Administracija#

Šiame skyriuje aprašomos administravimo užduotys naudotojams, turintiems Administratoriaus vaidmenį. Daugiau informacijos apie šį vaidmenį rasite skyriuje „Vaidmenys“.

Svarbu

Prieš pradėdami darbą būtinai perskaitykite šio dokumento pradžioje pateiktą informaciją.

Sistemos valdymas#

Įrenginio informacija#

Informaciją apie „NetHSM“ pardavėją ir gaminį galima gauti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Įkrovimo režimas#

NetHSM galima naudoti Attended Boot ir Unattended Boot režimu.

Įkrovimo režimas

Aprašymas

Dalyvavo Boot

NetHSM įkraunamas į _užrakintą_ būseną. Kiekvieno paleidimo metu reikia įvesti atrakinimo slaptažodį, kuris naudojamas naudotojo duomenims iššifruoti. Saugumo sumetimais šis režimas yra rekomenduojamas ir yra numatytasis režimas ką tik įdiegtoje sistemoje.

Neprižiūrimas įkrovimas

Sistema paleidžiama be priežiūros ir nereikia įvesti atrakinimo slaptažodžio į _eksploatacinę_ būseną. Šį režimą naudokite, jei prieinamumo reikalavimų negalima įvykdyti naudojant Attended Boot režimą.

Įspėjimas

Nepriklausomai nuo įkrovos režimo, atrakinimo slaptažodis išlieka galiojantis ir yra reikalingas atkuriant atsargines kopijas kitoje aparatinėje įrangoje. Saugokite Unlock Passphrase slaptažodį bet kuriuo metu.

Dabartinį įkrovos režimą galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Įkrovos režimą galima keisti taip. Kito įkrovimo metu NetHSM elgsis atitinkamai.

Argumentai

Argumentas

Aprašymas

Statusas

Įjungti arba išjungti Unattattended Boot. Gali turėti reikšmę on arba </x>`off.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Valstybė#

NetHSM programinė įranga turi keturias būsenas: Nepaskirta, Paskirta, užrakinta ir veikia.

Valstybė

Aprašymas

Neprovizuotas

NetHSM be konfigūracijos (gamykliniai nustatymai)

Pasirūpinta

NetHSM su konfigūracija. Provisioned būsena reiškia Operational arba Locked būseną.

Darbinis

NetHSM su konfigūracija ir paruoštas vykdyti komandas. Dirbanti būsena reiškia Provisioned būseną.

Užrakinta

NetHSM su konfigūracija, bet užšifruotomis ir neprieinamomis duomenų saugyklomis. Paprastai kitas žingsnis - atrakinti sistemą. * Užrakinta* būsena reiškia Užtikrinta būseną.

NetHSM būsenos ir perėjimai

NetHSM būsenos ir perėjimai#


Dabartinę NetHSM būseną galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Naujas NetHSM turi Unprovisioned būseną, o po aprūpinimo pereina į Operational būseną. NetHSM aprūpinimas aprašytas skyriuje Aprūpinimas.

Darbinės būsenos NetHSM galima vėl užrakinti, kad jis būtų apsaugotas taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

užrakinto būsenos NetHSM galima atrakinti taip. Kol NetHSM yra _užrakintas_ būsenos, jokios kitos operacijos negalimos. Vėliau NetHSM yra _eksploatacinės_ būsenos.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Atrakinti slaptažodį#

Jei NetHSM yra užrakintas būsenos, atrakinimo slaptažodis naudojamas atrakinimo raktui gauti. Slaptažodžių frazė iš pradžių nustatoma „NetHSM“ aprūpinimo metu.

Įspėjimas

Atrakinimo slaptažodžio negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atrakinimo slaptažodį, negalima nei atstatyti naujos reikšmės, nei atrakinti NetHSM.

