Administratsioon#

Selles peatükis kirjeldatakse haldusülesandeid kasutajatele, kellel on roll Administraator. Palun lugege peatükki Rollid, et saada rohkem teavet selle rolli kohta.

Tähtis

Palun lugege kindlasti enne töö alustamist dokumendi alguses olevat teavet.

Süsteemi haldamine#

Seadme teave#

NetHSMi müüja ja toote andmeid saab otsida järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Käivitusrežiim#

NetHSMi saab kasutada Attended Boot režiimis ja Unattended Boot režiimis.

Käivitusrežiim

Kirjeldus

Osales Boot

NetHSM käivitub olekusse _Locked_. Iga käivitamise ajal tuleb sisestada Unlock Passphrase, mida kasutatakse kasutajaandmete dekrüpteerimiseks. Turvalisuse huvides on see režiim soovitatav ja see on värskelt seadistatud süsteemi vaikimisi režiim.

Valveta boot

Süsteem käivitub järelevalveta, ilma et oleks vaja sisestada Unlock Passphrase olekusse _Operational_. Kasutage seda režiimi, kui teie kasutatavusnõudeid ei saa täita Attended Boot režiimiga.

Hoiatus

Sõltumata alglaadimisrežiimist, säilitab Unlock Passphrase oma kehtivuse ja on vajalik varukoopiate taastamiseks muul riistvaral. Hoidke Unlock Passphrase igal ajal turvaliselt.

Praegust alglaadimisrežiimi saab välja otsida järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Käivitusrežiimi saab muuta järgmiselt. Järgmisel käivitamisel käitub NetHSM vastavalt sellele.

Argumendid

Argument

Kirjeldus

Staatus

Võimaldab või keelab Vaheldatud käivitamise. Võib omada väärtust on või off.

näide

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Riik#

NetHSMi tarkvaral on neli olekut: Varustamata, Varustatud, Lukustatud ja Kasutatav.

Riik

Kirjeldus

Provisjonitu

NetHSM ilma konfiguratsioonita (tehase vaikimisi)

Provisioned

NetHSM koos konfiguratsiooniga. Seisund Provisioned tähendab kas Operational või Locked seisundit.

Operatiivne

NetHSM koos konfiguratsiooniga ja valmis käskude täitmiseks. Seisund Operational eeldab seisundit Provisioned.

Lukustatud

NetHSM koos konfiguratsiooniga, kuid krüpteeritud ja ligipääsmatute andmekogudega. Tavaliselt on järgmine samm süsteemi avamine. Seisund Locked eeldab seisundit Provisioned.

NetHSMi olekud ja üleminekud

NetHSMi olekud ja üleminekud#


NetHSMi hetkeseisu saab välja selgitada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Uuel NetHSMil on seisund Unprovisioned ja pärast varustamist siseneb seisundisse Operational. NetHSMi kasutuselevõtmist kirjeldatakse peatükis Provisioning.

NetHSMi saab Operational olekus uuesti lukustada, et seda kaitsta järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM-i, mis on olekus Locked, saab avada järgmiselt. Kui NetHSM on olekus _Locked_, ei ole muud toimingud võimalikud. Pärast seda on NetHSM olekus _Operational_.

näide

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Ava salasõna#

Kui NetHSM on olekus Locked, kasutatakse Unlock Passphrase, et tuletada Unlock Key, kui NetHSM on olekus Locked. Salasõna määratakse algselt NetHSMi kasutuselevõtu ajal.

Hoiatus

Lukustuse avamise parooli ei saa lähtestada, ilma et teaksite praegust väärtust. Kui avamisfraas on kadunud, ei saa seda uuele väärtusele lähtestada ega NetHSMi avada.

Unlock Passphrase saab määrata järgmiselt.

Võimalikud valikud

Valik

Kirjeldus

-n, --new-passphrase TEXT

Uus avamisfraas

-p, --current-passphrase TEXT

Praegune avamisfraas

-f, --force

Ärge küsige kinnitust enne paroolfraasi muutmist.

näide

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS sertifikaat#

TLS-sertifikaati kasutatakse HTTPS-põhise REST API jaoks ja seega kasutab seda ka nitroopia. Provisioning’i käigus luuakse isesigneeritud sertifikaat. Sertifikaadi saab asendada näiteks sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga. Sellisel juhul tuleb luua sertifikaadi allkirjastamise taotlus (CSR). Pärast allkirjastamist tuleb sertifikaat importida NetHSMi.

Muudatus on vajalik ainult siis, kui sertifikaat tuleb asendada. Selline muudatus võib olla selle asendamine sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga.

