Adminisztráció¶

Ez a fejezet a Administrator szerepkörrel rendelkező felhasználók rendszergazdai feladatait írja le. A szerepkörről bővebben a Szerepkörök fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Rendszerirányítás¶

Eszközinformációk¶

A NetHSM gyártó- és termékinformációi a következőképpen kérhetők le.

Példa

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot üzemmód¶

A NetHSM használható Vigyázott indítás és Vigyázatlan indítás üzemmódban.

Boot üzemmód	Leírás
Részt vett Boot	A NetHSM a _Locked_ állapotba indul. Minden indításkor be kell írni a Unlock Passphrase jelszót, amely a felhasználói adatok visszafejtésére szolgál. Biztonsági okokból ez az üzemmód ajánlott, és ez az alapértelmezett üzemmód egy frissen feltöltött rendszer esetében.
Unattended Boot	A rendszer felügyelet nélkül, a Unlock Passphrase megadása nélkül indul _Operational_ állapotba. Akkor használja ezt az üzemmódot, ha a rendelkezésre állási követelményeket nem lehet teljesíteni a Attended Boot üzemmóddal.

Figyelem

Az indítási módtól függetlenül a Unlock Passphrase érvényességét megőrzi, és szükséges a biztonsági mentések más hardveren történő visszaállításához. A Unlock Passphrase jelszót mindig tartsa biztonságban.

Az aktuális indítási mód a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Az indítási mód a következőképpen módosítható. A következő indításkor a NetHSM ennek megfelelően fog viselkedni.

érvek

Érv	Leírás
Állapot	Engedélyezi vagy letiltja a Vigyázatlan indítást. Lehet értéke `on` vagy `off`.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Állam¶

A NetHSM szoftver négy állapottal rendelkezik: Előkészítetlen, Készenlétbe helyezett, Zárolt és Működőképes.

Állam	Leírás
Előkészítetlen	NetHSM konfiguráció nélkül (gyári alapértelmezés)
Provisioned	NetHSM konfigurációval. A Provisioned állapot Operational vagy Locked állapotot jelent.
Operational	NetHSM konfigurációval és parancsok végrehajtására kész. Az Operational állapot a Provisioned állapotot feltételezi.
Locked	NetHSM konfigurációval, de titkosított és elérhetetlen adattárolókkal. A következő lépés jellemzően a rendszer feloldása. A Locked állapot magában foglalja a Provisioned állapotot.

A NetHSM aktuális állapota a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Egy új NetHSM a Unprovisioned állapotot foglalja el, és a rendelkezésre bocsátás után a Operational állapotba kerül. A NetHSM üzembe helyezését a Provisioning fejezetben ismertetjük.

Az működő állapotban lévő NetHSM-et a következő módon lehet újra lezárni a védelme érdekében.

Példa

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

A Locked állapotban lévő NetHSM a következőképpen oldható fel. Amíg a NetHSM _Locked_ állapotban van, más művelet nem lehetséges. Ezt követően a NetHSM _működőképes_ állapotba kerül.

Példa

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Jelszó feloldása¶

A Locking Passphrase a Unlock Key levezetésére szolgál, ha a NetHSM Locked állapotban van. A jelszót a NetHSM üzembe helyezésekor kell beállítani.

Figyelem

A feloldási jelszó nem állítható vissza az aktuális érték ismerete nélkül. Ha a feloldási jelszó elveszik, sem új értékre nem lehet visszaállítani, sem a NetHSM-et nem lehet feloldani.

A Jelszó feloldása a következőképpen állítható be.

választható opciók

Opció	Leírás
`-n`, `--new-passphrase` `TEXT`	Az új feloldási jelszó
`-p`, `--current-passphrase` `TEXT`	Az aktuális feloldási jelszó
`-f`, `--force`	Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS tanúsítvány¶

A TLS tanúsítványt a HTTPS alapú REST API használja, és így a nitropy is. A rendelkezésre bocsátás során egy saját aláírt tanúsítvány jön létre. A tanúsítvány helyettesíthető, például egy hitelesítésszolgáltatótól (CA) származó aláírt tanúsítvánnyal. Ebben az esetben egy tanúsítvány aláírási kérelmet (CSR) kell generálni. Aláírás után a tanúsítványt be kell importálni a NetHSM-be.

