Administrācija¶
Šajā nodaļā ir aprakstīti administrēšanas uzdevumi lietotājiem ar Administrator lomu. Lai uzzinātu vairāk par šo lomu, lūdzu, skatiet nodaļu Lomas.
Svarīgi
Pirms darba uzsākšanas izlasiet informāciju, kas sniegta šā dokumenta sākumā.
Sistēmas pārvaldība¶
Informācija par ierīci¶
Pārdevēja un produkta informāciju par NetHSM var iegūt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informāciju par /info galapunktu var atrast API dokumentācijā.
Startēšanas režīms¶
NetHSM var izmantot Attended Boot un Unattended Boot režīmā.
Startēšanas režīms |
Apraksts |
---|---|
Apmeklēts Boot |
NetHSM ieslēdzas _Locked_ stāvoklī. Katras palaišanas laikā ir jāievada atbloķēšanas parole, kas tiek izmantota, lai atšifrētu lietotāja datus. Drošības apsvērumu dēļ šis režīms ir ieteicams, un tas ir noklusējuma režīms tikko nodrošinātai sistēmai. |
Bez uzraudzības palaists Boot |
Sistēma tiek palaista bez uzraudzības bez nepieciešamības ievadīt atbloķēšanas paroli _ekspluatācijas_ stāvoklī. Izmantojiet šo režīmu, ja pieejamības prasības nevar izpildīt ar Attended Boot režīmu. |
Brīdinājums
Neatkarīgi no sāknēšanas režīma atbloķēšanas parole saglabā savu derīgumu, un tā ir nepieciešama, lai atjaunotu dublējumus citā aparatūrā. Jebkurā laikā glabājiet atbloķēšanas paroli drošībā.
Pašreizējo sāknēšanas režīmu var iegūt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informācija par /config/unattended-boot galapunktu ir atrodama API dokumentācijā.
Startēšanas režīmu var mainīt šādi. Nākamajā bootēšanas reizē NetHSM darbosies atbilstoši.
Argumenti
Arguments |
Apraksts |
---|---|
Statuss |
Ieslēgt vai izslēgt Unattattended Boot. Var būt vērtība |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informācija par /config/unattended-boot galapunktu ir atrodama API dokumentācijā.
Valsts¶
NetHSM programmatūrai ir četri stāvokļi: Neprovizēts, Provizēts, Bloķēts un Darbojas.
Valsts |
Apraksts |
---|---|
Neprovizēts |
NetHSM bez konfigurācijas (rūpnīcas noklusējuma iestatījumi) |
Paredzēts |
NetHSM ar konfigurāciju. Provisioned stāvoklis nozīmē vai nu Operational, vai Locked stāvokli. |
Darbs |
NetHSM ar konfigurāciju un gatavs izpildīt komandas. Darbības stāvoklis nozīmē Provisioned stāvokli. |
Locked |
NetHSM ar konfigurāciju, bet šifrētiem un nepieejamiem datu krājumiem. Parasti nākamais solis ir sistēmas atbloķēšana. No Locked stāvokļa izriet Provisioned stāvoklis. |
NetHSM pašreizējo stāvokli var iegūt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informāciju par /health/state galapunktu var atrast API dokumentācijā.
Jaunam NetHSM ir Unprovisioned stāvoklis, un pēc nodrošināšanas tas pāriet Operational stāvoklī. NetHSM nodrošināšana ir aprakstīta nodaļā Nodrošināšana.
NetHSM, kas atrodas darbības stāvoklī, var atkal bloķēt, lai to aizsargātu šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informācija par /lock galapunktu ir atrodama API dokumentācijā.
NetHSM, kas atrodas bloķētā stāvoklī, var atbloķēt šādi. Kamēr NetHSM ir _Locked_ stāvoklī, citas darbības nav iespējamas. Pēc tam NetHSM ir _ekspluatācijas_ stāvoklī.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informācija par galapunktu /unlock ir atrodama API dokumentācijā.
Atslēgt paroli¶
Atbloķēšanas paroli izmanto, lai iegūtu Atbloķēšanas atslēgu, ja NetHSM ir Abloķēts stāvoklī. Frāzi sākotnēji nosaka NetHSM nodrošināšanas laikā.
