

Importante

Si la carga de la imagen de actualización falla con Error: NetHSM request failed: Bad request -- malformed image, siga los pasos que se indican a continuación.

Asegúrese de que dispone de un archivo de actualización válido comprobándolo con la firma proporcionada.
Asegúrese de que no tiene activado un nivel de registro alto, como DEBUG. Consulte el capítulo Logging para obtener más información sobre la configuración del nivel de registro.
Reinicie el aparato para liberar la memoria utilizada.

La actualización puede aplicarse (confirmarse) del siguiente modo. Cualquier migración de datos sólo se realiza después de que el NetHSM haya arrancado correctamente la nueva versión de software del sistema.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

La actualización se puede cancelar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Información del sistema¶

La información del sistema, como la versión del firmware, la versión del software y la versión del hardware, se puede recuperar del siguiente modo.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

Una NetHSM 1 se identifica como versión de hardware prodrive-hermes-1 y una NetHSM 2 como msi-z790-1.

Reinicio y apagado¶

El NetHSM puede reiniciarse y apagarse, ya sea de forma remota o con el botón de reinicio y apagado situado en la parte frontal del hardware del NetHSM.

El reinicio remoto puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

La desconexión remota puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Restablecer los valores de fábrica¶

Un NetHSM aprovisionado puede restablecerse a los valores predeterminados de fábrica. En este caso, todos los datos de usuario se borran de forma segura y el NetHSM arranca en un estado Sin aprovisionar. Después, es posible que desee aprovisionar el NetHSM.

El restablecimiento de los valores de fábrica se puede realizar de la siguiente manera.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestión de usuarios¶

Roles¶

El NetHSM permite la separación de funciones mediante el uso de diferentes roles. Cada cuenta de usuario configurada en el NetHSM tiene uno de los siguientes Roles asignados.

Papel	Descripción
Administrador	Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por el NetHSM, excepto a las operaciones de uso de claves, es decir, la firma y descifrado de mensajes.
Operador	R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta.
Métrica	Una cuenta de usuario con este rol tiene acceso sólo a operaciones de lectura de métricas.
Backup	Una cuenta de usuario con este rol sólo tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema.

Véase Namespaces y Tags para restricciones de acceso más precisas.

Nota

En una futura versión, es posible que se introduzcan Roles adicionales.

Añadir usuario¶

Añada una cuenta de usuario al NetHSM. Cada cuenta de usuario tiene un Rol, que debe especificarse. Consulte el capítulo Roles para obtener más información sobre Roles.

Optionally, a user can be assigned to a Namespace.

Nota

El ID de usuario debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.

Se puede añadir una cuenta de usuario de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-n`, `--real-name` `TEXT`.	El nombre real del nuevo usuario
`-N`, `--namespace` `TEXT`	El espacio de nombres del nuevo usuario
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`.	El Role del nuevo usuario
`-p`, `--passphrase` `TEXT`.	La frase de contraseña del nuevo usuario

Opciones

Opción	Descripción
`-u`, `--user-id` `TEXT`.	El ID de usuario del nuevo usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Por defecto, el espacio de nombres se hereda del usuario que añade el nuevo usuario. Sólo los usuarios sin Namespace pueden elegir un Namespace diferente para los nuevos usuarios. El Namespace se utiliza como prefijo para el nombre de usuario, por ejemplo namespace~user. Por lo tanto, el mismo nombre de usuario puede ser utilizado en varios Namespaces.

Borrar usuario¶

Eliminar una cuenta de usuario del NetHSM.

Advertencia

El borrado es permanente y no se puede revertir.

Una cuenta de usuario puede ser eliminada de la siguiente manera.

Argumentos

Argumento	Descripción
`USER_ID`	La identificación del usuario.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Lista de usuarios¶

Enumerar los usuarios en el NetHSM.

La lista se puede recuperar de la siguiente manera.

Opciones

Opción	Descripción
`--details`, `--no-details`	Consultar el nombre real y el rol del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Los usuarios de un espacio de nombres sólo pueden ver a los usuarios del mismo espacio de nombres.

