Administratsioon#
Selles peatükis kirjeldatakse haldusülesandeid kasutajatele, kellel on roll Administraator. Palun lugege peatükki Rollid, et saada rohkem teavet selle rolli kohta.
Tähtis
Palun lugege kindlasti enne töö alustamist dokumendi alguses olevat teavet.
Süsteemi haldamine#
Seadme teave#
NetHSMi müüja ja toote andmeid saab otsida järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Teavet /info lõpp-punkti kohta leiate API dokumentatsioonist.
Käivitusrežiim#
NetHSMi saab kasutada Attended Boot režiimis ja Unattended Boot režiimis.
Käivitusrežiim |
Kirjeldus |
---|---|
Osales Boot |
NetHSM käivitub olekusse _Locked_. Iga käivitamise ajal tuleb sisestada Unlock Passphrase, mida kasutatakse kasutajaandmete dekrüpteerimiseks. Turvalisuse huvides on see režiim soovitatav ja see on värskelt seadistatud süsteemi vaikimisi režiim. |
Valveta boot |
Süsteem käivitub järelevalveta, ilma et oleks vaja sisestada Unlock Passphrase olekusse _Operational_. Kasutage seda režiimi, kui teie kasutatavusnõudeid ei saa täita Attended Boot režiimiga. |
Hoiatus
Sõltumata alglaadimisrežiimist, säilitab Unlock Passphrase oma kehtivuse ja on vajalik varukoopiate taastamiseks muul riistvaral. Hoidke Unlock Passphrase igal ajal turvaliselt.
Praegust alglaadimisrežiimi saab välja otsida järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Teavet lõpp-punkti /config/unattended-boot kohta leiate API dokumentatsioonist.
Käivitusrežiimi saab muuta järgmiselt. Järgmisel käivitamisel käitub NetHSM vastavalt sellele.
Argumendid
Argument |
Kirjeldus |
---|---|
Staatus |
Võimaldab või keelab Vaheldatud käivitamise. Võib omada väärtust |
näide
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Teavet lõpp-punkti /config/unattended-boot kohta leiate API dokumentatsioonist.
Riik#
NetHSMi tarkvaral on neli olekut: Varustamata, Varustatud, Lukustatud ja Kasutatav.
Riik |
Kirjeldus |
---|---|
Provisjonitu |
NetHSM ilma konfiguratsioonita (tehase vaikimisi) |
Provisioned |
NetHSM koos konfiguratsiooniga. Seisund Provisioned tähendab kas Operational või Locked seisundit. |
Operatiivne |
NetHSM koos konfiguratsiooniga ja valmis käskude täitmiseks. Seisund Operational eeldab seisundit Provisioned. |
Lukustatud |
NetHSM koos konfiguratsiooniga, kuid krüpteeritud ja ligipääsmatute andmekogudega. Tavaliselt on järgmine samm süsteemi avamine. Seisund Locked eeldab seisundit Provisioned. |
NetHSMi hetkeseisu saab välja selgitada järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Teavet /health/state lõpp-punkti kohta leiate API dokumentatsioonist.
Uuel NetHSMil on seisund Unprovisioned ja pärast varustamist siseneb seisundisse Operational. NetHSMi kasutuselevõtmist kirjeldatakse peatükis Provisioning.
NetHSMi saab Operational olekus uuesti lukustada, et seda kaitsta järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Teavet /lock lõpp-punkti kohta leiate API dokumentatsioonist.
NetHSM-i, mis on olekus Locked, saab avada järgmiselt. Kui NetHSM on olekus _Locked_, ei ole muud toimingud võimalikud. Pärast seda on NetHSM olekus _Operational_.
näide
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Teavet /unlock lõpp-punkti kohta leiate API dokumentatsioonist.
Ava salasõna#
Kui NetHSM on olekus Locked, kasutatakse Unlock Passphrase, et tuletada Unlock Key, kui NetHSM on olekus Locked. Salasõna määratakse algselt NetHSMi kasutuselevõtu ajal.
Hoiatus
Lukustuse avamise parooli ei saa lähtestada, ilma et teaksite praegust väärtust. Kui avamisfraas on kadunud, ei saa seda uuele väärtusele lähtestada ega NetHSMi avada.