Atrakinimo slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė

Aprašymas

-n, --new-passphrase TEXT

Nauja atrakinimo slaptažodžių frazė

-p, --current-passphrase TEXT

Dabartinė atrakinimo slaptažodžių frazė

-f, --force

Prieš keisdami slaptažodį neprašykite patvirtinimo

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS sertifikatas#

TLS sertifikatas naudojamas HTTPS pagrįstai REST API, todėl jį naudoja ir nitropy. Įrengimo metu sukuriamas savarankiškai pasirašytas sertifikatas. Sertifikatą galima pakeisti, pavyzdžiui, sertifikatų institucijos (CA) pasirašytu sertifikatu. Tokiu atveju turi būti sukurtas sertifikato pasirašymo prašymas (CSR). Po pasirašymo sertifikatą reikia importuoti į NetHSM.

Pakeisti sertifikatą reikia tik tada, kai jį reikia pakeisti. Toks pakeitimas gali būti atliekamas norint pakeisti sertifikatą sertifikatų institucijos (CA) pasirašytu sertifikatu.

TLS sertifikatą galima gauti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-a, --api

NetHSM TLS sąsajos sertifikato nustatymas

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS sertifikatą galima sukurti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Sugeneruoto rakto tipas

-l, --length INTEGER

Sugeneruoto rakto ilgis

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Sertifikato pasirašymo užklausą (CSR) galima sukurti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-a, --api

Sukurti CSR NetHSM TLS sertifikatui

--country TEXT

Šalies pavadinimas

--state-or-province TEXT

Valstybės arba provincijos pavadinimas

--locality TEXT

Vietovės pavadinimas

--organization TEXT

Organizacijos pavadinimas

--organizational-unit TEXT

Organizacijos padalinio pavadinimas

--common-name TEXT

Bendrinis pavadinimas

--email-address TEXT

El. pašto adresas

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Sertifikatą galima pakeisti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-a, --api

NetHSM TLS sąsajos sertifikato nustatymas

Argumentai

Argumentas

Aprašymas

FILENAME

Sertifikato failas

Pavyzdys

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Tinklas#

Tinklo konfigūracija apibrėžia Tinklo prievado nustatymus.

Pastaba

Šiais nustatymais nekonfigūruojamas BMC tinklo prievadas.

Tinklo konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė

Aprašymas

--network

Užklausa apie tinklo konfigūraciją

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nustatykite tinklo konfigūraciją taip.

Pastaba

NetHSM nepalaiko DHCP (dinaminio prievado konfigūravimo protokolo).

Pastaba

NetHSM nepalaiko IPv6 (interneto protokolo 6 versijos).

Reikalingos parinktys

Galimybė

Aprašymas

-a, --ip-address

Naujasis IP adresas

-n, --netmask

Naujoji tinklo maska

-n, --netmask

Naujieji vartai

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Laikas#

Laiko konfigūracija nustato NetHSM programinės įrangos sistemos laiką. Sistemos laiko paprastai nereikia nustatyti, nes jis nustatomas parūpinimo metu.

Laiko konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė

Aprašymas

--time

Užklausa apie sistemos laiką

Pavyzdys

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nustatykite NetHSM laiką.

Svarbu

Būtinai nurodykite laiką UTC laiko juosta.

Argumentai

Argumentas

Aprašymas

time

Nustatomas sistemos laikas (formatas: YYYYY-MM-DDTHH:MM:SSZ)

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metrikos#

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Metrikas galima gauti taip.

Reikalingas vaidmuo

This operation requires an authentication with the Metrics role.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registravimas#

NetHSM gali registruoti sistemos įvykius į nuoseklųjį prievadą arba į syslog serverį tinkle.

Svarbu

Bet kokio gamybinio diegimo atveju NetHSM žurnalas turėtų būti nuolat stebimas, kad būtų galima nedelsiant pranešti apie bet kokias galimas saugumo problemas.