Módosításra csak akkor van szükség, ha a tanúsítványt le kell cserélni. Ilyen módosítás lehet a tanúsítvány egy tanúsítványkiadó (CA) aláírt tanúsítványával való helyettesítése.

A TLS-tanúsítványt a következőképpen lehet lekérni.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	Get the certificate for the NetHSM TLS interface

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

A TLS-tanúsítványt a következőképpen lehet létrehozni.

Szükséges opciók

Opció	Leírás
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	A generált kulcs típusa
`-l`, `--length` `INTEGER`	A generált kulcs hossza

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

A tanúsítvány aláírási kérelme (CSR) a tanúsítványhoz a következőképpen generálható.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	CSR generálása a NetHSM TLS tanúsítványhoz
`--country` `TEXT`	Az ország neve
`--state-or-province` `TEXT`	Az állam vagy tartomány neve
`--locality` `TEXT`	A helység neve
`--organization` `TEXT`	A szervezet neve
`--organizational-unit` `TEXT` ``	A szervezeti egység neve
`--common-name` `TEXT`	A közös név
`--email-address` `TEXT`	Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

A tanúsítvány a következőképpen cserélhető ki.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	A tanúsítvány beállítása a NetHSM TLS-interfészhez

érvek

Érv	Leírás
`FILENAME`	Tanúsítvány fájl

Példa

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Hálózat¶

A hálózati konfiguráció határozza meg a Hálózati port beállításait.

Megjegyzés

This settings do not configure the BMC Network Port on the NetHSM 1.

A hálózati konfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--network`	A hálózati konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Állítsa be a hálózati konfigurációt a következőképpen.

Megjegyzés

A NetHSM nem támogatja a DHCP-t (Dynamic Host Configuration Protocol).

Megjegyzés

A NetHSM nem támogatja az IPv6 (Internet Protocol 6-os verziója) protokollt.

Szükséges opciók

Opció	Leírás
`-a`, `--ip-address`	Az új IP-cím
`-n`, `--netmask`	Az új hálózati maszk
`-n`, `--netmask`	Az új átjáró

Példa

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Idő¶

Az időkonfiguráció a NetHSM szoftver rendszeridejét állítja be. A rendszeridő beállítása általában nem szükséges, mivel az a rendszerbeállítás során kerül beállításra.

Az időkonfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--time`	A rendszeridő lekérdezése

Példa

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Állítsa be a NetHSM időpontját.

Fontos

Ügyeljen arra, hogy az időt UTC időzónában adja meg.

érvek

Érv	Leírás
`time`	A beállítandó rendszeridő (formátum: ÉÉÉÉÉ-HH-HH-HH:MM:SSZ)

Példa

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mérőszámok¶

A NetHSM naplózza a rendszerparaméterek metrikáit. Az egyes metrikákról bővebben a Metrics oldalon tájékozódhat.

A metrikák a következőképpen kérhetők le.

Szükséges szerepkör

Ehhez a művelethez a Metrics szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Naplózás¶

A NetHSM naplózhatja a rendszereseményeket a soros portra vagy a hálózaton lévő syslog-kiszolgálóra.

Fontos

Bármely termelési telepítés esetén a NetHSM naplót folyamatosan figyelemmel kell kísérni, hogy azonnali értesítést kapjon az esetleges biztonsági problémákról.

A syslog-kiszolgáló konfigurációja a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--network`	A naplózási konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A syslog-kiszolgáló konfigurációja a következőképpen állítható be.

Szükséges opciók

Opció	Leírás
`-p`, `--passphrase` `TEXT`	Az új naplózási célállomás IP-címe
`-p`, `--port` `INTEGER`	Az új naplózási célállomás portja
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Az új naplózási szint

Példa

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

A soros konzol a NetHSM hardver indításától kezdve működik. Tartalmazza a NetHSM firmware és a NetHSM szoftver eseményeit.

A soros konzolkapcsolat beállításai a következők.

A beállítása	Érték
Baud-ráta	115200
Adat bitek	8
Stop bitek	1
Paritás	Nincs
Áramlásszabályozás	Nincs

Biztonsági mentés¶

A NetHSM felhasználói adatok menthetők egy biztonsági mentési fájlba. Ez a biztonsági másolatfájl tartalmazza az összes Belhasználói adatot, nevezetesen a Konfigurációs tárolót, Autentikációs tárolót, Domain Key Store és Key Store.

