Adminisztráció

Ez a fejezet a Administrator szerepkörrel rendelkező felhasználók rendszergazdai feladatait írja le. A szerepkörről bővebben a Szerepkörök fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Rendszerirányítás

Eszközinformációk

A NetHSM gyártó- és termékinformációi a következőképpen kérhetők le.

Példa

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot üzemmód

A NetHSM használható Vigyázott indítás és Vigyázatlan indítás üzemmódban.

Boot üzemmód

Leírás

Részt vett Boot

A NetHSM a _Locked_ állapotba indul. Minden indításkor be kell írni a Unlock Passphrase jelszót, amely a felhasználói adatok visszafejtésére szolgál. Biztonsági okokból ez az üzemmód ajánlott, és ez az alapértelmezett üzemmód egy frissen feltöltött rendszer esetében.

Unattended Boot

A rendszer felügyelet nélkül, a Unlock Passphrase megadása nélkül indul _Operational_ állapotba. Akkor használja ezt az üzemmódot, ha a rendelkezésre állási követelményeket nem lehet teljesíteni a Attended Boot üzemmóddal.

Figyelem

Az indítási módtól függetlenül a Unlock Passphrase érvényességét megőrzi, és szükséges a biztonsági mentések más hardveren történő visszaállításához. A Unlock Passphrase jelszót mindig tartsa biztonságban.

Az aktuális indítási mód a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Az indítási mód a következőképpen módosítható. A következő indításkor a NetHSM ennek megfelelően fog viselkedni.

érvek

Érv

Leírás

Állapot

Engedélyezi vagy letiltja a Vigyázatlan indítást. Lehet értéke on vagy off.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Állam

A NetHSM szoftver négy állapottal rendelkezik: Előkészítetlen, Készenlétbe helyezett, Zárolt és Működőképes.

Állam

Leírás

Előkészítetlen

NetHSM konfiguráció nélkül (gyári alapértelmezés)

Provisioned

NetHSM konfigurációval. A Provisioned állapot Operational vagy Locked állapotot jelent.

Operational

NetHSM konfigurációval és parancsok végrehajtására kész. Az Operational állapot a Provisioned állapotot feltételezi.

Locked

NetHSM konfigurációval, de titkosított és elérhetetlen adattárolókkal. A következő lépés jellemzően a rendszer feloldása. A Locked állapot magában foglalja a Provisioned állapotot.

A NetHSM állapotai és átmenetei

A NetHSM állapotai és átmenetei


A NetHSM aktuális állapota a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Egy új NetHSM a Unprovisioned állapotot foglalja el, és a rendelkezésre bocsátás után a Operational állapotba kerül. A NetHSM üzembe helyezését a Provisioning fejezetben ismertetjük.

Az működő állapotban lévő NetHSM-et a következő módon lehet újra lezárni a védelme érdekében.

Példa

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

A Locked állapotban lévő NetHSM a következőképpen oldható fel. Amíg a NetHSM _Locked_ állapotban van, más művelet nem lehetséges. Ezt követően a NetHSM _működőképes_ állapotba kerül.

Példa

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Jelszó feloldása

A Locking Passphrase a Unlock Key levezetésére szolgál, ha a NetHSM Locked állapotban van. A jelszót a NetHSM üzembe helyezésekor kell beállítani.

Figyelem

A feloldási jelszó nem állítható vissza az aktuális érték ismerete nélkül. Ha a feloldási jelszó elveszik, sem új értékre nem lehet visszaállítani, sem a NetHSM-et nem lehet feloldani.

A Jelszó feloldása a következőképpen állítható be.

választható opciók

Opció

Leírás

-n, --new-passphrase TEXT

Az új feloldási jelszó

-p, --current-passphrase TEXT

Az aktuális feloldási jelszó

-f, --force

Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS tanúsítvány

A TLS tanúsítványt a HTTPS alapú REST API használja, és így a nitropy is. A rendelkezésre bocsátás során egy saját aláírt tanúsítvány jön létre. A tanúsítvány helyettesíthető, például egy hitelesítésszolgáltatótól (CA) származó aláírt tanúsítvánnyal. Ebben az esetben egy tanúsítvány aláírási kérelmet (CSR) kell generálni. Aláírás után a tanúsítványt be kell importálni a NetHSM-be.

Módosításra csak akkor van szükség, ha a tanúsítványt le kell cserélni. Ilyen módosítás lehet a tanúsítvány egy tanúsítványkiadó (CA) aláírt tanúsítványával való helyettesítése.