Unlock Passphrase saab määrata järgmiselt.
Võimalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uus avamisfraas |
|
Praegune avamisfraas |
|
Ärge küsige kinnitust enne paroolfraasi muutmist. |
näide
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Teavet /config/unlock-passphrase lõpp-punkti kohta leiate API dokumentatsioonist.
TLS sertifikaat#
TLS-sertifikaati kasutatakse HTTPS-põhise REST API jaoks ja seega kasutab seda ka nitroopia. Provisioning’i käigus luuakse isesigneeritud sertifikaat. Sertifikaadi saab asendada näiteks sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga. Sellisel juhul tuleb luua sertifikaadi allkirjastamise taotlus (CSR). Pärast allkirjastamist tuleb sertifikaat importida NetHSMi.
Muudatus on vajalik ainult siis, kui sertifikaat tuleb asendada. Selline muudatus võib olla selle asendamine sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga.
TLS-sertifikaadi saab kätte järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Määrake sertifikaat NetHSM TLS-liidese jaoks |
näide
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Teavet /config/tls/cert.pem lõpp-punkti kohta leiate API dokumentatsioonist.
TLS-sertifikaadi saab genereerida järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Genereeritud võtme tüüp |
|
genereeritud võtme pikkus |
näide
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Teavet /config/tls/generate lõpp-punkti kohta leiate API dokumentatsioonist.
Sertifikaadi allkirjastamistaotluse (CSR) saab genereerida järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Luua CSR NetHSM TLS sertifikaadi jaoks |
|
Riigi nimi |
|
Riigi või provintsi nimi |
|
Kohanimi |
|
Organisatsiooni nimi |
|
Organisatsiooniüksuse nimi |
|
Üldine nimi |
|
E-posti aadress |
näide
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Teavet /config/tls/csr.pem lõpp-punkti kohta leiate API dokumentatsioonist.
Sertifikaadi saab asendada järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Määrake sertifikaat NetHSM TLS-liidese jaoks |
Argumendid
Argument |
Kirjeldus |
---|---|
|
Sertifikaadi fail |
näide
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Teavet /config/tls/csr.pem lõpp-punkti kohta leiate API dokumentatsioonist.
Võrk#
Võrgukonfiguratsioon määrab Võrgupordi jaoks kasutatavad seaded.
Märkus
See seade ei konfigureeri BMC võrguporti.
Võrgukonfiguratsiooni saab välja otsida järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Võrgukonfiguratsiooni päring |
näide
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Teavet /config/network lõpp-punkti kohta leiate API dokumentatsioonist.
Seadistage võrgu konfiguratsioon järgmiselt.
Märkus
NetHSM ei toeta DHCP (Dynamic Host Configuration Protocol).
Märkus
NetHSM ei toeta IPv6 (Interneti-protokolli versioon 6).
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uus IP-aadress |
|
Uus võrgumask |
|
Uus värav |
näide
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Teavet /config/network lõpp-punkti kohta leiate API dokumentatsioonist.
Aeg#
Ajakonfiguratsiooniga määratakse NetHSM tarkvara süsteemiaeg. Tavaliselt ei ole vaja süsteemiaega määrata, sest see määratakse seadistamise ajal.
Ajakonfiguratsiooni saab kätte järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Süsteemi aja päring |
näide
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Teavet /config/time lõpp-punkti kohta leiate API dokumentatsioonist.
Määrake NetHSMi kellaaeg.
Tähtis
Veenduge, et kellaaeg on UTC-ajavööndis.
Argumendid
Argument |
Kirjeldus |
---|---|
|
Seadistatav süsteemiaeg (vorming: AAA-MM-MM-TKT:MM:SSZ) |
näide
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Teavet /config/time lõpp-punkti kohta leiate API dokumentatsioonist.
Mõõdikud#
NetHSM logib süsteemi parameetrid.
Märkus
See käsk nõuab Metrics rolliga kasutaja autentimist. Rollide kohta lisateavet leiate peatükist Rollid.
Palun vaadake mõõdikud, et saada rohkem teavet iga mõõdiku kohta.