TLS-sertifikaadi saab kätte järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-a, --api

Määrake sertifikaat NetHSM TLS-liidese jaoks

näide

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS-sertifikaadi saab genereerida järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Genereeritud võtme tüüp

-l, --length INTEGER

genereeritud võtme pikkus

näide

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Sertifikaadi allkirjastamistaotluse (CSR) saab genereerida järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-a, --api

Luua CSR NetHSM TLS sertifikaadi jaoks

--country TEXT

Riigi nimi

--state-or-province TEXT

Riigi või provintsi nimi

--locality TEXT

Kohanimi

--organization TEXT

Organisatsiooni nimi

--organizational-unit TEXT

Organisatsiooniüksuse nimi

--common-name TEXT

Üldine nimi

--email-address TEXT

E-posti aadress

näide

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Sertifikaadi saab asendada järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-a, --api

Määrake sertifikaat NetHSM TLS-liidese jaoks

Argumendid

Argument

Kirjeldus

FILENAME<x>

Sertifikaadi fail

näide

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Võrk#

Võrgukonfiguratsioon määrab Võrgupordi jaoks kasutatavad seaded.

Märkus

See seade ei konfigureeri BMC võrguporti.

Võrgukonfiguratsiooni saab välja otsida järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

--network<x>

Võrgukonfiguratsiooni päring

näide

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Seadistage võrgu konfiguratsioon järgmiselt.

Märkus

NetHSM ei toeta DHCP (Dynamic Host Configuration Protocol).

Märkus

NetHSM ei toeta IPv6 (Interneti-protokolli versioon 6).

Vajalikud valikud

Valik

Kirjeldus

-a, --ip-address

Uus IP-aadress

-n, --netmask

Uus võrgumask

-n, --netmask

Uus värav

näide

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Aeg#

Ajakonfiguratsiooniga määratakse NetHSM tarkvara süsteemiaeg. Tavaliselt ei ole vaja süsteemiaega määrata, sest see määratakse seadistamise ajal.

Ajakonfiguratsiooni saab kätte järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

--time<x>

Süsteemi aja päring

näide

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Määrake NetHSMi kellaaeg.

Tähtis

Veenduge, et kellaaeg on UTC-ajavööndis.

Argumendid

Argument

Kirjeldus

time<x>

Seadistatav süsteemiaeg (vorming: AAA-MM-MM-TKT:MM:SSZ)

näide

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Mõõdikud#

NetHSM logib süsteemi parameetrid.

Märkus

See käsk nõuab Metrics rolliga kasutaja autentimist. Rollide kohta lisateavet leiate peatükist Rollid.

Palun vaadake mõõdikud, et saada rohkem teavet iga mõõdiku kohta.

Mõõdikud saab kätte järgmiselt.

näide

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logimine#

NetHSM võib süsteemi sündmusi logida jadapordi või võrku syslogi serverisse.

Tähtis

Mis tahes tootearenduse puhul tuleks NetHSMi logi pidevalt jälgida, et anda koheselt teada võimalikest turvaprobleemidest.

Syslogi serveri konfiguratsiooni saab kätte järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

--network<x>

Logimise konfiguratsiooni päring

näide

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslogi serveri konfiguratsiooni saab seadistada järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-p, --passphrase TEXT

Uue logimise sihtkoha IP-aadress

-p, --port INTEGER

Uue logimise sihtkoha port

-l, --log-level [debug|info|warning|error]

Uus logi tase

näide

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Seeria konsool töötab kohe alguses NetHSM riistvara. See hõlmab NetHSMi püsivara ja NetHSMi tarkvara sündmusi.

Seeria konsooliühenduse seaded on järgmised.

Seadistamine

Väärtus

Baudikiirus

115200

Andmebitid

8

Stoppbitid

1

Pariteet

Puudub

Voolukontroll

Puudub

Varukoopia#

NetHSMi Kasutajate andmed saab salvestada varundusfaili. See varukoopiafail sisaldab kõiki Kasutajate andmeid, nimelt Konfigureerimissalvestust, Autentimissalvestust, Domain Key Store ja Key Store.

Tähtis

NetHSM-i süsteemitarkvara režiimis Unattended Boot vajab Unlock Passphrase, kui see taastatakse teisel NetHSM-i riistvaral. Lisateavet leiate peatükist Unlock Passphrase.

Tähtis

NetHSM, mis on režiimis Unattended Boot, on pärast taastamist samas režiimis.

Enne varundamise alustamist tuleb määrata Backup Passphrase. Backup Passphrase kasutatakse andmete krüpteerimiseks varundusfailis.