Syslog serverio konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė

Aprašymas

--network

Užklausa dėl registravimo konfigūracijos

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog serverio konfigūraciją galima nustatyti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-p, --passphrase TEXT

Naujos registravimo paskirties vietos IP adresas

-p, --port INTEGER

Naujos registravimo paskirties vietos prievadas

-l, --log-level [debug|info|warning|error]

Naujas žurnalo lygis

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Nuoseklioji konsolė veikia nuo pat „NetHSM“ aparatinės įrangos pradžios. Į ją įtraukiami įvykiai iš „NetHSM“ programinės įrangos ir „NetHSM“ programinės įrangos.

Nuosekliojo konsolinio ryšio nustatymai yra tokie.

Nustatymas

Vertė

Baudų perdavimo sparta

115200

Duomenų bitai

8

Stop bitai

1

Paritetas

Nėra

Srauto valdymas

Nėra

Atsarginė kopija#

NetHSM Vartotojo duomenys gali būti įrašyti į atsarginę kopiją. Šiame atsarginės kopijos faile yra visi Vartotojo duomenys, t. y. Konfigūracijų saugykla, Autentifikavimo saugykla, Domenų raktų saugykla ir Raktų saugykla.

Svarbu

NetHSM sisteminei programinei įrangai Unattended Boot režimu reikės Unlock Passphrase, jei ji bus atkurta kitoje NetHSM aparatinėje įrangoje. Daugiau informacijos rasite Unlock Passphrase skyriuje.

Svarbu

Atkūrus NetHSM, veikiantį Neprižiūrimo įkrovimo režimu, jis veiks tuo pačiu režimu.

Prieš pradedant kurti atsarginę kopiją reikia nustatyti atsarginės kopijos slaptažodį. Atsarginės kopijos slaptažodis naudojamas atsarginės kopijos failo duomenims užšifruoti.

Įspėjimas

Atsarginės slaptažodžių frazės negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atsarginės kopijos slaptažodį, negalima nei atstatyti naujos reikšmės, nei atkurti sukurtų atsarginių kopijų.

Atsarginės kopijos slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė

Aprašymas

-n, --new-passphrase TEXT

Naujoji atsarginės kopijos slaptažodžių frazė

-p, --current-passphrase TEXT

Dabartinė atsarginės kopijos slaptoji frazė (arba tuščia eilutė, jei nenustatyta)

-f, --force

Prieš keisdami slaptažodį neprašykite patvirtinimo

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Atsarginę kopiją galima atlikti taip.

Reikalingas vaidmuo

This operation requires an authentication with the Backup role.

Argumentai

Argumentas

Aprašymas

FILENAME

Atsarginės kopijos failas

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Atkurti#

NetHSM galima atkurti iš atsarginės kopijos failo.

  • Jei NetHSM yra Unprovisioned, bus atkurti visi naudotojo duomenys, įskaitant sistemos konfigūraciją ir perkrovimą. Todėl po to sistemoje gali skirtis tinklo nustatymai, TLS sertifikatas ir atrakinimo slaptažodis.

  • Jei „NetHSM“ yra Provisioned, bus atkurti naudotojai ir naudotojų raktai, bet ne sistemos konfigūracija. Tokiu atveju visi anksčiau buvę naudotojai ir naudotojų raktai bus ištrinti. NetHSM baigia veikti Operational būsenoje.

Atkūrimas gali būti taikomas taip.

Vienkartinės parinktys

Galimybė

Aprašymas

-p, --backup-passphrase passphrase

Apsauginės kopijos slaptažodis

-t, --system-time

Nustatomas sistemos laikas (formatas: YYYY-MM-DDTHH:MM:SSZ)

Svarbu

Įsitikinkite, kad vietinio kompiuterio laikas nustatytas teisingai. Norėdami nustatyti kitą laiką, nurodykite jį rankiniu būdu.