Mõõdikud saab kätte järgmiselt.
näide
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Teavet /metrics lõpp-punkti kohta leiate API dokumentatsioonist.
Logimine#
NetHSM võib süsteemi sündmusi logida jadapordi või võrku syslogi serverisse.
Tähtis
Mis tahes tootearenduse puhul tuleks NetHSMi logi pidevalt jälgida, et anda koheselt teada võimalikest turvaprobleemidest.
Syslogi serveri konfiguratsiooni saab kätte järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Logimise konfiguratsiooni päring |
näide
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Teavet /config/logging lõpp-punkti kohta leiate API dokumentatsioonist.
Syslogi serveri konfiguratsiooni saab seadistada järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uue logimise sihtkoha IP-aadress |
|
Uue logimise sihtkoha port |
|
Uus logi tase |
näide
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Teavet /config/logging lõpp-punkti kohta leiate API dokumentatsioonist.
Seeria konsool töötab kohe alguses NetHSM riistvara. See hõlmab NetHSMi püsivara ja NetHSMi tarkvara sündmusi.
Seeria konsooliühenduse seaded on järgmised.
Seadistamine |
Väärtus |
---|---|
Baudikiirus |
115200 |
Andmebitid |
8 |
Stoppbitid |
1 |
Pariteet |
Puudub |
Voolukontroll |
Puudub |
Varukoopia#
NetHSMi Kasutajate andmed saab salvestada varundusfaili. See varukoopiafail sisaldab kõiki Kasutajate andmeid, nimelt Konfigureerimissalvestust, Autentimissalvestust, Domain Key Store ja Key Store.
Tähtis
NetHSM-i süsteemitarkvara režiimis Unattended Boot vajab Unlock Passphrase, kui see taastatakse teisel NetHSM-i riistvaral. Lisateavet leiate peatükist Unlock Passphrase.
Tähtis
NetHSM, mis on režiimis Unattended Boot, on pärast taastamist samas režiimis.
Enne varundamise alustamist tuleb määrata Backup Passphrase. Backup Passphrase kasutatakse andmete krüpteerimiseks varundusfailis.
Hoiatus
Varukoopia paroollauset ei saa lähtestada, ilma et teaksite selle praegust väärtust. Kui varukoopia paroolifraas kaob, ei saa seda uuele väärtusele lähtestada ega loodud varukoopiaid taastada.
Varukoopia paroollauset saab määrata järgmiselt.
Võimalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uus varundussalasõna |
|
Praegune varundussalasõna (või tühi string, kui seda ei ole määratud) |
|
Ärge küsige kinnitust enne paroolfraasi muutmist. |
näide
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Teavet lõpp-punkti /config/backup-passphrase kohta leiate API dokumentatsioonist.
Märkus
See käsk nõuab autentimist kasutajalt, kellel on roll Backup. Lisateavet leiate peatükist Rollid.
Varundamist saab teostada järgmiselt.
Argumendid
Argument |
Kirjeldus |
---|---|
|
Varukoopia faili |
näide
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Teavet lõpp-punkti /system/backup kohta leiate API dokumentatsioonist.
Märkus
Seda varukoopiafaili saab taastada ainult NetHSMi mitteproviseeritud instantsil.
Taasta#
NetHSMi saab taastada varukoopiafailist.
Kui NetHSM on Unprovisioned, taastab see kõik kasutajaandmed, sealhulgas süsteemi konfiguratsiooni ja taaskäivituse. Seetõttu võib süsteem saada pärast seda teistsugused võrguseaded, TLS-sertifikaadi ja Unlock Passphrase.
Kui NetHSM on Provisioned, taastab see kasutajad ja kasutajaklahvid, kuid mitte süsteemi konfiguratsiooni. Sellisel juhul kustutatakse kõik varem olemasolevad kasutajad ja kasutajaklahvid. NetHSM lõpeb olekus Operational.
Taastamist saab rakendada järgmiselt.
Võimalikud valikud
Valik |
Kirjeldus |
---|---|
|
Tagavarapassfraas |
|
Seadistatav süsteemiaeg (Formaat: |
Tähtis
Veenduge, et teie kohaliku arvuti kellaaeg on õigesti seadistatud. Teistsuguse aja seadmiseks andke see käsitsi.
