Adminisztráció

Ez a fejezet a Administrator szerepkörrel rendelkező felhasználók rendszergazdai feladatait írja le. A szerepkörről bővebben a Szerepkörök fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Rendszerirányítás

Eszközinformációk

A NetHSM gyártó- és termékinformációi a következőképpen kérhetők le.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot üzemmód

A NetHSM használható Vigyázott indítás és Vigyázatlan indítás üzemmódban.

Boot üzemmód	Leírás
Részt vett Boot	A NetHSM a _Locked_ állapotba indul. Minden indításkor be kell írni a Unlock Passphrase jelszót, amely a felhasználói adatok visszafejtésére szolgál. Biztonsági okokból ez az üzemmód ajánlott, és ez az alapértelmezett üzemmód egy frissen feltöltött rendszer esetében.
Unattended Boot	A rendszer felügyelet nélkül, a Unlock Passphrase megadása nélkül indul _Operational_ állapotba. Akkor használja ezt az üzemmódot, ha a rendelkezésre állási követelményeket nem lehet teljesíteni a Attended Boot üzemmóddal.

Figyelem

Az indítási módtól függetlenül a Unlock Passphrase érvényességét megőrzi, és szükséges a biztonsági mentések más hardveren történő visszaállításához. A Unlock Passphrase jelszót mindig tartsa biztonságban.

Az aktuális indítási mód a következőképpen kérhető le.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Az indítási mód a következőképpen módosítható. A következő indításkor a NetHSM ennek megfelelően fog viselkedni.

nitropyREST API

érvek

Érv	Leírás
Állapot	Engedélyezi vagy letiltja a Vigyázatlan indítást. Lehet értéke on vagy off.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Állam

A NetHSM szoftver négy állapottal rendelkezik: Előkészítetlen, Készenlétbe helyezett, Zárolt és Működőképes.

Állam	Leírás
Előkészítetlen	NetHSM konfiguráció nélkül (gyári alapértelmezés)
Provisioned	NetHSM konfigurációval. A Provisioned állapot Operational vagy Locked állapotot jelent.
Operational	NetHSM konfigurációval és parancsok végrehajtására kész. Az Operational állapot a Provisioned állapotot feltételezi.
Locked	NetHSM konfigurációval, de titkosított és elérhetetlen adattárolókkal. A következő lépés jellemzően a rendszer feloldása. A Locked állapot magában foglalja a Provisioned állapotot.

A NetHSM állapotai és átmenetei

A NetHSM aktuális állapota a következőképpen kérhető le.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Egy új NetHSM a Unprovisioned állapotot foglalja el, és a rendelkezésre bocsátás után a Operational állapotba kerül. A NetHSM üzembe helyezését a Provisioning fejezetben ismertetjük.

Az működő állapotban lévő NetHSM-et a következő módon lehet újra lezárni a védelme érdekében.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

A Locked állapotban lévő NetHSM a következőképpen oldható fel. Amíg a NetHSM _Locked_ állapotban van, más művelet nem lehetséges. Ezt követően a NetHSM _működőképes_ állapotba kerül.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Jelszó feloldása

A Locking Passphrase a Unlock Key levezetésére szolgál, ha a NetHSM Locked állapotban van. A jelszót a NetHSM üzembe helyezésekor kell beállítani.

Figyelem

A feloldási jelszó nem állítható vissza az aktuális érték ismerete nélkül. Ha a feloldási jelszó elveszik, sem új értékre nem lehet visszaállítani, sem a NetHSM-et nem lehet feloldani.

A Jelszó feloldása a következőképpen állítható be.

nitropyREST API

választható opciók

Opció	Leírás
-n, --new-passphrase TEXT	Az új feloldási jelszó
-p, --current-passphrase TEXT	Az aktuális feloldási jelszó
-f, --force	Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS tanúsítvány

A TLS tanúsítványt a HTTPS alapú REST API használja, és így a nitropy is. A rendelkezésre bocsátás során egy saját aláírt tanúsítvány jön létre. A tanúsítvány helyettesíthető, például egy hitelesítésszolgáltatótól (CA) származó aláírt tanúsítvánnyal. Ebben az esetben egy tanúsítvány aláírási kérelmet (CSR) kell generálni. Aláírás után a tanúsítványt be kell importálni a NetHSM-be.

Módosításra csak akkor van szükség, ha a tanúsítványt le kell cserélni. Ilyen módosítás lehet a tanúsítvány egy tanúsítványkiadó (CA) aláírt tanúsítványával való helyettesítése.