Argumentai

Argumentas

Aprašymas

FILENAME | Atkurti failą

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Klasterizavimas#

NetHSM neturi būsenos, todėl galima naudoti kelis NetHSM įrenginius, kad būtų galima apdoroti itin didelį duomenų srautą ir užtikrinti didelį prieinamumą. PKCS#11 modulis palaiko „NetHSM“ egzempliorių klasterio apylankinį tvarkaraštį. Keli NetHSM egzemplioriai gali būti sinchronizuojami naudojant šifruotas atsargines kopijas. Tam atskira sistema atsisiunčia ir įkelia atsargines kopijas tarp egzempliorių. Ši atskira sistema neturi prieigos prie atsarginių kopijų duomenų atviru tekstu, nes atsarginių kopijų failai yra užšifruoti. Sinchronizavimą galima lengvai sukurti scenarijumi naudojant pynitrokey, kaip parodyta šiame pavyzdyje.

Programinės įrangos atnaujinimas#

Programinės įrangos naujinius galima įdiegti dviem etapais. Pirmiausia atnaujinimo atvaizdą reikia įkelti į Provisioned NetHSM. NetHSM patikrina atvaizdo autentiškumą, vientisumą ir versijos numerį. Pasirinktinai NetHSM parodo išleidimo pastabas, jei tokių yra.

Įspėjimas

Įdiegus beta versijos naujinį gali būti prarasti duomenys! Stabilios versijos neturėtų sukelti duomenų praradimo. Tačiau prieš atnaujinimą rekomenduojama sukurti atsarginę kopiją.

Atnaujinimo failą galima įkelti taip.

Argumentai

Argumentas

Aprašymas

FILENAME

Atnaujinti failą

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Vėliau atnaujinimą galima taikyti arba nutraukti. Toliau nurodykite norimą parinktį. Jei „NetHSM“ išjungiamas prieš operaciją „commit“ (patvirtinti), atnaujinimo failą reikia įkelti iš naujo.

Svarbu

Jei nepavyksta įkelti atnaujinimo atvaizdo su Error: NetHSM request failed: Bad request -- malformed image, atlikite toliau nurodytus veiksmus.

  1. Įsitikinkite, kad turite galiojantį naujinimo failą, patikrinkite jį pagal pateiktą parašą.

  2. Įsitikinkite, kad nėra įjungtas aukštas žurnalo lygis, pavyzdžiui, DEBUG. Daugiau apie žurnalo lygio konfigūravimą skaitykite skyriuje Žurnalo registravimas.

  3. Perkraukite prietaisą, kad atlaisvintumėte panaudotą atmintį.

Atnaujinimas gali būti taikomas (perduodamas) taip. Bet koks duomenų perkėlimas atliekamas tik po to, kai NetHSM sėkmingai paleidžia naują sistemos programinės įrangos versiją.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Atnaujinimą galima atšaukti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Sistemos informacija#

Sistemos informaciją, pvz., programinės įrangos versiją, programinės įrangos versiją ir aparatinės įrangos versiją, galima gauti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Perkrovimas ir išjungimas#

NetHSM galima perkrauti ir išjungti nuotoliniu būdu arba naudojant „NetHSM“ aparatinės įrangos priekyje esantį paleidimo iš naujo ir išjungimo mygtuką.

Nuotolinį perkrovimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Nuotolinį išjungimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gamyklinių nustatymų atkūrimas#

Provisioned NetHSM galima atstatyti gamyklinius nustatymus. Tokiu atveju visi naudotojo duomenys saugiai ištrinami, o NetHSM paleidžiamas į Unprovisioned būseną. Vėliau galite norėti aprūpinti NetHSM.

Gamyklinių nustatymų atkūrimą galima atlikti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Naudotojo valdymas#

Vaidmenys#

NetHSM leidžia atskirti pareigas naudojant skirtingus vaidmenis. Kiekvienai NetHSM sukonfigūruotai naudotojo paskyrai priskiriamas vienas iš šių Vaidmenų.