Argumendid
Argument |
Kirjeldus |
|
---|---|---|
|
näide
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Teavet lõpp-punkti /system/restore kohta leiate API dokumentatsioonist.
Klasterdamine#
NetHSM on olematu, nii et mitu NetHSM-seadet saab kasutada äärmiselt suure läbilaskevõime töötlemiseks ja kõrge kättesaadavuse tagamiseks. PKCS#11-moodul toetab NetHSMi instantside klastri ümmarguse ajakava. Mitut NetHSMi instantsi saab sünkroniseerida krüpteeritud varukoopiate kaudu. Selleks laeb eraldi süsteem alla ja laeb üles varukoopiafaile instantside vahel. Sellel eraldi süsteemil ei ole ligipääsu selge tekstiga varukoopiaandmetele, sest varukoopiafailid on krüpteeritud. Sünkroonimist saab hõlpsasti skriptida, kasutades pynitrokey, nagu on näidatud selles näites.
Tarkvara uuendamine#
Tarkvarauuendusi saab paigaldada kaheastmelise protsessina. Kõigepealt tuleb uuenduse kujutis laadida üles Provisioned NetHSM-i. NetHSM kontrollib kujutise autentsust, terviklikkust ja versiooni numbrit. Valikuliselt kuvab NetHSM ka võimalikud versioonimärkused.
Hoiatus
Beeta-uuenduse paigaldamise tõttu võib tekkida andmekadu! Stabiilsed versioonid ei tohiks põhjustada andmekaotust. Enne uuendamist on siiski soovitatav luua varukoopia.
Uuendusfaili saab üles laadida järgmiselt.
Argumendid
Argument |
Kirjeldus |
---|---|
|
Faili uuendamine |
näide
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Teavet /system/update lõpp-punkti kohta leiate API dokumentatsioonist.
Pärast seda saab uuendust rakendada või selle katkestada. Palun vaadake allpool soovitud valikut. Kui NetHSM lülitatakse enne „commit“-operatsiooni välja, tuleb värskendusfail uuesti üles laadida.
Tähtis
Kui uuenduskujutise üleslaadimine ebaõnnestub koos aadressiga Error: NetHSM request failed: Bad request -- malformed image
, järgige alljärgnevaid samme.
Veenduge, et teil on kehtiv värskendusfail, kontrollides seda etteantud allkirja abil.
Veenduge, et teil ei ole lubatud kõrge logitase, näiteks
DEBUG
. Lugege peatükki Logimine , et saada rohkem teavet logitasemete seadistamise kohta.Vabastage kasutatud mälu taaskäivitamiseks seade.
Uuendust saab rakendada (kinnitada) järgmiselt. Andmete migreerimine toimub alles pärast seda, kui ** NetHSM on edukalt käivitanud uue süsteemi tarkvaraversiooni.
näide
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Teavet /system/commit-update lõpp-punkti kohta leiate API dokumentatsioonist.
Uuendust saab tühistada järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Teavet /system/cancel-update lõpp-punkti kohta leiate API dokumentatsioonist.
Süsteemi teave#
Süsteemi teavet, näiteks püsivara versiooni, tarkvaraversiooni ja riistvaraversiooni saab välja otsida järgmiselt.
näide
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Teavet /system/info lõpp-punkti kohta leiate API dokumentatsioonist.
Taaskäivitus ja väljalülitamine#
NetHSM-i saab taaskäivitada ja välja lülitada kas kaugjuhtimise teel või NetHSM-i riistvara esiküljel oleva taaskäivitamise ja väljalülitamise nupu abil.
Kaugkäivituse saab algatada järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Teavet lõpp-punkti /system/reboot kohta leiate API dokumentatsioonist.
Kaugväljalülitamist saab algatada järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Teavet /system/shutdown lõpp-punkti kohta leiate API dokumentatsioonist.
Tehase vaikimisi seadistuste lähtestamine#
Provisioned NetHSM-i saab lähtestada tehaseseadetele. Sel juhul kustutatakse kõik kasutajaandmed turvaliselt ja NetHSM käivitub Unprovisioned olekusse. Pärast seda võite soovida proviisoriks NetHSMi.