Brīdinājums
Atbloķēšanas paroli nevar atiestatīt, nezinot pašreizējo vērtību. Ja atbloķēšanas parole tiek pazaudēta, to nevar ne atiestatīt uz jaunu vērtību, ne arī atbloķēt NetHSM.
Atbloķēšanas paroli var iestatīt šādi.
Vienreizējas opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā atbloķēšanas parole |
|
Pašreizējā atbloķēšanas parole |
|
Pirms paroles frāzes maiņas nelūdziet apstiprinājumu. |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informāciju par /config/unlock-passphrase galapunktu var atrast API dokumentācijā.
TLS sertifikāts¶
TLS sertifikāts tiek izmantots uz HTTPS balstītajam REST API, tātad to izmanto arī nitropy. Veicot nodrošināšanu, tiek izveidots pašparakstīts sertifikāts. Sertifikātu var aizstāt, piemēram, ar sertificēšanas iestādes (CA) parakstītu sertifikātu. Šādā gadījumā ir jāģenerē sertifikāta parakstīšanas pieprasījums (CSR). Pēc parakstīšanas sertifikāts jāimportē uz NetHSM.
Izmaiņas ir nepieciešamas tikai tad, ja sertifikāts ir jānomaina. Šāda maiņa var būt, lai to aizstātu ar sertifikātu iestādes (CA) parakstītu sertifikātu.
TLS sertifikātu var iegūt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Get the certificate for the NetHSM TLS interface |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informāciju par /config/tls/cert.pem galapunktu var atrast API dokumentācijā.
TLS sertifikātu var ģenerēt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Izveidotās atslēgas tips |
|
Ģenerētās atslēgas garums |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informāciju par /config/tls/generate galapunktu var atrast API dokumentācijā.
Sertifikāta parakstīšanas pieprasījumu (CSR) sertifikātam var ģenerēt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
NetHSM TLS sertifikāta CSR ģenerēšana |
|
Valsts nosaukums |
|
Valsts vai provinces nosaukums |
|
Vietas nosaukums |
|
Organizācijas nosaukums |
|
Organizācijas vienības nosaukums |
|
Vispārpieņemtais nosaukums |
|
E-pasta adrese |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informācija par /config/tls/csr.pem galapunktu ir atrodama API dokumentācijā.
Sertifikātu var aizstāt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
NetHSM TLS saskarnes sertifikāta iestatīšana |
Argumenti
Arguments |
Apraksts |
---|---|
|
Sertifikāta fails |
Piemērs
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informācija par /config/tls/csr.pem galapunktu ir atrodama API dokumentācijā.
Tīkls¶
Tīkla konfigurācija nosaka iestatījumus, kas tiek izmantoti tīkla portam.
Piezīme
Ar šiem iestatījumiem nav konfigurēts BMC tīkla ports.
Tīkla konfigurāciju var iegūt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Pieprasīt tīkla konfigurāciju |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informāciju par /config/network galapunktu var atrast API dokumentācijā.
Iestatiet tīkla konfigurāciju šādi.
Piezīme
NetHSM neatbalsta DHCP (Dinamiskais hostu konfigurācijas protokols).
Piezīme
NetHSM neatbalsta IPv6 (interneta protokola 6. versiju).
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā IP adrese |
|
Jaunā tīkla maska |
|
Jaunie vārti |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informāciju par /config/network galapunktu var atrast API dokumentācijā.
Laiks¶
Laika konfigurācija nosaka NetHSM programmatūras sistēmas laiku. Sistēmas laiku parasti nav nepieciešams iestatīt, jo tas tiek iestatīts iestatīšanas laikā.
Laika konfigurāciju var iegūt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Vaicāt sistēmas laiku |
Piemērs
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informācija par /config/time galapunktu ir atrodama API dokumentācijā.
Iestatiet NetHSM laiku.
Svarīgi
Pārliecinieties, ka laiks ir norādīts UTC laika joslā.
Argumenti
Arguments |
Apraksts |
---|---|
|
Iestatāmais sistēmas laiks (formāts: GGGGG-MM-DDTHH:MM:SSZ) |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informācija par /config/time galapunktu ir atrodama API dokumentācijā.