Fontos

A felügyelet nélküli indítás módban lévő NetHSM rendszerszoftverhez a Unlock Passphrase kell, ha egy másik NetHSM hardveren állítják vissza. További információkért olvassa el a Unlock Passphrase fejezetet.

Fontos

A Vigyázatlan indítás üzemmódban lévő NetHSM a visszaállítás után ugyanebben az üzemmódban lesz.

A biztonsági mentés elindítása előtt be kell állítani a Backup Passphrase (biztonsági mentés jelszava) jelszót. A Backup Passphrase a biztonsági mentési fájlban lévő adatok titkosítására szolgál.

Figyelem

A tartalék jelszót nem lehet visszaállítani az aktuális érték ismerete nélkül. Ha a biztonsági másolat jelszava elveszik, sem új értékre nem állítható vissza, sem a létrehozott biztonsági másolatok nem állíthatók vissza.

A biztonsági másolat jelszava a következőképpen állítható be.

választható opciók

Opció	Leírás
`-n`, `--new-passphrase` `TEXT`	Az új biztonsági másolat jelszava
`-p`, `--current-passphrase` `TEXT`	Az aktuális biztonsági mentés jelszava (vagy egy üres karakterlánc, ha nincs megadva)
`-f`, `--force`	Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

A biztonsági mentés a következőképpen hajtható végre.

Szükséges szerepkör

Ehhez a művelethez a Backup szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`FILENAME`	Biztonsági mentés

Példa

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Visszaállítás¶

A NetHSM visszaállítható biztonsági másolatból.

If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Ha a NetHSM a Provisioned címen érhető el, akkor a felhasználók és a felhasználói kulcsok visszaállítása megtörténik, de a rendszerkonfiguráció nem. Ebben az esetben minden korábban létező felhasználó és felhasználói kulcs törlődik. A NetHSM a Operational állapotba kerül.

A helyreállítás a következőképpen alkalmazható.

választható opciók

Opció	Leírás
`-p`, `--backup-passphrase` `passphrase`	A Backup Passphrase
`-t`, `--system-time`	A beállítandó rendszeridő (formátum: `YYYY-MM-DDTHH:MM:SSZ`)

Fontos

Győződjön meg arról, hogy a helyi számítógépen helyesen van-e beállítva az idő. Ha más időt szeretne beállítani, kérjük, adja meg manuálisan.

érvek

Érv		Leírás
`FILENAME` \| Fájl visszaállítása

Példa

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication¶

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Szoftverfrissítés¶

A szoftverfrissítések kétlépcsős eljárással telepíthetők. Először a frissítési képet fel kell tölteni a Provisioned NetHSM címre. A NetHSM ellenőrzi a kép hitelességét, sértetlenségét és verziószámát. Opcionálisan a NetHSM megjeleníti a kiadási megjegyzéseket, ha vannak ilyenek.

Figyelem

A béta frissítés telepítése miatt adatvesztés következhet be! A stabil verziók nem okozhatnak adatvesztést. A frissítés előtt azonban ajánlott biztonsági mentést készíteni.

A frissítési fájl a következőképpen tölthető fel.

érvek

Érv	Leírás
`FILENAME`	Fájl frissítése

Példa

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ezt követően a frissítés alkalmazható vagy megszakítható. Kérjük, olvassa el a kívánt opciót az alábbiakban. Ha a NetHSM-et a „commit” művelet előtt kikapcsolják, a frissítési fájlt újra fel kell tölteni.

Fontos

Ha a frissített kép feltöltése a Error: NetHSM request failed: Bad request -- malformed image címmel sikertelen, kérjük, kövesse az alábbi lépéseket.

A megadott aláírással ellenőrizze, hogy érvényes-e a frissítési fájl.
Győződjön meg róla, hogy nincs magas naplózási szint, például DEBUG engedélyezve. A naplózási szintek beállításáról bővebben a Naplózás fejezetben olvashat.
Indítsa újra a készüléket, hogy felszabadítsa a felhasznált memóriát.

A frissítést a következőképpen lehet alkalmazni (commit). Bármilyen adatmigráció csak a ** után történik, miután a NetHSM sikeresen elindította az új rendszerszoftver-verziót.

Példa

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

A frissítés a következőképpen törölhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Rendszerinformáció¶

A rendszerinformációk, például a firmware-verzió, a szoftver verziója és a hardver verziója az alábbiak szerint kérhetők le.