Tehase algseadistuste lähtestamist saab teostada järgmiselt.
näide
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Teavet /system/factory-reset lõpp-punkti kohta leiate API dokumentatsioonist.
Kasutajate haldamine#
Rollid#
NetHSM võimaldab ülesannete eraldamist erinevate rollide abil. Igale NetHSM-i konfigureeritud kasutajakontole on määratud üks järgmistest Rollidest.
Roll |
Kirjeldus |
---|---|
Administraator |
Selle rolliga kasutajakontol on juurdepääs kõikidele NetHSMi pakutavatele toimingutele, välja arvatud võtmekasutuse toimingud, st sõnumite allkirjastamine ja dekrüpteerimine. |
Operaator |
Selle rolliga kasutajakontol on juurdepääs kõikidele võtmekasutuse toimingutele, võtmehalduse toimingute ainult lugemisõigusega alamhulgale ja kasutajahalduse toimingutele, mis võimaldavad muudatusi ainult nende enda kontole. |
Meetria |
Selle rolliga kasutajakontol on juurdepääs ainult lugemisõigusega meetrikaoperatsioonidele. |
Backup |
Selle rolliga kasutajakontol on juurdepääs ainult süsteemi varundamise algatamiseks vajalikele toimingutele. |
Vt Namespaces ja Tags täpsemate juurdepääsupiirangute kohta.
Märkus
Tulevases versioonis võidakse kasutusele võtta täiendavaid Rollid.
Kasutaja lisamine#
Lisage NetHSM-i kasutajakonto. Igal kasutajakontol on Role, mis tuleb määrata. Lisateavet rollide kohta leiate peatükist Rollid .
Valikuliselt võib kasutajale määrata *Nimeruumi*.
Märkus
Kasutajatunnus peab olema tähtnumbriline. NetHSM määrab juhusliku kasutajatunnuse, kui seda ei ole määratud.
Kasutajakonto saab lisada järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uue kasutaja tegelik nimi |
|
Uue kasutaja nimeruum |
|
Uue kasutaja Roll |
|
Uue kasutaja salasõna |
Võimalikud valikud
Valik |
Kirjeldus |
---|---|
|
Uue kasutaja ID |
näide
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Teavet lõpp-punkti /users kohta, mille abil saab kasutaja luua ilma kasutaja ID-d määramata, leiab API dokumentatsioonist.
Teavet /users/{UserID} lõpp-punkti kohta, et luua kasutaja, määrates kasutaja ID, võib leida `API dokumentatsioonist <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/PUT_users-UserID><x>`__.
Vaikimisi on nimeruum päritud kasutajalt, kes lisab uue kasutaja. Ainult kasutajad, kellel ei ole Namespace’i, saavad valida uutele kasutajatele teise Namespace’i. Namespace’i kasutatakse kasutajanime eesliitena, näiteks namespace~user. Seetõttu võib sama kasutajanime kasutada mitmes Namespace’is.
Kustuta kasutaja#
NetHSM-i kasutajakonto kustutamine.
Hoiatus
Kustutamine on püsiv ja seda ei saa tagasi võtta.
Kasutajakonto saab kustutada järgmiselt.
Argumendid
Argument |
Kirjeldus |
---|---|
|
Kasutaja kasutajatunnus. |
näide
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Teavet /users/{UserID} lõpp-punkti kohta leiate API dokumentatsioonist.
Kasutajate nimekiri#
Loetlege NetHSMi kasutajad.
Nimekirja saab kätte järgmiselt.
Võimalikud valikud
Valik |
Kirjeldus |
---|---|
|
Päring kasutaja tegeliku nime ja rolli kohta |
näide
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Teavet lõpp-punkti /users kohta leiate API dokumentatsioonist.
Teavet /users/{UserID} lõpp-punkti kohta leiate API dokumentatsioonist.
Nimeruumi kasutajad saavad näha ainult sama nimeruumi kasutajaid.
Kasutaja salasõna#
Kasutajakonto salasõna saab lähtestada. Salasõna määratakse algselt kasutajakonto lisamisel.
Märkus
Salasõnad peavad olema >= 10 ja <= 200 tähemärki.