Metrikas¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Metriku var iegūt šādi.
Nepieciešamā loma
This operation requires an authentication with the Metrics role.
Piemērs
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informāciju par /metrics galapunktu var atrast API dokumentācijā.
Mežizstrāde¶
NetHSM var reģistrēt sistēmas notikumus sērijas pieslēgvietā vai syslog serverī tīklā.
Svarīgi
Jebkurā ražošanas izvietojumā NetHSM žurnāls ir nepārtraukti jāuzrauga, lai nekavējoties paziņotu par iespējamām drošības problēmām.
Sizlogservera konfigurāciju var iegūt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Pieprasīt mežistrādes konfigurāciju |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informāciju par /config/logging galapunktu var atrast API dokumentācijā.
Sizlogservera konfigurāciju var iestatīt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā mežistrādes galamērķa IP adrese |
|
Jaunā mežistrādes galamērķa osta |
|
Jaunais žurnāla līmenis |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informāciju par /config/logging galapunktu var atrast API dokumentācijā.
Sērijas konsole darbojas jau no NetHSM aparatūras sākuma. Tā ietver notikumus no NetHSM programmaparatūras un NetHSM programmatūras.
Sērijas konsoles savienojuma iestatījumi ir šādi.
Iestatīšana |
Vērtība |
---|---|
Baud ātrums |
115200 |
Datu biti |
8 |
Stopbiti |
1 |
Paritāte |
Nav |
Plūsmas kontrole |
Nav |
Rezerves kopija¶
NetHSM Lietotāja datus var saglabāt dublējuma failā. Šajā dublējuma failā ir visi lietotāja dati, proti, konfigurācijas krātuve, autentifikācijas krātuve, domēna atslēgu krātuve un atslēgu krātuve.
Svarīgi
NetHSM sistēmas programmatūrai Unattended Boot režīmā būs nepieciešama Unlock Passphrase, ja tā tiks atjaunota citā NetHSM aparatūrā. Lai uzzinātu vairāk, lūdzu, skatiet nodaļu Unlock Passphrase.
Svarīgi
NetHSM, kas darbojas Unattended Boot režīmā, pēc atjaunošanas darbosies tajā pašā režīmā.
Pirms dublēšanas uzsākšanas ir jāiestata Apkopēšanas parole. Aizkopēšanas paroli izmanto, lai šifrētu datus dublējuma failā.
Brīdinājums
Rezerves paroli nevar atiestatīt, nezinot pašreizējo vērtību. Ja rezerves kopijas parole tiek pazaudēta, to nevar ne atjaunot uz jaunu vērtību, ne arī atjaunot izveidotās rezerves kopijas.
Rezerves frāzi var iestatīt šādi.
Vienreizējas opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā dublēšanas parole |
|
Pašreizējā dublējuma parole (vai tukša virkne, ja nav iestatīta). |
|
Pirms paroles frāzes maiņas nelūdziet apstiprinājumu. |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informāciju par /config/backup-passphrase galapunktu var atrast API dokumentācijā.
Rezerves kopiju var veikt šādi.
Nepieciešamā loma
This operation requires an authentication with the Backup role.
Argumenti
Arguments |
Apraksts |
---|---|
|
Rezerves kopijas fails |
Piemērs
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informācija par galapunktu /system/backup ir atrodama API dokumentācijā.
Atjaunot¶
NetHSM var atjaunot no dublējuma faila.
Ja NetHSM ir Unprovisioned, tiks atjaunoti visi Lietotāja dati, ieskaitot sistēmas konfigurāciju un restartēšanu. Tāpēc pēc tam sistēmā var tikt mainīti tīkla iestatījumi, TLS sertifikāts un atbloķēšanas parole.
Ja NetHSM ir Provisioned, tiks atjaunoti lietotāji un lietotāju atslēgas, bet ne sistēmas konfigurācija. Šādā gadījumā visi iepriekš esošie lietotāji un lietotāju atslēgas tiks dzēsti. NetHSM beidzas Operational stāvoklī.
Atjaunošanu var veikt šādi.