Példa

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

Újraindítás és leállítás¶

A NetHSM újraindítható és kikapcsolható, akár távolról, akár a NetHSM hardver előlapján található újraindító és kikapcsoló gombbal.

A távoli újraindítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

A távoli leállítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gyári alapbeállítások visszaállítása¶

A Provisioned NetHSM visszaállítható a gyári alapbeállításokra. Ebben az esetben minden felhasználói adat biztonságosan törlődik, és a NetHSM a Unprovisioned állapotba indul. Ezt követően a NetHSM-et provisionálni lehet.

A gyári alapbeállítások visszaállítása a következőképpen hajtható végre.

Példa

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Felhasználó kezelése¶

Szerepek¶

A NetHSM lehetővé teszi a feladatok szétválasztását különböző szerepkörök alkalmazásával. A NetHSM-en konfigurált minden egyes felhasználói fiókhoz a következő Rollák egyike tartozik.

Szerepvállalás	Leírás
Adminisztrátor	Az ezzel a szereppel rendelkező felhasználói fiók hozzáféréssel rendelkezik a NetHSM által biztosított összes művelethez, kivéve a kulcshasználati műveleteket, azaz az üzenet aláírását és visszafejtését.
Operátor	Az ezzel a szerepkörrel rendelkező felhasználói fiók hozzáféréssel rendelkezik az összes kulcshasználati művelethez, a kulcskezelési műveletek csak olvasható részhalmazához és a csak a saját fiókjának módosítását lehetővé tevő felhasználókezelési műveletekhez.
Metrics	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak olvasható metrikai műveletekhez rendelkezik hozzáféréssel.
Backup	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak a rendszer biztonsági mentésének kezdeményezéséhez szükséges műveletekhez fér hozzá.

Lásd Névterek és Címkék a finomabb hozzáférési korlátozásokért.

Megjegyzés

Egy későbbi kiadásban további Rollák kerülhetnek bevezetésre.

Felhasználó hozzáadása¶

Adjon hozzá egy felhasználói fiókot a NetHSM-hez. Minden felhasználói fióknak van egy Role, amelyet meg kell adni. A szerepkörökről bővebben a ` Szerepkörök <administration#roles>`__ fejezetben olvashat.

Opcionálisan egy felhasználó a *Névtér* nevéhez is hozzárendelhető.

Megjegyzés

A felhasználói azonosítónak alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy felhasználói fiókot a következőképpen adhat hozzá.

Szükséges opciók

Opció	Leírás
`-n`, `--real-name` `TEXT`	Az új felhasználó valódi neve
`-N`, `--namespace` `TEXT`	Az új felhasználó névtere
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Az új felhasználó szerepe
`-p`, `--passphrase` `TEXT`	Az új felhasználó jelszava

választható opciók

Opció	Leírás
`-u`, `--user-id` `TEXT`	Az új felhasználó felhasználói azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Alapértelmezés szerint a Névtér az új felhasználót hozzáadó felhasználótól öröklődik. Csak a Névtérrel nem rendelkező felhasználók választhatnak más Névteret az új felhasználók számára. A Namespace a felhasználó nevének előtagjaként használatos, például namespace~user. Ezért ugyanaz a felhasználónév több Namespace-ben is használható.

Felhasználó törlése¶

Felhasználói fiók törlése a NetHSM-ből.

Figyelem

A törlés végleges, és nem lehet visszaállítani.

Egy felhasználói fiók a következőképpen törölhető.

érvek

Érv	Leírás
`USER_ID`	A felhasználó azonosítója.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Felhasználók listája¶

A NetHSM felhasználóinak listája.

A lista a következőképpen hívható le.

választható opciók

Opció	Leírás
`--details`, `--no-details`	A felhasználó valódi nevének és szerepének lekérdezése

Példa

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Egy Névtéren belüli felhasználók csak az azonos Névtérben lévő felhasználókat láthatják.

Felhasználói jelszó¶

A felhasználói fiók jelszava visszaállítható. A jelszót a felhasználói fiók hozzáadásakor kell beállítani.

Megjegyzés

A jelszavaknak >= 10 és <= 200 karakterből kell állniuk.

A felhasználói jelszót a következőképpen lehet beállítani.

Szükséges opciók

Opció	Leírás
`-u`, `--user-id` `TEXT`	A felhasználó azonosítója
`-p`, `--passphrase` `TEXT`	A felhasználó új jelszava

Példa

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Névterek¶

A névterek a 2.0-s szoftververzióban kerültek bevezetésre. A szoftver korábbi verziójáról történő áttéréskor az összes meglévő felhasználó és kulcs névtér nélkül marad.