Kasutaja salasõna saab määrata järgmiselt.
Vajalikud valikud
Valik |
Kirjeldus |
---|---|
|
Kasutaja kasutajatunnus |
|
Kasutaja uus salasõna |
näide
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Teavet /users/{UserID}/passphrase lõpp-punkti kohta leiate `API dokumentatsioonist <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_users-UserID-passphrase><x>`__.
Nimeruumid#
Nimeruumid võeti kasutusele tarkvaraversioonis 2.0. Varasemast tarkvaraversioonist üleminekul on kõik olemasolevad kasutajad ja võtmed ilma Namespace’ita.
Sarnaselt partitsioonide kontseptsioonile toetab NetHSM paindlikumat Namespaces, mis grupeerivad võtmed, administraatorid ja kasutajad NetHSMis eraldi alamkogumiteks. Kasutajad saavad näha ja kasutada ainult samas Namespace’is olevaid võtmeid ja näha ainult samas Namespace’is olevaid kasutajaid. Teiste Namespace’ide kasutajaid ei ole võimalik näha ega kasutada teiste Namespace’ide võtmeid. Uue kasutaja loomisel pärib ta selle kasutaja Namespace’i, kes ta lõi. Kasutatav mälumaht jaguneb kõigi Namespace’ide vahel.
Kasutajad, kellel on Administraatori roll nimetatakse ka R-administraatoriks, kui nad ei ole nimeruumis, või N-administraatoriks, kui nad on nimeruumis.
Erieeskirjad kehtivad R-administraatori kasutajate suhtes: Nad võivad määrata uute kasutajate nimeruumi, loetleda kõiki kasutajaid ja küsida kasutaja nimeruumi. Samuti on juurdepääs NetHSMi konfiguratsioonile ainult R-administraator kasutajatel. R-administraatorid ei saa näha Namespace’i võtmeid.
Selleks, et nimeruumi võtmeid ja kasutajaid luua, peab nimeruumi looma R-Administrator kasutaja. Kui nimeruum on loodud, ei saa R-administraator kasutajad enam selles nimeruumis kasutajaid luua, kustutada ega muuta. See võimaldab kaitsta nimeruumide võtmeid, millele R-Administrator pääseb ligi (ka kaudselt, lisades uue kasutaja nimel või nullides olemasoleva kasutaja või administraatori volitused). Seetõttu on vaja enne nimeruumi loomist luua N-Administrator kasutaja nimeruumi jaoks. R-administraatori kasutajad saavad ka nimeruumi koos kõigi selles sisalduvate võtmetega kustutada.
Nimeruumide loetelu#
Loetlege NetHSMi nimeruumid.
Nimekirja saab kätte järgmiselt.
näide
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Teavet /namespaces lõpp-punkti kohta leiate API dokumentatsioonist.
Nimeruumi lisamine#
NetHSM-i nimeruumi lisamine.
R-administraator kasutajad saavad luua uusi kontosid nimeruumis juba enne selle loomist. Pärast loomist saavad nimeruumi kasutajaid hallata ainult N-administraator kasutajad. Võtmete loomine ja kasutamine Namespace’is on võimalik alles pärast selle lisamist.
Märkus
Nimeruumi ID peab olema tähtnumbriline. NetHSM määrab juhusliku kasutajatunnuse, kui seda ei ole määratud.
Nimeruumi saab lisada järgmiselt.
Argumendid
Argument |
Kirjeldus |
|
---|---|---|
|
näide
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Teavet /namespaces/{NamespaceID} lõpp-punkti kohta leiate API dokumentatsioonist.
Nimeruumi kustutamine#
NetHSMi nimeruumi kustutamine.
Nimeruumi kustutamine kustutab ka kõik selle nimeruumi võtmed. Ülejäänud nimeruumi kasutajad ei saa lisada võtmeid enne, kui nimeruum on uuesti lisatud.
Nimeruumi saab kustutada järgmiselt.
Argumendid
Argument |
Kirjeldus |
---|---|
„NAMESPACE |
Kustutatav nimeruum. |
näide
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Teavet /namespaces/{NamespaceID} lõpp-punkti kohta leiate API dokumentatsioonist.