A TLS-tanúsítványt a következőképpen lehet lekérni.

nitropyREST API

Szükséges opciók

Opció	Leírás
-a, --api	Get the certificate for the NetHSM TLS interface

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

A TLS-tanúsítványt a következőképpen lehet létrehozni.

nitropyREST API

Szükséges opciók

Opció	Leírás
-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]	A generált kulcs típusa
-l, --length INTEGER	A generált kulcs hossza

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

A tanúsítvány aláírási kérelme (CSR) a tanúsítványhoz a következőképpen generálható.

nitropyREST API

Szükséges opciók

Opció	Leírás
-a, --api	CSR generálása a NetHSM TLS tanúsítványhoz
--country TEXT	Az ország neve
--state-or-province TEXT	Az állam vagy tartomány neve
--locality TEXT	A helység neve
--organization TEXT	A szervezet neve
--organizational-unit TEXT ``	A szervezeti egység neve
--common-name TEXT	A közös név
--email-address TEXT	Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

A tanúsítvány a következőképpen cserélhető ki.

nitropyREST API

Szükséges opciók

Opció	Leírás
-a, --api	A tanúsítvány beállítása a NetHSM TLS-interfészhez

érvek

Érv	Leírás
FILENAME	Tanúsítvány fájl

Példa

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Hálózat

A hálózati konfiguráció határozza meg a Hálózati port beállításait.

Megjegyzés

This settings do not configure the BMC Network Port on the NetHSM 1.

A hálózati konfiguráció a következőképpen kérhető le.

nitropyREST API

Szükséges opciók

Opció	Leírás
--network	A hálózati konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Állítsa be a hálózati konfigurációt a következőképpen.

Megjegyzés

A NetHSM nem támogatja a DHCP-t (Dynamic Host Configuration Protocol).

Megjegyzés

A NetHSM nem támogatja az IPv6 (Internet Protocol 6-os verziója) protokollt.

nitropyREST API

Szükséges opciók

Opció	Leírás
-a, --ip-address	Az új IP-cím
-n, --netmask	Az új hálózati maszk
-n, --netmask	Az új átjáró

Példa

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Idő

Az időkonfiguráció a NetHSM szoftver rendszeridejét állítja be. A rendszeridő beállítása általában nem szükséges, mivel az a rendszerbeállítás során kerül beállításra.

Az időkonfiguráció a következőképpen kérhető le.

nitropyREST API

Szükséges opciók

Opció	Leírás
--time	A rendszeridő lekérdezése

Példa

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Állítsa be a NetHSM időpontját.

Fontos

Ügyeljen arra, hogy az időt UTC időzónában adja meg.

nitropyREST API

érvek

Érv	Leírás
time	A beállítandó rendszeridő (formátum: ÉÉÉÉÉ-HH-HH-HH:MM:SSZ)

Példa

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mérőszámok

A NetHSM naplózza a rendszerparaméterek metrikáit. Az egyes metrikákról bővebben a Metrics oldalon tájékozódhat.

A metrikák a következőképpen kérhetők le.

nitropyREST API

Szükséges szerepkör

Ehhez a művelethez a Metrics szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Naplózás

A NetHSM naplózhatja a rendszereseményeket a soros portra vagy a hálózaton lévő syslog-kiszolgálóra.

Fontos

Bármely termelési telepítés esetén a NetHSM naplót folyamatosan figyelemmel kell kísérni, hogy azonnali értesítést kapjon az esetleges biztonsági problémákról.

A syslog-kiszolgáló konfigurációja a következőképpen kérhető le.

nitropyREST API

Szükséges opciók

Opció	Leírás
--network	A naplózási konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A syslog-kiszolgáló konfigurációja a következőképpen állítható be.

nitropyREST API

Szükséges opciók

Opció	Leírás
-p, --passphrase TEXT	Az új naplózási célállomás IP-címe
-p, --port INTEGER	Az új naplózási célállomás portja
-l, --log-level [debug|info|warning|error]	Az új naplózási szint

Példa

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

A soros konzol a NetHSM hardver indításától kezdve működik. Tartalmazza a NetHSM firmware és a NetHSM szoftver eseményeit.

A soros konzolkapcsolat beállításai a következők.