A partíciók koncepciójához hasonlóan a NetHSM is támogatja a rugalmasabb Namespaces, amely a NetHSM-en lévő kulcsokat, rendszergazdákat és felhasználókat külön részhalmazokba csoportosítja. A felhasználók csak az azonos Névtérben lévő kulcsokat láthatják és használhatják, és csak az azonos Névtérben lévő felhasználókat láthatják. Nem lehetséges, hogy más Névterek felhasználóit lássák, illetve más Névterek kulcsait lássák és használják. Új felhasználó létrehozásakor az új felhasználó az őt létrehozó felhasználó Namespace-jét örökli. A rendelkezésre álló tárolókapacitás az összes Névtér között megoszlik.

A Rendszergazda szerepkörrel rendelkező felhasználókra R-Adminisztrátor néven is hivatkoznak, ha nem névtérben vannak, vagy N-Adminisztrátor néptérben vannak.

A R-Administrator felhasználókra különleges szabályok vonatkoznak: Ők állíthatják be az új felhasználók Névterét, listázhatják az összes felhasználót, és lekérdezhetik egy felhasználó Névterét. A NetHSM konfigurációjához is csak a R-Adminisztrátor felhasználók férhetnek hozzá. Az R-adminisztrátorok nem láthatják a Namespace kulcsokat.

Ahhoz, hogy kulcsokat és felhasználókat tudjon generálni egy Namespace-ben, a Namespace-t a R-Administrator felhasználónak kell létrehoznia. A Névtér létrehozása után a R-Adminisztrátor felhasználók már nem hozhatnak létre, törölhetnek vagy módosíthatnak felhasználókat a Névtérben. Ez lehetővé teszi a Névterek kulcsainak védelmét, amelyekhez az R-Administrator hozzáférhet (közvetve új felhasználó hozzáadásával vagy a meglévő felhasználó vagy adminisztrátor hitelesítő adatainak visszaállításával is). Ezért a Névtér létrehozása előtt létre kell hozni egy N-Administrator felhasználót a Névtérhez. Az R-Adminisztrátor felhasználók törölhetik a Névteret az összes benne lévő kulccsal együtt.

Névterek listája¶

A NetHSM névtereinek felsorolása.

A lista a következőképpen hívható le.

Példa

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Névtér hozzáadása¶

Névtér hozzáadása a NetHSM-hez.

R-Adminisztrátor A felhasználók már a Névtér létrehozása előtt új fiókokat hozhatnak létre a Névtérben. A létrehozás után csak a N-Adminisztrátor felhasználók kezelhetik a felhasználókat a Névtérben. A Namespace-ben kulcsok létrehozása és használata csak a Namespace hozzáadása után lehetséges.

Megjegyzés

A névtér azonosítójának alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy névteret a következőképpen lehet hozzáadni.

érvek

Érv		Leírás
`NAMESPACE` \| Az új Namespace.

Példa

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Névtér törlése¶

Névtér törlése a NetHSM-ből.

Egy névtér törlése a névtér összes kulcsát is törli. A névtérben maradó felhasználók nem tudnak kulcsokat hozzáadni, amíg a névteret újra hozzá nem adják.

Egy névtér a következőképpen törölhető.

érvek

Érv	Leírás
„NAMESPACE	A törlendő névtér.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Címkék a felhasználók számára¶

A címkék a kulcsok finomabb hozzáférési korlátozásainak beállítására használhatók, és opcionális funkció. Egy vagy több Címke csak a Operator szerepkörrel rendelkező felhasználói fiókokhoz rendelhető. A Operátorok minden kulcsot láthatnak, de csak azokat használhatják, amelyekhez legalább egy megfelelő Címke tartozik. Egy kulcsot nem módosíthat egy Operator felhasználó.

A címkék kulcsokon való használatáról a Címkék kulcsokhoz oldalon olvashat.

A címke a következőképpen adható hozzá.

érvek

Érv	Leírás
`USER_ID`	A felhasználói azonosító, amelyre a címkét be kell állítani.
`TAG`	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

érvek

Érv	Leírás
`USER_ID`	A felhasználói azonosító, amelyre a címkét be kell állítani.
`TAG`	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443