Administracija¶

Šiame skyriuje aprašomos administravimo užduotys naudotojams, turintiems Administratoriaus vaidmenį. Daugiau informacijos apie šį vaidmenį rasite skyriuje „Vaidmenys“.

Svarbu

Prieš pradėdami darbą būtinai perskaitykite šio dokumento pradžioje pateiktą informaciją.

Sistemos valdymas¶

Įrenginio informacija¶

Informaciją apie „NetHSM“ pardavėją ir gaminį galima gauti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Įkrovimo režimas¶

NetHSM galima naudoti Attended Boot ir Unattended Boot režimu.

Įkrovimo režimas	Aprašymas
Dalyvavo Boot	NetHSM įkraunamas į _užrakintą_ būseną. Kiekvieno paleidimo metu reikia įvesti atrakinimo slaptažodį, kuris naudojamas naudotojo duomenims iššifruoti. Saugumo sumetimais šis režimas yra rekomenduojamas ir yra numatytasis režimas ką tik įdiegtoje sistemoje.
Neprižiūrimas įkrovimas	Sistema paleidžiama be priežiūros ir nereikia įvesti atrakinimo slaptažodžio į _eksploatacinę_ būseną. Šį režimą naudokite, jei prieinamumo reikalavimų negalima įvykdyti naudojant Attended Boot režimą.

Įspėjimas

Nepriklausomai nuo įkrovos režimo, atrakinimo slaptažodis išlieka galiojantis ir yra reikalingas atkuriant atsargines kopijas kitoje aparatinėje įrangoje. Saugokite Unlock Passphrase slaptažodį bet kuriuo metu.

Dabartinį įkrovos režimą galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Įkrovos režimą galima keisti taip. Kito įkrovimo metu NetHSM elgsis atitinkamai.

Argumentai

Argumentas	Aprašymas
Statusas	Įjungti arba išjungti Unattattended Boot. Gali turėti reikšmę `on` arba </x>`off.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Valstybė¶

NetHSM programinė įranga turi keturias būsenas: Nepaskirta, Paskirta, užrakinta ir veikia.

Valstybė	Aprašymas
Neprovizuotas	NetHSM be konfigūracijos (gamykliniai nustatymai)
Pasirūpinta	NetHSM su konfigūracija. Provisioned būsena reiškia Operational arba Locked būseną.
Darbinis	NetHSM su konfigūracija ir paruoštas vykdyti komandas. Dirbanti būsena reiškia Provisioned būseną.
Užrakinta	NetHSM su konfigūracija, bet užšifruotomis ir neprieinamomis duomenų saugyklomis. Paprastai kitas žingsnis - atrakinti sistemą. * Užrakinta* būsena reiškia Užtikrinta būseną.

Dabartinę NetHSM būseną galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Naujas NetHSM turi Unprovisioned būseną, o po aprūpinimo pereina į Operational būseną. NetHSM aprūpinimas aprašytas skyriuje Aprūpinimas.

Darbinės būsenos NetHSM galima vėl užrakinti, kad jis būtų apsaugotas taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

užrakinto būsenos NetHSM galima atrakinti taip. Kol NetHSM yra _užrakintas_ būsenos, jokios kitos operacijos negalimos. Vėliau NetHSM yra _eksploatacinės_ būsenos.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Atrakinti slaptažodį¶

Jei NetHSM yra užrakintas būsenos, atrakinimo slaptažodis naudojamas atrakinimo raktui gauti. Slaptažodžių frazė iš pradžių nustatoma „NetHSM“ aprūpinimo metu.

Įspėjimas

Atrakinimo slaptažodžio negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atrakinimo slaptažodį, negalima nei atstatyti naujos reikšmės, nei atrakinti NetHSM.

Atrakinimo slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-n`, `--new-passphrase` `TEXT`	Nauja atrakinimo slaptažodžių frazė
`-p`, `--current-passphrase` `TEXT`	Dabartinė atrakinimo slaptažodžių frazė
`-f`, `--force`	Prieš keisdami slaptažodį neprašykite patvirtinimo

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS sertifikatas¶

TLS sertifikatas naudojamas HTTPS pagrįstai REST API, todėl jį naudoja ir nitropy. Įrengimo metu sukuriamas savarankiškai pasirašytas sertifikatas. Sertifikatą galima pakeisti, pavyzdžiui, sertifikatų institucijos (CA) pasirašytu sertifikatu. Tokiu atveju turi būti sukurtas sertifikato pasirašymo prašymas (CSR). Po pasirašymo sertifikatą reikia importuoti į NetHSM.