Hoiatus

Varukoopia paroollauset ei saa lähtestada, ilma et teaksite selle praegust väärtust. Kui varukoopia paroolifraas kaob, ei saa seda uuele väärtusele lähtestada ega loodud varukoopiaid taastada.

Varukoopia paroollauset saab määrata järgmiselt.

Võimalikud valikud

Valik

Kirjeldus

-n, --new-passphrase TEXT

Uus varundussalasõna

-p, --current-passphrase TEXT

Praegune varundussalasõna (või tühi string, kui seda ei ole määratud)

-f, --force

Ärge küsige kinnitust enne paroolfraasi muutmist.

näide

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Märkus

See käsk nõuab autentimist kasutajalt, kellel on roll Backup. Lisateavet leiate peatükist Rollid.

Varundamist saab teostada järgmiselt.

Argumendid

Argument

Kirjeldus

FILENAME<x>

Varukoopia faili

näide

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Märkus

Seda varukoopiafaili saab taastada ainult NetHSMi mitteproviseeritud instantsil.

Taasta#

NetHSMi saab taastada varukoopiafailist.

  • Kui NetHSM on Unprovisioned, taastab see kõik kasutajaandmed, sealhulgas süsteemi konfiguratsiooni ja taaskäivituse. Seetõttu võib süsteem saada pärast seda teistsugused võrguseaded, TLS-sertifikaadi ja Unlock Passphrase.

  • Kui NetHSM on Provisioned, taastab see kasutajad ja kasutajaklahvid, kuid mitte süsteemi konfiguratsiooni. Sellisel juhul kustutatakse kõik varem olemasolevad kasutajad ja kasutajaklahvid. NetHSM lõpeb olekus Operational.

Taastamist saab rakendada järgmiselt.

Võimalikud valikud

Valik

Kirjeldus

-p, --backup-passphrase passphrase

Tagavarapassfraas

-t, --system-time

Seadistatav süsteemiaeg (Formaat: YYYY-MM-DDTHH:MM:SSZ)

Tähtis

Veenduge, et teie kohaliku arvuti kellaaeg on õigesti seadistatud. Teistsuguse aja seadmiseks andke see käsitsi.

Argumendid

Argument

Kirjeldus

FILENAME | Faili taastamine

näide

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Klasterdamine#

NetHSM on olematu, nii et mitu NetHSM-seadet saab kasutada äärmiselt suure läbilaskevõime töötlemiseks ja kõrge kättesaadavuse tagamiseks. PKCS#11-moodul toetab NetHSMi instantside klastri ümmarguse ajakava. Mitut NetHSMi instantsi saab sünkroniseerida krüpteeritud varukoopiate kaudu. Selleks laeb eraldi süsteem alla ja laeb üles varukoopiafaile instantside vahel. Sellel eraldi süsteemil ei ole ligipääsu selge tekstiga varukoopiaandmetele, sest varukoopiafailid on krüpteeritud. Sünkroonimist saab hõlpsasti skriptida, kasutades pynitrokey, nagu on näidatud selles näites.

Tarkvara uuendamine#

Tarkvarauuendusi saab paigaldada kaheastmelise protsessina. Kõigepealt tuleb uuenduse kujutis laadida üles Provisioned NetHSM-i. NetHSM kontrollib kujutise autentsust, terviklikkust ja versiooni numbrit. Valikuliselt kuvab NetHSM ka võimalikud versioonimärkused.

Hoiatus

Beeta-uuenduse paigaldamise tõttu võib tekkida andmekadu! Stabiilsed versioonid ei tohiks põhjustada andmekaotust. Enne uuendamist on siiski soovitatav luua varukoopia.

Uuendusfaili saab üles laadida järgmiselt.

Argumendid

Argument

Kirjeldus

FILENAME<x>

Faili uuendamine

näide

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Pärast seda saab uuendust rakendada või selle katkestada. Palun vaadake allpool soovitud valikut. Kui NetHSM lülitatakse enne „commit“-operatsiooni välja, tuleb värskendusfail uuesti üles laadida.

Tähtis

Kui uuenduskujutise üleslaadimine ebaõnnestub koos aadressiga Error: NetHSM request failed: Bad request -- malformed image, järgige alljärgnevaid samme.

  1. Veenduge, et teil on kehtiv värskendusfail, kontrollides seda etteantud allkirja abil.

  2. Veenduge, et teil ei ole lubatud kõrge logitase, näiteks DEBUG. Lugege peatükki Logimine , et saada rohkem teavet logitasemete seadistamise kohta.