A TLS-tanúsítványt a következőképpen lehet lekérni.

Szükséges opciók

Opció

Leírás

-a, --api

Get the certificate for the NetHSM TLS interface

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

A TLS-tanúsítványt a következőképpen lehet létrehozni.

Szükséges opciók

Opció

Leírás

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

A generált kulcs típusa

-l, --length INTEGER

A generált kulcs hossza

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

A tanúsítvány aláírási kérelme (CSR) a tanúsítványhoz a következőképpen generálható.

Szükséges opciók

Opció

Leírás

-a, --api

CSR generálása a NetHSM TLS tanúsítványhoz

--country TEXT

Az ország neve

--state-or-province TEXT

Az állam vagy tartomány neve

--locality TEXT

A helység neve

--organization TEXT

A szervezet neve

--organizational-unit TEXT ``

A szervezeti egység neve

--common-name TEXT

A közös név

--email-address TEXT

Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

A tanúsítvány a következőképpen cserélhető ki.

Szükséges opciók

Opció

Leírás

-a, --api

A tanúsítvány beállítása a NetHSM TLS-interfészhez

érvek

Érv

Leírás

FILENAME

Tanúsítvány fájl

Példa

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Hálózat

A hálózati konfiguráció határozza meg a Hálózati port beállításait.

Megjegyzés

Ez a beállítás nem konfigurálja a BMC hálózati portot.

A hálózati konfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció

Leírás

--network

A hálózati konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Állítsa be a hálózati konfigurációt a következőképpen.

Megjegyzés

A NetHSM nem támogatja a DHCP-t (Dynamic Host Configuration Protocol).

Megjegyzés

A NetHSM nem támogatja az IPv6 (Internet Protocol 6-os verziója) protokollt.

Szükséges opciók

Opció

Leírás

-a, --ip-address

Az új IP-cím

-n, --netmask

Az új hálózati maszk

-n, --netmask

Az új átjáró

Példa

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Idő

Az időkonfiguráció a NetHSM szoftver rendszeridejét állítja be. A rendszeridő beállítása általában nem szükséges, mivel az a rendszerbeállítás során kerül beállításra.

Az időkonfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció

Leírás

--time

A rendszeridő lekérdezése

Példa

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Állítsa be a NetHSM időpontját.

Fontos

Ügyeljen arra, hogy az időt UTC időzónában adja meg.

érvek

Érv

Leírás

time

A beállítandó rendszeridő (formátum: ÉÉÉÉÉ-HH-HH-HH:MM:SSZ)

Példa

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Mérőszámok

A NetHSM naplózza a rendszerparaméterek metrikáit. Az egyes metrikákról bővebben a Metrics oldalon tájékozódhat.

A metrikák a következőképpen kérhetők le.

Szükséges szerepkör

Ehhez a művelethez a Metrics szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Naplózás

A NetHSM naplózhatja a rendszereseményeket a soros portra vagy a hálózaton lévő syslog-kiszolgálóra.

Fontos

Bármely termelési telepítés esetén a NetHSM naplót folyamatosan figyelemmel kell kísérni, hogy azonnali értesítést kapjon az esetleges biztonsági problémákról.

A syslog-kiszolgáló konfigurációja a következőképpen kérhető le.

Szükséges opciók

Opció

Leírás

--network

A naplózási konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A syslog-kiszolgáló konfigurációja a következőképpen állítható be.

Szükséges opciók

Opció

Leírás

-p, --passphrase TEXT

Az új naplózási célállomás IP-címe

-p, --port INTEGER

Az új naplózási célállomás portja

-l, --log-level [debug|info|warning|error]

Az új naplózási szint

Példa

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

A soros konzol a NetHSM hardver indításától kezdve működik. Tartalmazza a NetHSM firmware és a NetHSM szoftver eseményeit.

A soros konzolkapcsolat beállításai a következők.

A beállítása

Érték

Baud-ráta

115200

Adat bitek

8

Stop bitek

1

Paritás

Nincs

Áramlásszabályozás

Nincs

Biztonsági mentés

A NetHSM felhasználói adatok menthetők egy biztonsági mentési fájlba. Ez a biztonsági másolatfájl tartalmazza az összes Belhasználói adatot, nevezetesen a Konfigurációs tárolót, Autentikációs tárolót, Domain Key Store és Key Store.

Fontos

A felügyelet nélküli indítás módban lévő NetHSM rendszerszoftverhez a Unlock Passphrase kell, ha egy másik NetHSM hardveren állítják vissza. További információkért olvassa el a Unlock Passphrase fejezetet.