Pakeisti sertifikatą reikia tik tada, kai jį reikia pakeisti. Toks pakeitimas gali būti atliekamas norint pakeisti sertifikatą sertifikatų institucijos (CA) pasirašytu sertifikatu.

TLS sertifikatą galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	Get the certificate for the NetHSM TLS interface

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS sertifikatą galima sukurti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Sugeneruoto rakto tipas
`-l`, `--length` `INTEGER`	Sugeneruoto rakto ilgis

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Sertifikato pasirašymo užklausą (CSR) galima sukurti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	Sukurti CSR NetHSM TLS sertifikatui
`--country` `TEXT`	Šalies pavadinimas
`--state-or-province` `TEXT`	Valstybės arba provincijos pavadinimas
`--locality` `TEXT`	Vietovės pavadinimas
`--organization` `TEXT`	Organizacijos pavadinimas
`--organizational-unit` `TEXT`	Organizacijos padalinio pavadinimas
`--common-name` `TEXT`	Bendrinis pavadinimas
`--email-address` `TEXT`	El. pašto adresas

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Sertifikatą galima pakeisti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	NetHSM TLS sąsajos sertifikato nustatymas

Argumentai

Argumentas	Aprašymas
`FILENAME`	Sertifikato failas

Pavyzdys

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Tinklas¶

Tinklo konfigūracija apibrėžia Tinklo prievado nustatymus.

Pastaba

This settings do not configure the BMC Network Port on the NetHSM 1.

Tinklo konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--network`	Užklausa apie tinklo konfigūraciją

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nustatykite tinklo konfigūraciją taip.

Pastaba

NetHSM nepalaiko DHCP (dinaminio prievado konfigūravimo protokolo).

Pastaba

NetHSM nepalaiko IPv6 (interneto protokolo 6 versijos).

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--ip-address`	Naujasis IP adresas
`-n`, `--netmask`	Naujoji tinklo maska
`-n`, `--netmask`	Naujieji vartai

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Laikas¶

Laiko konfigūracija nustato NetHSM programinės įrangos sistemos laiką. Sistemos laiko paprastai nereikia nustatyti, nes jis nustatomas parūpinimo metu.

Laiko konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--time`	Užklausa apie sistemos laiką

Pavyzdys

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nustatykite NetHSM laiką.

Svarbu

Būtinai nurodykite laiką UTC laiko juosta.

Argumentai

Argumentas	Aprašymas
`time`	Nustatomas sistemos laikas (formatas: YYYYY-MM-DDTHH:MM:SSZ)

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metrikos¶

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Metrikas galima gauti taip.

Reikalingas vaidmuo

This operation requires an authentication with the Metrics role.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registravimas¶

NetHSM gali registruoti sistemos įvykius į nuoseklųjį prievadą arba į syslog serverį tinkle.

Svarbu

Bet kokio gamybinio diegimo atveju NetHSM žurnalas turėtų būti nuolat stebimas, kad būtų galima nedelsiant pranešti apie bet kokias galimas saugumo problemas.

Syslog serverio konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--network`	Užklausa dėl registravimo konfigūracijos

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog serverio konfigūraciją galima nustatyti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-p`, `--passphrase` `TEXT`	Naujos registravimo paskirties vietos IP adresas
`-p`, `--port` `INTEGER`	Naujos registravimo paskirties vietos prievadas
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Naujas žurnalo lygis

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Nuoseklioji konsolė veikia nuo pat „NetHSM“ aparatinės įrangos pradžios. Į ją įtraukiami įvykiai iš „NetHSM“ programinės įrangos ir „NetHSM“ programinės įrangos.

Nuosekliojo konsolinio ryšio nustatymai yra tokie.

Nustatymas	Vertė
Baudų perdavimo sparta	115200
Duomenų bitai	8
Stop bitai	1
Paritetas	Nėra
Srauto valdymas	Nėra

Atsarginė kopija¶

NetHSM Vartotojo duomenys gali būti įrašyti į atsarginę kopiją. Šiame atsarginės kopijos faile yra visi Vartotojo duomenys, t. y. Konfigūracijų saugykla, Autentifikavimo saugykla, Domenų raktų saugykla ir Raktų saugykla.