  3. Vabastage kasutatud mälu taaskäivitamiseks seade.

Uuendust saab rakendada (kinnitada) järgmiselt. Andmete migreerimine toimub alles pärast seda, kui ** NetHSM on edukalt käivitanud uue süsteemi tarkvaraversiooni.

näide

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Uuendust saab tühistada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Süsteemi teave#

Süsteemi teavet, näiteks püsivara versiooni, tarkvaraversiooni ja riistvaraversiooni saab välja otsida järgmiselt.

näide

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Taaskäivitus ja väljalülitamine#

NetHSM-i saab taaskäivitada ja välja lülitada kas kaugjuhtimise teel või NetHSM-i riistvara esiküljel oleva taaskäivitamise ja väljalülitamise nupu abil.

Kaugkäivituse saab algatada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Kaugväljalülitamist saab algatada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Tehase vaikimisi seadistuste lähtestamine#

Provisioned NetHSM-i saab lähtestada tehaseseadetele. Sel juhul kustutatakse kõik kasutajaandmed turvaliselt ja NetHSM käivitub Unprovisioned olekusse. Pärast seda võite soovida proviisoriks NetHSMi.

Tehase algseadistuste lähtestamist saab teostada järgmiselt.

näide

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Kasutajate haldamine#

Rollid#

NetHSM võimaldab ülesannete eraldamist erinevate rollide abil. Igale NetHSM-i konfigureeritud kasutajakontole on määratud üks järgmistest Rollidest.

Roll

Kirjeldus

Administraator

Selle rolliga kasutajakontol on juurdepääs kõikidele NetHSMi pakutavatele toimingutele, välja arvatud võtmekasutuse toimingud, st sõnumite allkirjastamine ja dekrüpteerimine.

Operaator

Selle rolliga kasutajakontol on juurdepääs kõikidele võtmekasutuse toimingutele, võtmehalduse toimingute ainult lugemisõigusega alamhulgale ja kasutajahalduse toimingutele, mis võimaldavad muudatusi ainult nende enda kontole.

Meetria

Selle rolliga kasutajakontol on juurdepääs ainult lugemisõigusega meetrikaoperatsioonidele.

Backup

Selle rolliga kasutajakontol on juurdepääs ainult süsteemi varundamise algatamiseks vajalikele toimingutele.

Vt Namespaces ja Tags täpsemate juurdepääsupiirangute kohta.

Märkus

Tulevases versioonis võidakse kasutusele võtta täiendavaid Rollid.

Kasutaja lisamine#

Lisage NetHSM-i kasutajakonto. Igal kasutajakontol on Role, mis tuleb määrata. Lisateavet rollide kohta leiate peatükist Rollid .

Valikuliselt võib kasutajale määrata *Nimeruumi*.

Märkus

Kasutajatunnus peab olema tähtnumbriline. NetHSM määrab juhusliku kasutajatunnuse, kui seda ei ole määratud.

Kasutajakonto saab lisada järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-n, --real-name TEXT

Uue kasutaja tegelik nimi

-N, --namespace TEXT

Uue kasutaja nimeruum

-r, --role [Administrator|Operator|Metrics|Backup]

Uue kasutaja Roll

-p, --passphrase TEXT

Uue kasutaja salasõna

Võimalikud valikud

Valik

Kirjeldus

-u, --user-id TEXT

Uue kasutaja ID

näide

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Vaikimisi on nimeruum päritud kasutajalt, kes lisab uue kasutaja. Ainult kasutajad, kellel ei ole Namespace’i, saavad valida uutele kasutajatele teise Namespace’i. Namespace’i kasutatakse kasutajanime eesliitena, näiteks namespace~user. Seetõttu võib sama kasutajanime kasutada mitmes Namespace’is.

Kustuta kasutaja#

NetHSM-i kasutajakonto kustutamine.

Hoiatus

Kustutamine on püsiv ja seda ei saa tagasi võtta.

Kasutajakonto saab kustutada järgmiselt.

Argumendid

Argument

Kirjeldus

USER_ID<x>

Kasutaja kasutajatunnus.

näide

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Kasutajate nimekiri#

Loetlege NetHSMi kasutajad.

Nimekirja saab kätte järgmiselt.

Võimalikud valikud

Valik

Kirjeldus

--details, --no-details

Päring kasutaja tegeliku nime ja rolli kohta

näide

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Nimeruumi kasutajad saavad näha ainult sama nimeruumi kasutajaid.

Kasutaja salasõna#

Kasutajakonto salasõna saab lähtestada. Salasõna määratakse algselt kasutajakonto lisamisel.

Märkus

Salasõnad peavad olema >= 10 ja <= 200 tähemärki.

Kasutaja salasõna saab määrata järgmiselt.