Fontos

A Vigyázatlan indítás üzemmódban lévő NetHSM a visszaállítás után ugyanebben az üzemmódban lesz.

A biztonsági mentés elindítása előtt be kell állítani a Backup Passphrase (biztonsági mentés jelszava) jelszót. A Backup Passphrase a biztonsági mentési fájlban lévő adatok titkosítására szolgál.

Figyelem

A tartalék jelszót nem lehet visszaállítani az aktuális érték ismerete nélkül. Ha a biztonsági másolat jelszava elveszik, sem új értékre nem állítható vissza, sem a létrehozott biztonsági másolatok nem állíthatók vissza.

A biztonsági másolat jelszava a következőképpen állítható be.

választható opciók

Opció

Leírás

-n, --new-passphrase TEXT

Az új biztonsági másolat jelszava

-p, --current-passphrase TEXT

Az aktuális biztonsági mentés jelszava (vagy egy üres karakterlánc, ha nincs megadva)

-f, --force

Ne kérjen megerősítést a jelszó módosítása előtt.

Példa

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

A biztonsági mentés a következőképpen hajtható végre.

Szükséges szerepkör

Ehhez a művelethez a Backup szerepkörrel történő hitelesítés szükséges.

érvek

Érv

Leírás

FILENAME

Biztonsági mentés

Példa

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Visszaállítás

A NetHSM visszaállítható biztonsági másolatból.

  • Ha a NetHSM Nem engedélyezett, akkor visszaállítja az összes felhasználói adatot beleértve a rendszerkonfigurációt és az újraindítást. Ezért előfordulhat, hogy a rendszer utólag eltérő hálózati beállításokat, TLS-tanúsítványt és Unlock Passphrase jelszót kap.

  • Ha a NetHSM a Provisioned címen érhető el, akkor a felhasználók és a felhasználói kulcsok visszaállítása megtörténik, de a rendszerkonfiguráció nem. Ebben az esetben minden korábban létező felhasználó és felhasználói kulcs törlődik. A NetHSM a Operational állapotba kerül.

A helyreállítás a következőképpen alkalmazható.

választható opciók

Opció

Leírás

-p, --backup-passphrase passphrase

A Backup Passphrase

-t, --system-time

A beállítandó rendszeridő (formátum: YYYY-MM-DDTHH:MM:SSZ)

Fontos

Győződjön meg arról, hogy a helyi számítógépen helyesen van-e beállítva az idő. Ha más időt szeretne beállítani, kérjük, adja meg manuálisan.

érvek

Érv

Leírás

FILENAME | Fájl visszaállítása

Példa

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Szoftverfrissítés

A szoftverfrissítések kétlépcsős eljárással telepíthetők. Először a frissítési képet fel kell tölteni a Provisioned NetHSM címre. A NetHSM ellenőrzi a kép hitelességét, sértetlenségét és verziószámát. Opcionálisan a NetHSM megjeleníti a kiadási megjegyzéseket, ha vannak ilyenek.

Figyelem

A béta frissítés telepítése miatt adatvesztés következhet be! A stabil verziók nem okozhatnak adatvesztést. A frissítés előtt azonban ajánlott biztonsági mentést készíteni.

A frissítési fájl a következőképpen tölthető fel.

érvek

Érv

Leírás

FILENAME

Fájl frissítése

Példa

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ezt követően a frissítés alkalmazható vagy megszakítható. Kérjük, olvassa el a kívánt opciót az alábbiakban. Ha a NetHSM-et a „commit” művelet előtt kikapcsolják, a frissítési fájlt újra fel kell tölteni.

Fontos

Ha a frissített kép feltöltése a Error: NetHSM request failed: Bad request -- malformed image címmel sikertelen, kérjük, kövesse az alábbi lépéseket.

  1. A megadott aláírással ellenőrizze, hogy érvényes-e a frissítési fájl.

  2. Győződjön meg róla, hogy nincs magas naplózási szint, például DEBUG engedélyezve. A naplózási szintek beállításáról bővebben a Naplózás fejezetben olvashat.

  3. Indítsa újra a készüléket, hogy felszabadítsa a felhasznált memóriát.

A frissítést a következőképpen lehet alkalmazni (commit). Bármilyen adatmigráció csak a ** után történik, miután a NetHSM sikeresen elindította az új rendszerszoftver-verziót.