Svarbu

NetHSM sisteminei programinei įrangai Unattended Boot režimu reikės Unlock Passphrase, jei ji bus atkurta kitoje NetHSM aparatinėje įrangoje. Daugiau informacijos rasite Unlock Passphrase skyriuje.

Svarbu

Atkūrus NetHSM, veikiantį Neprižiūrimo įkrovimo režimu, jis veiks tuo pačiu režimu.

Prieš pradedant kurti atsarginę kopiją reikia nustatyti atsarginės kopijos slaptažodį. Atsarginės kopijos slaptažodis naudojamas atsarginės kopijos failo duomenims užšifruoti.

Įspėjimas

Atsarginės slaptažodžių frazės negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atsarginės kopijos slaptažodį, negalima nei atstatyti naujos reikšmės, nei atkurti sukurtų atsarginių kopijų.

Atsarginės kopijos slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-n`, `--new-passphrase` `TEXT`	Naujoji atsarginės kopijos slaptažodžių frazė
`-p`, `--current-passphrase` `TEXT`	Dabartinė atsarginės kopijos slaptoji frazė (arba tuščia eilutė, jei nenustatyta)
`-f`, `--force`	Prieš keisdami slaptažodį neprašykite patvirtinimo

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Atsarginę kopiją galima atlikti taip.

Reikalingas vaidmuo

This operation requires an authentication with the Backup role.

Argumentai

Argumentas	Aprašymas
`FILENAME`	Atsarginės kopijos failas

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Atkurti¶

NetHSM galima atkurti iš atsarginės kopijos failo.

If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Jei „NetHSM“ yra Provisioned, bus atkurti naudotojai ir naudotojų raktai, bet ne sistemos konfigūracija. Tokiu atveju visi anksčiau buvę naudotojai ir naudotojų raktai bus ištrinti. NetHSM baigia veikti Operational būsenoje.

Atkūrimas gali būti taikomas taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-p`, `--backup-passphrase` `passphrase`	Apsauginės kopijos slaptažodis
`-t`, `--system-time`	Nustatomas sistemos laikas (formatas: `YYYY-MM-DDTHH:MM:SSZ`)

Svarbu

Įsitikinkite, kad vietinio kompiuterio laikas nustatytas teisingai. Norėdami nustatyti kitą laiką, nurodykite jį rankiniu būdu.

Argumentai

Argumentas		Aprašymas
`FILENAME` \| Atkurti failą

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication¶

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Programinės įrangos atnaujinimas¶

Programinės įrangos naujinius galima įdiegti dviem etapais. Pirmiausia atnaujinimo atvaizdą reikia įkelti į Provisioned NetHSM. NetHSM patikrina atvaizdo autentiškumą, vientisumą ir versijos numerį. Pasirinktinai NetHSM parodo išleidimo pastabas, jei tokių yra.

Įspėjimas

Įdiegus beta versijos naujinį gali būti prarasti duomenys! Stabilios versijos neturėtų sukelti duomenų praradimo. Tačiau prieš atnaujinimą rekomenduojama sukurti atsarginę kopiją.

Įspėjimas

Įsitikinkite, kad įdiegėte tinkamą atnaujinimo failą, skirtą jūsų aparatinės įrangos modeliui NetHSM 1 arba NetHSM 2. Savo modelį galite patikrinti sistemos informacijoje.

Atnaujinimo failą galima įkelti taip.

Argumentai

Argumentas	Aprašymas
`FILENAME`	Atnaujinti failą

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Vėliau atnaujinimą galima taikyti arba nutraukti. Toliau nurodykite norimą parinktį. Jei „NetHSM“ išjungiamas prieš operaciją „commit“ (patvirtinti), atnaujinimo failą reikia įkelti iš naujo.

Svarbu

Jei nepavyksta įkelti atnaujinimo atvaizdo su Error: NetHSM request failed: Bad request -- malformed image, atlikite toliau nurodytus veiksmus.