A beállítása	Érték
Baud-ráta	115200
Adat bitek	8
Stop bitek	1
Paritás	Nincs
Áramlásszabályozás	Nincs

Biztonsági mentés

A NetHSM felhasználói adatok menthetők egy biztonsági mentési fájlba. Ez a biztonsági másolatfájl tartalmazza az összes Belhasználói adatot, nevezetesen a Konfigurációs tárolót, Autentikációs tárolót, Domain Key Store és Key Store.

Fontos

A felügyelet nélküli indítás módban lévő NetHSM rendszerszoftverhez a Unlock Passphrase kell, ha egy másik NetHSM hardveren állítják vissza. További információkért olvassa el a Unlock Passphrase fejezetet.

Fontos

A Vigyázatlan indítás üzemmódban lévő NetHSM a visszaállítás után ugyanebben az üzemmódban lesz.

A biztonsági mentés elindítása előtt be kell állítani a Backup Passphrase (biztonsági mentés jelszava) jelszót. A Backup Passphrase a biztonsági mentési fájlban lévő adatok titkosítására szolgál.

Figyelem

A tartalék jelszót nem lehet visszaállítani az aktuális érték ismerete nélkül. Ha a biztonsági másolat jelszava elveszik, sem új értékre nem állítható vissza, sem a létrehozott biztonsági másolatok nem állíthatók vissza.

A biztonsági másolat jelszava a következőképpen állítható be.

nitropyREST API

választható opciók

Opció	Leírás
-n, --new-passphrase TEXT	Az új biztonsági másolat jelszava
-p, --current-passphrase TEXT	Az aktuális biztonsági mentés jelszava (vagy egy üres karakterlánc, ha nincs megadva)
-f, --force	Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

A biztonsági mentés a következőképpen hajtható végre.

nitropyREST API

Szükséges szerepkör

Ehhez a művelethez a Backup szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
FILENAME	Biztonsági mentés

Példa

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Visszaállítás

A NetHSM visszaállítható biztonsági másolatból.

• If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.

• Ha a NetHSM a Provisioned címen érhető el, akkor a felhasználók és a felhasználói kulcsok visszaállítása megtörténik, de a rendszerkonfiguráció nem. Ebben az esetben minden korábban létező felhasználó és felhasználói kulcs törlődik. A NetHSM a Operational állapotba kerül.

A helyreállítás a következőképpen alkalmazható.

nitropyREST API

választható opciók

Opció	Leírás
-p, --backup-passphrase passphrase	A Backup Passphrase
-t, --system-time	A beállítandó rendszeridő (formátum: YYYY-MM-DDTHH:MM:SSZ)

Fontos

Győződjön meg arról, hogy a helyi számítógépen helyesen van-e beállítva az idő. Ha más időt szeretne beállítani, kérjük, adja meg manuálisan.

érvek

Érv		Leírás
FILENAME | Fájl visszaállítása

Példa

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Szoftverfrissítés

A szoftverfrissítések kétlépcsős eljárással telepíthetők. Először a frissítési képet fel kell tölteni a Provisioned NetHSM címre. A NetHSM ellenőrzi a kép hitelességét, sértetlenségét és verziószámát. Opcionálisan a NetHSM megjeleníti a kiadási megjegyzéseket, ha vannak ilyenek.

Figyelem

A béta frissítés telepítése miatt adatvesztés következhet be! A stabil verziók nem okozhatnak adatvesztést. A frissítés előtt azonban ajánlott biztonsági mentést készíteni.

Figyelem

Győződjön meg róla, hogy a megfelelő frissítési fájlt telepítette a NetHSM 1 vagy NetHSM 2 hardvermodellhez. A modellt a rendszerinformációban ellenőrizheti.

A frissítési fájl a következőképpen tölthető fel.

nitropyREST API

érvek

Érv	Leírás
FILENAME	Fájl frissítése

Példa

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ezt követően a frissítés alkalmazható vagy megszakítható. Kérjük, olvassa el a kívánt opciót az alábbiakban. Ha a NetHSM-et a „commit” művelet előtt kikapcsolják, a frissítési fájlt újra fel kell tölteni.

Fontos

Ha a frissített kép feltöltése a Error: NetHSM request failed: Bad request -- malformed image címmel sikertelen, kérjük, kövesse az alábbi lépéseket.

1. A megadott aláírással ellenőrizze, hogy érvényes-e a frissítési fájl.

2. Győződjön meg róla, hogy nincs magas naplózási szint, például DEBUG engedélyezve. A naplózási szintek beállításáról bővebben a Naplózás fejezetben olvashat.