Vajalikud valikud

Valik

Kirjeldus

-u, --user-id TEXT

Kasutaja kasutajatunnus

-p, --passphrase TEXT

Kasutaja uus salasõna

näide

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Nimeruumid#

Nimeruumid võeti kasutusele tarkvaraversioonis 2.0. Varasemast tarkvaraversioonist üleminekul on kõik olemasolevad kasutajad ja võtmed ilma Namespace’ita.

Sarnaselt partitsioonide kontseptsioonile toetab NetHSM paindlikumat Namespaces, mis grupeerivad võtmed, administraatorid ja kasutajad NetHSMis eraldi alamkogumiteks. Kasutajad saavad näha ja kasutada ainult samas Namespace’is olevaid võtmeid ja näha ainult samas Namespace’is olevaid kasutajaid. Teiste Namespace’ide kasutajaid ei ole võimalik näha ega kasutada teiste Namespace’ide võtmeid. Uue kasutaja loomisel pärib ta selle kasutaja Namespace’i, kes ta lõi. Kasutatav mälumaht jaguneb kõigi Namespace’ide vahel.

Kasutajad, kellel on Administraatori roll nimetatakse ka R-administraatoriks, kui nad ei ole nimeruumis, või N-administraatoriks, kui nad on nimeruumis.

Erieeskirjad kehtivad R-administraatori kasutajate suhtes: Nad võivad määrata uute kasutajate nimeruumi, loetleda kõiki kasutajaid ja küsida kasutaja nimeruumi. Samuti on juurdepääs NetHSMi konfiguratsioonile ainult R-administraator kasutajatel. R-administraatorid ei saa näha Namespace’i võtmeid.

Selleks, et nimeruumi võtmeid ja kasutajaid luua, peab nimeruumi looma R-Administrator kasutaja. Kui nimeruum on loodud, ei saa R-administraator kasutajad enam selles nimeruumis kasutajaid luua, kustutada ega muuta. See võimaldab kaitsta nimeruumide võtmeid, millele R-Administrator pääseb ligi (ka kaudselt, lisades uue kasutaja nimel või nullides olemasoleva kasutaja või administraatori volitused). Seetõttu on vaja enne nimeruumi loomist luua N-Administrator kasutaja nimeruumi jaoks. R-administraatori kasutajad saavad ka nimeruumi koos kõigi selles sisalduvate võtmetega kustutada.

Nimeruumide loetelu#

Loetlege NetHSMi nimeruumid.

Nimekirja saab kätte järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Nimeruumi lisamine#

NetHSM-i nimeruumi lisamine.

R-administraator kasutajad saavad luua uusi kontosid nimeruumis juba enne selle loomist. Pärast loomist saavad nimeruumi kasutajaid hallata ainult N-administraator kasutajad. Võtmete loomine ja kasutamine Namespace’is on võimalik alles pärast selle lisamist.

Märkus

Nimeruumi ID peab olema tähtnumbriline. NetHSM määrab juhusliku kasutajatunnuse, kui seda ei ole määratud.

Nimeruumi saab lisada järgmiselt.

Argumendid

Argument

Kirjeldus

NAMESPACE | Uus nimeruum.

näide

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Nimeruumi kustutamine#

NetHSMi nimeruumi kustutamine.

Nimeruumi kustutamine kustutab ka kõik selle nimeruumi võtmed. Ülejäänud nimeruumi kasutajad ei saa lisada võtmeid enne, kui nimeruum on uuesti lisatud.

Nimeruumi saab kustutada järgmiselt.

Argumendid

Argument

Kirjeldus

„NAMESPACE

Kustutatav nimeruum.

näide

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Sildid kasutajatele#

Sildid on valikuline funktsioon, mida saab kasutada võtmetele peeneid juurdepääsupiiranguid kehtestades. Üks või mitu Sildid saab määrata ainult kasutajakontodele, millel on Operaator roll. Operaatorid ** näevad kõiki võtmeid, kuid kasutavad ainult neid, millel on vähemalt üks vastav silt. Võtmeid ei saa muuta Operaator kasutaja.

Kui soovite teada saada, kuidas kasutada Sildid võtmetel, vaadake Sildid võtmetele.

Tag saab lisada järgmiselt.

Argumendid

Argument

Kirjeldus

USER_ID<x>

Kasutaja ID, millele silt määratakse.

TAG<x>

Kasutajatunnusele seatav silt.

näide

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag saab kustutada järgmiselt.

Argumendid

Argument

Kirjeldus

USER_ID<x>

Kasutaja ID, millele silt määratakse.

TAG<x>

Kasutajatunnusele seatav silt.

näide

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443