Įsitikinkite, kad turite galiojantį naujinimo failą, patikrinkite jį pagal pateiktą parašą.
Įsitikinkite, kad nėra įjungtas aukštas žurnalo lygis, pavyzdžiui, DEBUG. Daugiau apie žurnalo lygio konfigūravimą skaitykite skyriuje Žurnalo registravimas.
Perkraukite prietaisą, kad atlaisvintumėte panaudotą atmintį.

Atnaujinimas gali būti taikomas (perduodamas) taip. Bet koks duomenų perkėlimas atliekamas tik po to, kai NetHSM sėkmingai paleidžia naują sistemos programinės įrangos versiją.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Atnaujinimą galima atšaukti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Sistemos informacija¶

Sistemos informaciją, pvz., programinės įrangos versiją, programinės įrangos versiją ir aparatinės įrangos versiją, galima gauti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

NetHSM 1 identifikuojama kaip aparatinės įrangos versija prodrive-hermes-1, o NetHSM 2 - kaip msi-z790-1.

Perkrovimas ir išjungimas¶

NetHSM galima perkrauti ir išjungti nuotoliniu būdu arba naudojant „NetHSM“ aparatinės įrangos priekyje esantį paleidimo iš naujo ir išjungimo mygtuką.

Nuotolinį perkrovimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Nuotolinį išjungimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gamyklinių nustatymų atkūrimas¶

Provisioned NetHSM galima atstatyti gamyklinius nustatymus. Tokiu atveju visi naudotojo duomenys saugiai ištrinami, o NetHSM paleidžiamas į Unprovisioned būseną. Vėliau galite norėti aprūpinti NetHSM.

Gamyklinių nustatymų atkūrimą galima atlikti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Naudotojo valdymas¶

Vaidmenys¶

NetHSM leidžia atskirti pareigas naudojant skirtingus vaidmenis. Kiekvienai NetHSM sukonfigūruotai naudotojo paskyrai priskiriamas vienas iš šių Vaidmenų.

Vaidmuo	Aprašymas
Administratorius	Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų NetHSM atliekamų operacijų, išskyrus raktų naudojimo operacijas, t. y. pranešimų pasirašymą ir iššifravimą.
Operatorius	Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų raktų naudojimo operacijų, tik skaitymui skirto raktų valdymo operacijų poaibio ir naudotojo valdymo operacijų, leidžiančių atlikti pakeitimus tik savo paskyroje.
Metrika	Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie skaitymo metrikos operacijų.
Apsauginė kopija	Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie operacijų, reikalingų sistemos atsarginei kopijai inicijuoti.

Apie smulkesnius prieigos apribojimus žr. Vardų sritys ir Žymos.

Pastaba

Būsimoje versijoje gali būti įvesti papildomi Vaidmenys.

Pridėti naudotoją¶

Pridėkite naudotojo paskyrą prie NetHSM. Kiekviena naudotojo paskyra turi vaidmenį, kurį reikia nurodyti. Daugiau informacijos apie Vaidmenis rasite skyriuje Vaidmenys .

Optionally, a user can be assigned to a Namespace.

Pastaba

Naudotojo ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.

Vartotojo paskyrą galima pridėti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-n`, `--real-name` `TEXT`	Tikrasis naujojo naudotojo vardas
`-N`, `--namespace` `TEXT`	Naujojo naudotojo vardų erdvė
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Naujojo naudotojo Varmuo
`-p`, `--passphrase` `TEXT`	Naujojo naudotojo slaptažodis

Vienkartinės parinktys

Galimybė	Aprašymas
`-u`, `--user-id` `TEXT`	Naujojo naudotojo naudotojo ID

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Pagal numatytuosius nustatymus vardų sritis paveldima iš naudotojo, kuris prideda naują naudotoją. Tik Vardų srities neturintys naudotojai gali pasirinkti kitą Vardų sritį naujiems naudotojams. Vardų erdvė naudojama kaip naudotojo vardo priešdėlis, pavyzdžiui, namespace~user. Todėl tas pats naudotojo vardas gali būti naudojamas keliose Vardų erdvėse.

Ištrinti naudotoją¶

Ištrinkite vartotojo paskyrą iš NetHSM.

Įspėjimas

Pašalinimas yra nuolatinis ir negali būti atšauktas.

Vartotojo paskyrą galima ištrinti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Naudotojo ID.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Sąrašo naudotojai¶

Sudarykite NetHSM naudotojų sąrašą.