Példa

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

A frissítés a következőképpen törölhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Rendszerinformáció

A rendszerinformációk, például a firmware-verzió, a szoftver verziója és a hardver verziója az alábbiak szerint kérhetők le.

Példa

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Újraindítás és leállítás

A NetHSM újraindítható és kikapcsolható, akár távolról, akár a NetHSM hardver előlapján található újraindító és kikapcsoló gombbal.

A távoli újraindítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

A távoli leállítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gyári alapbeállítások visszaállítása

A Provisioned NetHSM visszaállítható a gyári alapbeállításokra. Ebben az esetben minden felhasználói adat biztonságosan törlődik, és a NetHSM a Unprovisioned állapotba indul. Ezt követően a NetHSM-et provisionálni lehet.

A gyári alapbeállítások visszaállítása a következőképpen hajtható végre.

Példa

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Felhasználó kezelése

Szerepek

A NetHSM lehetővé teszi a feladatok szétválasztását különböző szerepkörök alkalmazásával. A NetHSM-en konfigurált minden egyes felhasználói fiókhoz a következő Rollák egyike tartozik.

Szerepvállalás

Leírás

Adminisztrátor

Az ezzel a szereppel rendelkező felhasználói fiók hozzáféréssel rendelkezik a NetHSM által biztosított összes művelethez, kivéve a kulcshasználati műveleteket, azaz az üzenet aláírását és visszafejtését.

Operátor

Az ezzel a szerepkörrel rendelkező felhasználói fiók hozzáféréssel rendelkezik az összes kulcshasználati művelethez, a kulcskezelési műveletek csak olvasható részhalmazához és a csak a saját fiókjának módosítását lehetővé tevő felhasználókezelési műveletekhez.

Metrics

Az ezzel a szerepkörrel rendelkező felhasználói fiók csak olvasható metrikai műveletekhez rendelkezik hozzáféréssel.

Backup

Az ezzel a szerepkörrel rendelkező felhasználói fiók csak a rendszer biztonsági mentésének kezdeményezéséhez szükséges műveletekhez fér hozzá.

Lásd Névterek és Címkék a finomabb hozzáférési korlátozásokért.

Megjegyzés

Egy későbbi kiadásban további Rollák kerülhetnek bevezetésre.

Felhasználó hozzáadása

Adjon hozzá egy felhasználói fiókot a NetHSM-hez. Minden felhasználói fióknak van egy Role, amelyet meg kell adni. A szerepkörökről bővebben a ` Szerepkörök <administration#roles>`__ fejezetben olvashat.

Opcionálisan egy felhasználó a *Névtér* nevéhez is hozzárendelhető.

Megjegyzés

A felhasználói azonosítónak alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy felhasználói fiókot a következőképpen adhat hozzá.

Szükséges opciók

Opció

Leírás

-n, --real-name TEXT

Az új felhasználó valódi neve

-N, --namespace TEXT

Az új felhasználó névtere

-r, --role [Administrator|Operator|Metrics|Backup]

Az új felhasználó szerepe

-p, --passphrase TEXT

Az új felhasználó jelszava

választható opciók

Opció

Leírás

-u, --user-id TEXT

Az új felhasználó felhasználói azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Alapértelmezés szerint a Névtér az új felhasználót hozzáadó felhasználótól öröklődik. Csak a Névtérrel nem rendelkező felhasználók választhatnak más Névteret az új felhasználók számára. A Namespace a felhasználó nevének előtagjaként használatos, például namespace~user. Ezért ugyanaz a felhasználónév több Namespace-ben is használható.

Felhasználó törlése

Felhasználói fiók törlése a NetHSM-ből.

Figyelem

A törlés végleges, és nem lehet visszaállítani.

Egy felhasználói fiók a következőképpen törölhető.

érvek

Érv

Leírás

USER_ID

A felhasználó azonosítója.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Felhasználók listája

A NetHSM felhasználóinak listája.

A lista a következőképpen hívható le.

választható opciók

Opció

Leírás

--details, --no-details

A felhasználó valódi nevének és szerepének lekérdezése

Példa

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Egy Névtéren belüli felhasználók csak az azonos Névtérben lévő felhasználókat láthatják.

Felhasználói jelszó

A felhasználói fiók jelszava visszaállítható. A jelszót a felhasználói fiók hozzáadásakor kell beállítani.

Megjegyzés

A jelszavaknak >= 10 és <= 200 karakterből kell állniuk.

A felhasználói jelszót a következőképpen lehet beállítani.