Vienreizējas opcijas
Iespēja |
Apraksts |
---|---|
|
Aizkopēšanas frāze |
|
Iestatāmais sistēmas laiks (Formāts: |
Svarīgi
Pārliecinieties, vai jūsu vietējā datorā ir pareizi iestatīts laiks. Lai iestatītu citu laiku, lūdzu, norādiet to manuāli.
Argumenti
Arguments |
Apraksts |
|
---|---|---|
|
Piemērs
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informāciju par /system/restore galapunktu var atrast API dokumentācijā.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Programmatūras atjaunināšana¶
Programmatūras atjauninājumus var instalēt divpakāpju procesā. Vispirms atjauninājuma attēls ir jāielādē Provisioned NetHSM. NetHSM pārbauda attēla autentiskumu, integritāti un versijas numuru. Pēc izvēles NetHSM parāda izlaiduma piezīmes, ja tādas ir.
Brīdinājums
Beta versijas atjauninājuma instalēšanas dēļ var tikt zaudēti dati! Stabilajām versijām nevajadzētu izraisīt datu zudumu. Tomēr pirms atjaunināšanas ieteicams izveidot rezerves kopiju.
Atjauninājuma failu var augšupielādēt šādi.
Argumenti
Arguments |
Apraksts |
---|---|
|
Atjaunināt failu |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informāciju par /system/update galapunktu var atrast API dokumentācijā.
Pēc tam atjauninājumu var piemērot vai pārtraukt. Lūdzu, skatiet tālāk norādīto vēlamo opciju. Ja NetHSM tiek izslēgts pirms „commit“ operācijas, atjauninājuma fails ir jāielādē vēlreiz.
Svarīgi
Ja atjauninājuma attēla augšupielāde neizdodas ar Error: NetHSM request failed: Bad request -- malformed image
, lūdzu, izpildiet tālāk norādītās darbības.
Pārliecinieties, ka ir derīgs atjauninājuma fails, pārbaudot to ar sniegto parakstu.
Pārliecinieties, ka nav ieslēgts augsts žurnāla līmenis, piemēram,
DEBUG
. Lai uzzinātu vairāk par žurnāla līmeņa konfigurāciju, skatiet nodaļu Logošana.Pārstartējiet ierīci, lai atbrīvotu izmantoto atmiņu.
Atjauninājumu var piemērot (izdarīt) šādi. Jebkura datu migrācija tiek veikta tikai pēc tam, kad NetHSM ir veiksmīgi ieviesis jauno sistēmas programmatūras versiju.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informāciju par /system/commit-update galapunktu var atrast API dokumentācijā.
Atjaunināšanu var atcelt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informācija par /system/cancel-update galapunktu ir atrodama API dokumentācijā.
Sistēmas informācija¶
Sistēmas informāciju, piemēram, programmaparatūras versiju, programmatūras versiju un aparatūras versiju, var iegūt šādi.
Piemērs
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Informāciju par /system/info galapunktu var atrast API dokumentācijā.
Pārstartēšana un izslēgšana¶
NetHSM var no jauna iedarbināt un izslēgt vai nu attālināti, vai ar restartēšanas un izslēgšanas pogu NetHSM aparatūras priekšpusē.
Attālo restartēšanu var uzsākt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informāciju par /system/reboot galapunktu var atrast API dokumentācijā.
Attālo izslēgšanu var uzsākt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informāciju par /system/shutdown galapunktu var atrast API dokumentācijā.
Rūpnīcas noklusējuma iestatījumu atiestatīšana¶
Uz Provisioned NetHSM var atjaunot rūpnīcas noklusējuma iestatījumus. Šādā gadījumā visi lietotāja dati tiek droši dzēsti, un NetHSM ieslēdzas Unprovisioned stāvoklī. Pēc tam jūs, iespējams, vēlēsieties nodrošināt NetHSM.
Atiestatīšanu uz rūpnīcas noklusējuma iestatījumiem var veikt šādi.
Piemērs
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informāciju par /system/factory-reset galapunktu var atrast API dokumentācijā.
Lietotāju pārvaldība¶
Lomas¶
NetHSM ļauj nodalīt pienākumus, izmantojot dažādas lomas. Katram NetHSM konfigurētajam lietotāja kontam ir piešķirta viena no šādām Lomām.