Frase de acceso del usuario¶

La frase de contraseña de una cuenta de usuario puede restablecerse. La frase de contraseña se establece inicialmente durante la adición de una cuenta de usuario.

Nota

Las frases de paso deben tener >= 10 y <= 200 caracteres.

La frase de contraseña del usuario se puede establecer de la siguiente manera.

Opciones requeridas

Opción	Descripción
`-u`, `--user-id` `TEXT`.	El ID del usuario
`-p`, `--passphrase` `TEXT`.	La nueva frase de acceso del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Espacios de nombres¶

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

Los espacios de nombres se introdujeron en la versión 2.0 del software. Al migrar desde una versión anterior del software, todos los usuarios y claves existentes estarán sin Namespace.

Los usuarios con la función *Administrador* también se denominan R-Administrador si no están en un espacio de nombres, o N-Administrador si están en un espacio de nombres.

Se aplican normas especiales a los usuarios de R-Administrator: Pueden establecer el Namespace para nuevos usuarios, listar todos los usuarios y consultar el Namespace de un usuario. Además, sólo los usuarios de R-Administrator pueden acceder a la configuración de NetHSM. Los R-Administradores no pueden ver las claves de un Namespace.

Para poder generar claves y usuarios en un espacio de nombres, éste debe ser creado por un usuario R-Administrator. Una vez creado el espacio de nombres, los usuarios R-Administrator ya no pueden crear, eliminar ni modificar usuarios en ese espacio de nombres. Esto permite proteger las claves de los Namespaces a las que accede R-Administrator (también indirectamente añadiendo un nuevo usuario en su nombre o restableciendo las credenciales del usuario o administrador existente). Por lo tanto, es necesario crear un usuario N-Administrator para el espacio de nombres antes de crear el espacio de nombres. Los usuarios R-Administrador también pueden eliminar un Espacio de nombres con todas las claves que contenga.

Lista de espacios de nombres¶

Enumerar los espacios de nombres en el NetHSM.

La lista se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Añadir espacio de nombres¶

Añadir un espacio de nombres al NetHSM.

Los usuarios R-Administrador ya pueden crear nuevas cuentas en el Espacio de Nombres antes de su creación. Después de la creación, sólo los usuarios N-Administrador pueden gestionar los usuarios del espacio de nombres. La creación y el uso de claves en el espacio de nombres sólo es posible después de que se haya añadido.

Nota

El ID del espacio de nombres debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.

Se puede añadir un espacio de nombres de la siguiente manera.

Argumentos

Argumento		Descripción
`NAMESPACE` \| El nuevo Namespace.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Eliminar espacio de nombres¶

Eliminar un espacio de nombres del NetHSM.

Al eliminar un espacio de nombres también se eliminan todas las claves de ese espacio de nombres. Los usuarios restantes del Namespace no podrán añadir claves hasta que el Namespace haya sido añadido de nuevo.

Un espacio de nombres puede eliminarse del siguiente modo.

Argumentos

Argumento	Descripción
`NAMESPACE`	El espacio de nombres que se va a eliminar.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Etiquetas para los usuarios¶

Las etiquetas se pueden utilizar para establecer restricciones de acceso detalladas en las claves, y son una función opcional.* Sólo se pueden asignar una o varias etiquetas a cuentas de usuario con el rol de operador * . Los Operadores pueden ver todas las claves, pero sólo utilizan aquellas a las que corresponde al menos una Etiqueta. Una clave no puede ser modificada por un usuario Operador.

Para saber cómo utilizar las etiquetas ** en las llaves, consulte Etiquetas para llaves.

Se puede añadir una etiqueta Tag de la siguiente manera.

Argumentos

Argumento	Descripción
`USER_ID`	El ID de usuario en el que se va a fijar la etiqueta.
`TAG`	La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

La Etiqueta se puede eliminar de la siguiente manera.

Argumentos

Argumento	Descripción
`USER_ID`	El ID de usuario en el que se va a fijar la etiqueta.
`TAG`	La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443