Vaidmuo

Aprašymas

Administratorius

Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų NetHSM atliekamų operacijų, išskyrus raktų naudojimo operacijas, t. y. pranešimų pasirašymą ir iššifravimą.

Operatorius

Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų raktų naudojimo operacijų, tik skaitymui skirto raktų valdymo operacijų poaibio ir naudotojo valdymo operacijų, leidžiančių atlikti pakeitimus tik savo paskyroje.

Metrika

Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie skaitymo metrikos operacijų.

Apsauginė kopija

Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie operacijų, reikalingų sistemos atsarginei kopijai inicijuoti.

Apie smulkesnius prieigos apribojimus žr. Vardų sritys ir Žymos.

Pastaba

Būsimoje versijoje gali būti įvesti papildomi Vaidmenys.

Pridėti naudotoją#

Pridėkite naudotojo paskyrą prie NetHSM. Kiekviena naudotojo paskyra turi vaidmenį, kurį reikia nurodyti. Daugiau informacijos apie Vaidmenis rasite skyriuje Vaidmenys .

Pasirinktinai naudotojas gali būti priskirtas *Vardų erdvei*.

Pastaba

Naudotojo ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.

Vartotojo paskyrą galima pridėti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-n, --real-name TEXT

Tikrasis naujojo naudotojo vardas

-N, --namespace TEXT

Naujojo naudotojo vardų erdvė

-r, --role [Administrator|Operator|Metrics|Backup]

Naujojo naudotojo Varmuo

-p, --passphrase TEXT

Naujojo naudotojo slaptažodis

Vienkartinės parinktys

Galimybė

Aprašymas

-u, --user-id TEXT

Naujojo naudotojo naudotojo ID

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Pagal numatytuosius nustatymus vardų sritis paveldima iš naudotojo, kuris prideda naują naudotoją. Tik Vardų srities neturintys naudotojai gali pasirinkti kitą Vardų sritį naujiems naudotojams. Vardų erdvė naudojama kaip naudotojo vardo priešdėlis, pavyzdžiui, namespace~user. Todėl tas pats naudotojo vardas gali būti naudojamas keliose Vardų erdvėse.

Ištrinti naudotoją#

Ištrinkite vartotojo paskyrą iš NetHSM.

Įspėjimas

Pašalinimas yra nuolatinis ir negali būti atšauktas.

Vartotojo paskyrą galima ištrinti taip.

Argumentai

Argumentas

Aprašymas

USER_ID

Naudotojo ID.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Sąrašo naudotojai#

Sudarykite NetHSM naudotojų sąrašą.

Sąrašą galima gauti taip.

Vienkartinės parinktys

Galimybė

Aprašymas

--details, --no-details

Užklausa apie tikrąjį naudotojo vardą ir vaidmenį

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Vardų erdvės naudotojai gali matyti tik tos pačios vardų erdvės naudotojus.

Vartotojo slaptažodis#

Galima iš naujo nustatyti naudotojo paskyros slaptažodį. Vartotojo paskyros pridėjimo metu nustatoma pirminė slaptažodžio frazė.

Pastaba

Slaptažodžių frazės turi turėti >= 10 ir <= 200 simbolių.

Vartotojo slaptažodį galima nustatyti taip.

Reikalingos parinktys

Galimybė

Aprašymas

-u, --user-id TEXT

Naudotojo naudotojo ID

-p, --passphrase TEXT

Nauja naudotojo slaptažodžių frazė

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Vardų sritys#

Vardų sritys buvo įdiegtos 2.0 programinės įrangos versijoje. Pereinant iš ankstesnės programinės įrangos versijos, visi esami naudotojai ir raktai bus be vardų erdvės.