3. Indítsa újra a készüléket, hogy felszabadítsa a felhasznált memóriát.

A frissítést a következőképpen lehet alkalmazni (commit). Bármilyen adatmigráció csak a ** után történik, miután a NetHSM sikeresen elindította az új rendszerszoftver-verziót.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

A frissítés a következőképpen törölhető.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Rendszerinformáció

A rendszerinformációk, például a firmware-verzió, a szoftver verziója és a hardver verziója az alábbiak szerint kérhetők le.

nitropyREST API

Példa

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

A NetHSM 1 hardveres verziója a prodrive-hermes-1, a NetHSM 2 pedig a msi-z790-1.

Újraindítás és leállítás

A NetHSM újraindítható és kikapcsolható, akár távolról, akár a NetHSM hardver előlapján található újraindító és kikapcsoló gombbal.

A távoli újraindítás a következőképpen kezdeményezhető.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

A távoli leállítás a következőképpen kezdeményezhető.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gyári alapbeállítások visszaállítása

A Provisioned NetHSM visszaállítható a gyári alapbeállításokra. Ebben az esetben minden felhasználói adat biztonságosan törlődik, és a NetHSM a Unprovisioned állapotba indul. Ezt követően a NetHSM-et provisionálni lehet.

A gyári alapbeállítások visszaállítása a következőképpen hajtható végre.

nitropyREST API

Példa

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Felhasználó kezelése

Szerepek

A NetHSM lehetővé teszi a feladatok szétválasztását különböző szerepkörök alkalmazásával. A NetHSM-en konfigurált minden egyes felhasználói fiókhoz a következő Rollák egyike tartozik.

Szerepvállalás	Leírás
Adminisztrátor	Az ezzel a szereppel rendelkező felhasználói fiók hozzáféréssel rendelkezik a NetHSM által biztosított összes művelethez, kivéve a kulcshasználati műveleteket, azaz az üzenet aláírását és visszafejtését.
Operátor	Az ezzel a szerepkörrel rendelkező felhasználói fiók hozzáféréssel rendelkezik az összes kulcshasználati művelethez, a kulcskezelési műveletek csak olvasható részhalmazához és a csak a saját fiókjának módosítását lehetővé tevő felhasználókezelési műveletekhez.
Metrics	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak olvasható metrikai műveletekhez rendelkezik hozzáféréssel.
Backup	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak a rendszer biztonsági mentésének kezdeményezéséhez szükséges műveletekhez fér hozzá.

Lásd Névterek és Címkék a finomabb hozzáférési korlátozásokért.

Megjegyzés

Egy későbbi kiadásban további Rollák kerülhetnek bevezetésre.

Felhasználó hozzáadása

Adjon hozzá egy felhasználói fiókot a NetHSM-hez. Minden felhasználói fióknak van egy Role, amelyet meg kell adni. A szerepkörökről bővebben a ` Szerepkörök <administration#roles>`__ fejezetben olvashat.

Optionally, a user can be assigned to a Namespace.

Megjegyzés

A felhasználói azonosítónak alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy felhasználói fiókot a következőképpen adhat hozzá.

nitropyREST API

Szükséges opciók

Opció	Leírás
-n, --real-name TEXT	Az új felhasználó valódi neve
-N, --namespace TEXT	Az új felhasználó névtere
-r, --role [Administrator|Operator|Metrics|Backup]	Az új felhasználó szerepe
-p, --passphrase TEXT	Az új felhasználó jelszava

választható opciók

Opció	Leírás
-u, --user-id TEXT	Az új felhasználó felhasználói azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Alapértelmezés szerint a Névtér az új felhasználót hozzáadó felhasználótól öröklődik. Csak a Névtérrel nem rendelkező felhasználók választhatnak más Névteret az új felhasználók számára. A Namespace a felhasználó nevének előtagjaként használatos, például namespace~user. Ezért ugyanaz a felhasználónév több Namespace-ben is használható.

Felhasználó törlése

Felhasználói fiók törlése a NetHSM-ből.

Figyelem

A törlés végleges, és nem lehet visszaállítani.

Egy felhasználói fiók a következőképpen törölhető.

nitropyREST API

érvek

Érv	Leírás
USER_ID	A felhasználó azonosítója.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Felhasználók listája

A NetHSM felhasználóinak listája.