Szükséges opciók

Opció

Leírás

-u, --user-id TEXT

A felhasználó azonosítója

-p, --passphrase TEXT

A felhasználó új jelszava

Példa

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Névterek

A névterek a 2.0-s szoftververzióban kerültek bevezetésre. A szoftver korábbi verziójáról történő áttéréskor az összes meglévő felhasználó és kulcs névtér nélkül marad.

A partíciók koncepciójához hasonlóan a NetHSM is támogatja a rugalmasabb Namespaces, amely a NetHSM-en lévő kulcsokat, rendszergazdákat és felhasználókat külön részhalmazokba csoportosítja. A felhasználók csak az azonos Névtérben lévő kulcsokat láthatják és használhatják, és csak az azonos Névtérben lévő felhasználókat láthatják. Nem lehetséges, hogy más Névterek felhasználóit lássák, illetve más Névterek kulcsait lássák és használják. Új felhasználó létrehozásakor az új felhasználó az őt létrehozó felhasználó Namespace-jét örökli. A rendelkezésre álló tárolókapacitás az összes Névtér között megoszlik.

A Rendszergazda szerepkörrel rendelkező felhasználókra R-Adminisztrátor néven is hivatkoznak, ha nem névtérben vannak, vagy N-Adminisztrátor néptérben vannak.

A R-Administrator felhasználókra különleges szabályok vonatkoznak: Ők állíthatják be az új felhasználók Névterét, listázhatják az összes felhasználót, és lekérdezhetik egy felhasználó Névterét. A NetHSM konfigurációjához is csak a R-Adminisztrátor felhasználók férhetnek hozzá. Az R-adminisztrátorok nem láthatják a Namespace kulcsokat.

Ahhoz, hogy kulcsokat és felhasználókat tudjon generálni egy Namespace-ben, a Namespace-t a R-Administrator felhasználónak kell létrehoznia. A Névtér létrehozása után a R-Adminisztrátor felhasználók már nem hozhatnak létre, törölhetnek vagy módosíthatnak felhasználókat a Névtérben. Ez lehetővé teszi a Névterek kulcsainak védelmét, amelyekhez az R-Administrator hozzáférhet (közvetve új felhasználó hozzáadásával vagy a meglévő felhasználó vagy adminisztrátor hitelesítő adatainak visszaállításával is). Ezért a Névtér létrehozása előtt létre kell hozni egy N-Administrator felhasználót a Névtérhez. Az R-Adminisztrátor felhasználók törölhetik a Névteret az összes benne lévő kulccsal együtt.

Névterek listája

A NetHSM névtereinek felsorolása.

A lista a következőképpen hívható le.

Példa

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Névtér hozzáadása

Névtér hozzáadása a NetHSM-hez.

R-Adminisztrátor A felhasználók már a Névtér létrehozása előtt új fiókokat hozhatnak létre a Névtérben. A létrehozás után csak a N-Adminisztrátor felhasználók kezelhetik a felhasználókat a Névtérben. A Namespace-ben kulcsok létrehozása és használata csak a Namespace hozzáadása után lehetséges.

Megjegyzés

A névtér azonosítójának alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy névteret a következőképpen lehet hozzáadni.

érvek

Érv

Leírás

NAMESPACE | Az új Namespace.

Példa

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Névtér törlése

Névtér törlése a NetHSM-ből.

Egy névtér törlése a névtér összes kulcsát is törli. A névtérben maradó felhasználók nem tudnak kulcsokat hozzáadni, amíg a névteret újra hozzá nem adják.

Egy névtér a következőképpen törölhető.

érvek

Érv

Leírás

„NAMESPACE

A törlendő névtér.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Címkék a felhasználók számára

A címkék a kulcsok finomabb hozzáférési korlátozásainak beállítására használhatók, és opcionális funkció. Egy vagy több Címke csak a Operator szerepkörrel rendelkező felhasználói fiókokhoz rendelhető. A Operátorok minden kulcsot láthatnak, de csak azokat használhatják, amelyekhez legalább egy megfelelő Címke tartozik. Egy kulcsot nem módosíthat egy Operator felhasználó.

A címkék kulcsokon való használatáról a Címkék kulcsokhoz oldalon olvashat.

A címke a következőképpen adható hozzá.

érvek

Érv

Leírás

USER_ID

A felhasználói azonosító, amelyre a címkét be kell állítani.

TAG

A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

érvek

Érv

Leírás

USER_ID

A felhasználói azonosító, amelyre a címkét be kell állítani.

TAG

A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443