Panašiai kaip ir skaidinių sąvoka, NetHSM palaiko lankstesnę vardų sričių koncepciją, pagal kurią NetHSM raktai, administratoriai ir naudotojai grupuojami į atskirus pogrupius. Vartotojai gali matyti ir naudoti tik tos pačios vardų erdvės raktus ir tik tos pačios vardų erdvės naudotojus. Neįmanoma matyti naudotojų ir matyti bei naudoti kitų vardų erdvių raktų. Kai sukuriamas naujas naudotojas, jis paveldi jį sukūrusio naudotojo Vardų erdvę. Turima atminties talpa dalijamasi tarp visų vardų erdvių.

Vartotojai, turintys Administrator vaidmenį, taip pat vadinami R-Administrator, jei jie nėra vardų srityje, arba N-Administrator, jei jie yra vardų srityje.

R-Administrator naudotojams taikomos specialios taisyklės: Jie gali nustatyti vardų erdvę naujiems naudotojams, sudaryti visų naudotojų sąrašą ir pateikti užklausą apie naudotojo vardų erdvę. Be to, prie NetHSM konfigūracijos gali prisijungti tik R-Administrator naudotojai. RAdministratoriai negali matyti Vardų erdvės raktų.

Kad būtų galima generuoti raktus ir naudotojus vardų erdvėje, vardų erdvę turi sukurti R-Administrator naudotojas. Sukūrus Vardų erdvę, R-Administrator naudotojai nebegali kurti, šalinti ar keisti tos Vardų erdvės naudotojų. Tai leidžia apsaugoti Vardų sričių raktus, prie kurių prieigą turi R-Administrator (taip pat netiesiogiai, pridedant naują naudotoją vardu arba atstatant esamo naudotojo ar administratoriaus įgaliojimus). Todėl prieš kuriant vardų erdvę būtina sukurti N-Administrator vardų erdvės naudotoją. R-Administrator naudotojai taip pat gali ištrinti Vardų sritį su visais joje esančiais raktais.

Sąrašo vardų sritys#

Išvardykite NetHSM vardų erdves.

Sąrašą galima gauti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Pridėti vardų sritį#

Pridėti vardų sritį prie NetHSM.

R-Administrator naudotojai gali kurti naujas paskyras vardų erdvėje dar prieš ją sukuriant. Sukūrus paskyrą, Vardų erdvės naudotojus gali valdyti tik NAdministrator naudotojai. Kurti ir naudoti raktus Vardų erdvėje galima tik ją pridėjus.

Pastaba

Vardų erdvės ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.

Vardų erdvę galima pridėti taip.

Argumentai

Argumentas

Aprašymas

NAMESPACE | Naujoji vardų erdvė.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Ištrinti vardų sritį#

Ištrinkite vardų sritį iš NetHSM.

Ištrynus vardų sritį, taip pat ištrinami visi tos vardų srities raktai. Likę Vardų srities naudotojai negali pridėti raktų, kol Vardų sritis vėl nebus pridėta.

Vardų sritį galima ištrinti taip.

Argumentai

Argumentas

Aprašymas

NAMESPACE

Vardų erdvė, kurią reikia ištrinti.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Žymos naudotojams#

Žymos gali būti naudojamos nustatant tikslius prieigos apribojimus raktams ir yra neprivaloma funkcija. Vieną ar daugiau žymų galima priskirti tik operatoriaus vaidmenį turinčių naudotojų paskyroms. * Operatoriai* gali matyti visus raktus, bet naudoti tik tuos, kurie turi bent vieną atitinkamą žymę. Raktas negali būti keičiamas Operatoriaus naudotojo.

Norėdami sužinoti, kaip naudoti žymeklius ant raktų, skaitykite Žymekliai raktams.

Žymą Tag galima pridėti taip.

Argumentai

Argumentas

Aprašymas

USER_ID

Vartotojo ID, kuriam turi būti nustatyta žyma.

TAG

Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Žymą Tag galima ištrinti taip.

Argumentai

Argumentas

Aprašymas

USER_ID

Vartotojo ID, kuriam turi būti nustatyta žyma.

TAG

Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443