A lista a következőképpen hívható le.

nitropyREST API

választható opciók

Opció	Leírás
--details, --no-details	A felhasználó valódi nevének és szerepének lekérdezése

Példa

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Egy Névtéren belüli felhasználók csak az azonos Névtérben lévő felhasználókat láthatják.

Felhasználói jelszó

A felhasználói fiók jelszava visszaállítható. A jelszót a felhasználói fiók hozzáadásakor kell beállítani.

Megjegyzés

A jelszavaknak >= 10 és <= 200 karakterből kell állniuk.

A felhasználói jelszót a következőképpen lehet beállítani.

nitropyREST API

Szükséges opciók

Opció	Leírás
-u, --user-id TEXT	A felhasználó azonosítója
-p, --passphrase TEXT	A felhasználó új jelszava

Példa

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Névterek

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

A névterek a 2.0-s szoftververzióban kerültek bevezetésre. A szoftver korábbi verziójáról történő áttéréskor az összes meglévő felhasználó és kulcs névtér nélkül marad.

A Rendszergazda szerepkörrel rendelkező felhasználókra R-Adminisztrátor néven is hivatkoznak, ha nem névtérben vannak, vagy N-Adminisztrátor néptérben vannak.

A R-Administrator felhasználókra különleges szabályok vonatkoznak: Ők állíthatják be az új felhasználók Névterét, listázhatják az összes felhasználót, és lekérdezhetik egy felhasználó Névterét. A NetHSM konfigurációjához is csak a R-Adminisztrátor felhasználók férhetnek hozzá. Az R-adminisztrátorok nem láthatják a Namespace kulcsokat.

Ahhoz, hogy kulcsokat és felhasználókat tudjon generálni egy Namespace-ben, a Namespace-t a R-Administrator felhasználónak kell létrehoznia. A Névtér létrehozása után a R-Adminisztrátor felhasználók már nem hozhatnak létre, törölhetnek vagy módosíthatnak felhasználókat a Névtérben. Ez lehetővé teszi a Névterek kulcsainak védelmét, amelyekhez az R-Administrator hozzáférhet (közvetve új felhasználó hozzáadásával vagy a meglévő felhasználó vagy adminisztrátor hitelesítő adatainak visszaállításával is). Ezért a Névtér létrehozása előtt létre kell hozni egy N-Administrator felhasználót a Névtérhez. Az R-Adminisztrátor felhasználók törölhetik a Névteret az összes benne lévő kulccsal együtt.

Névterek listája

A NetHSM névtereinek felsorolása.

A lista a következőképpen hívható le.

nitropyREST API

Példa

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Névtér hozzáadása

Névtér hozzáadása a NetHSM-hez.

R-Adminisztrátor A felhasználók már a Névtér létrehozása előtt új fiókokat hozhatnak létre a Névtérben. A létrehozás után csak a N-Adminisztrátor felhasználók kezelhetik a felhasználókat a Névtérben. A Namespace-ben kulcsok létrehozása és használata csak a Namespace hozzáadása után lehetséges.

Megjegyzés

A névtér azonosítójának alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy névteret a következőképpen lehet hozzáadni.

nitropyREST API

érvek

Érv		Leírás
NAMESPACE | Az új Namespace.

Példa

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Névtér törlése

Névtér törlése a NetHSM-ből.

Egy névtér törlése a névtér összes kulcsát is törli. A névtérben maradó felhasználók nem tudnak kulcsokat hozzáadni, amíg a névteret újra hozzá nem adják.

Egy névtér a következőképpen törölhető.

nitropyREST API

érvek

Érv	Leírás
„NAMESPACE	A törlendő névtér.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Címkék a felhasználók számára

A címkék a kulcsok finomabb hozzáférési korlátozásainak beállítására használhatók, és opcionális funkció. Egy vagy több Címke csak a Operator szerepkörrel rendelkező felhasználói fiókokhoz rendelhető. A Operátorok minden kulcsot láthatnak, de csak azokat használhatják, amelyekhez legalább egy megfelelő Címke tartozik. Egy kulcsot nem módosíthat egy Operator felhasználó.

A címkék kulcsokon való használatáról a Címkék kulcsokhoz oldalon olvashat.

A címke a következőképpen adható hozzá.

nitropyREST API

érvek

Érv	Leírás
USER_ID	A felhasználói azonosító, amelyre a címkét be kell állítani.
TAG	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

nitropyREST API

érvek

Érv	Leírás
USER_ID	A felhasználói azonosító, amelyre a címkét be kell állítani.
TAG	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443