Sąrašą galima gauti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`--details`, `--no-details`	Užklausa apie tikrąjį naudotojo vardą ir vaidmenį

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Vardų erdvės naudotojai gali matyti tik tos pačios vardų erdvės naudotojus.

Vartotojo slaptažodis¶

Galima iš naujo nustatyti naudotojo paskyros slaptažodį. Vartotojo paskyros pridėjimo metu nustatoma pirminė slaptažodžio frazė.

Pastaba

Slaptažodžių frazės turi turėti >= 10 ir <= 200 simbolių.

Vartotojo slaptažodį galima nustatyti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-u`, `--user-id` `TEXT`	Naudotojo naudotojo ID
`-p`, `--passphrase` `TEXT`	Nauja naudotojo slaptažodžių frazė

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Vardų sritys¶

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

Vardų sritys buvo įdiegtos 2.0 programinės įrangos versijoje. Pereinant iš ankstesnės programinės įrangos versijos, visi esami naudotojai ir raktai bus be vardų erdvės.

Vartotojai, turintys Administrator vaidmenį, taip pat vadinami R-Administrator, jei jie nėra vardų srityje, arba N-Administrator, jei jie yra vardų srityje.

R-Administrator naudotojams taikomos specialios taisyklės: Jie gali nustatyti vardų erdvę naujiems naudotojams, sudaryti visų naudotojų sąrašą ir pateikti užklausą apie naudotojo vardų erdvę. Be to, prie NetHSM konfigūracijos gali prisijungti tik R-Administrator naudotojai. RAdministratoriai negali matyti Vardų erdvės raktų.

Kad būtų galima generuoti raktus ir naudotojus vardų erdvėje, vardų erdvę turi sukurti R-Administrator naudotojas. Sukūrus Vardų erdvę, R-Administrator naudotojai nebegali kurti, šalinti ar keisti tos Vardų erdvės naudotojų. Tai leidžia apsaugoti Vardų sričių raktus, prie kurių prieigą turi R-Administrator (taip pat netiesiogiai, pridedant naują naudotoją vardu arba atstatant esamo naudotojo ar administratoriaus įgaliojimus). Todėl prieš kuriant vardų erdvę būtina sukurti N-Administrator vardų erdvės naudotoją. R-Administrator naudotojai taip pat gali ištrinti Vardų sritį su visais joje esančiais raktais.

Sąrašo vardų sritys¶

Išvardykite NetHSM vardų erdves.

Sąrašą galima gauti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Pridėti vardų sritį¶

Pridėti vardų sritį prie NetHSM.

R-Administrator naudotojai gali kurti naujas paskyras vardų erdvėje dar prieš ją sukuriant. Sukūrus paskyrą, Vardų erdvės naudotojus gali valdyti tik NAdministrator naudotojai. Kurti ir naudoti raktus Vardų erdvėje galima tik ją pridėjus.

Pastaba

Vardų erdvės ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.

Vardų erdvę galima pridėti taip.

Argumentai

Argumentas		Aprašymas
`NAMESPACE` \| Naujoji vardų erdvė.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Ištrinti vardų sritį¶

Ištrinkite vardų sritį iš NetHSM.

Ištrynus vardų sritį, taip pat ištrinami visi tos vardų srities raktai. Likę Vardų srities naudotojai negali pridėti raktų, kol Vardų sritis vėl nebus pridėta.

Vardų sritį galima ištrinti taip.

Argumentai

Argumentas	Aprašymas
`NAMESPACE`	Vardų erdvė, kurią reikia ištrinti.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Žymos naudotojams¶

Žymos gali būti naudojamos nustatant tikslius prieigos apribojimus raktams ir yra neprivaloma funkcija. Vieną ar daugiau žymų galima priskirti tik operatoriaus vaidmenį turinčių naudotojų paskyroms. * Operatoriai* gali matyti visus raktus, bet naudoti tik tuos, kurie turi bent vieną atitinkamą žymę. Raktas negali būti keičiamas Operatoriaus naudotojo.

Norėdami sužinoti, kaip naudoti žymeklius ant raktų, skaitykite Žymekliai raktams.

Žymą Tag galima pridėti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Vartotojo ID, kuriam turi būti nustatyta žyma.
`TAG`	Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Žymą Tag galima ištrinti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Vartotojo ID, kuriam turi būti nustatyta žyma.
`TAG`	Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443