Loma |
Apraksts |
---|---|
Administrators |
Lietotāja kontam ar šo lomu ir piekļuve visām NetHSM nodrošinātajām operācijām, izņemot atslēgu izmantošanas operācijas, t. i., ziņojumu parakstīšanu un atšifrēšanu. |
Operators |
Lietotāja kontam ar šo lomu ir piekļuve visām atslēgu lietošanas operācijām, atslēgu pārvaldības operāciju apakškopai, kas paredzēta tikai lasīšanai, un lietotāju pārvaldības operācijām, kas ļauj veikt izmaiņas tikai savā kontā. |
Metrika |
Lietotāja kontam ar šo lomu ir piekļuve tikai nolasīšanas operācijām. |
Aizsardzes kopija |
Lietotāja kontam ar šo lomu ir piekļuve tikai tām operācijām, kas nepieciešamas sistēmas dublējuma izveidei. |
Smalkāku piekļuves ierobežojumu sk. Nosaukumu telpas un Tags.
Piezīme
Nākamajā versijā var tikt ieviestas papildu Lomas.
Lietotāja pievienošana¶
Pievienojiet lietotāja kontu NetHSM. Katram lietotāja kontam ir Role, kas jānorāda. Lai uzzinātu vairāk par Lomām, lūdzu, skatiet nodaļu Lomas .
Pēc izvēles lietotājam var tikt piešķirta *Jaunvārdu telpa*.
Piezīme
Lietotāja ID jābūt burtciparu un ciparu. Ja nav norādīts neviens lietotāja ID, NetHSM piešķir nejaušu lietotāja ID.
Lietotāja kontu var pievienot šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā lietotāja īstais vārds |
|
Jaunā lietotāja vārdu telpa |
|
Jaunā lietotāja Loma |
|
Jaunā lietotāja piekļuves frāze |
Vienreizējas opcijas
Iespēja |
Apraksts |
---|---|
|
Jaunā lietotāja lietotāja ID |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Informācija par galapunktu /users, lai izveidotu lietotāju, nenorādot lietotāja ID, ir atrodama API dokumentācijā.
Informācija par galapunktu /users/{UserID}, lai izveidotu lietotāju, norādot lietotāja ID, ir atrodama API dokumentācijā.
Pēc noklusējuma vārdu telpa tiek mantota no lietotāja, kas pievieno jaunu lietotāju. Tikai lietotāji, kuriem nav vārdu telpas, var izvēlēties citu vārdu telpu jauniem lietotājiem. Vietvārdu telpu izmanto kā prefiksu lietotāja vārdam, piemēram, namespace~user. Tāpēc vienu un to pašu lietotāja vārdu var izmantot vairākās vārdu telpās.
Lietotāja dzēšana¶
Dzēst lietotāja kontu no NetHSM.
Brīdinājums
Dzēšana ir neatgriezeniska, un to nevar atcelt.
Lietotāja kontu var dzēst šādi.
Argumenti
Arguments |
Apraksts |
---|---|
|
Lietotāja lietotāja ID. |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informācija par /users/{UserID} galapunktu ir atrodama API dokumentācijā.
Saraksta lietotāji¶
Uzskaitiet lietotājus NetHSM.
Sarakstu var iegūt šādi.
Vienreizējas opcijas
Iespēja |
Apraksts |
---|---|
|
Vaicāt lietotāja īsto vārdu un lomu |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Informāciju par /users galapunktu var atrast API dokumentācijā.
Informācija par /users/{UserID} galapunktu ir atrodama API dokumentācijā.
Lietotāji vārdu telpā var redzēt tikai lietotājus tajā pašā vārdu telpā.
Lietotāja piekļuves frāze¶
Lietotāja konta piekļuves frāzi var atiestatīt. Lietotāja konta pievienošanas laikā tiek sākotnēji iestatīta piekļuves frāze.
Piezīme
Piekļuves frāzēs jābūt >= 10 un <= 200 rakstzīmēm.
Lietotāja paroli var iestatīt šādi.
Nepieciešamās opcijas
Iespēja |
Apraksts |
---|---|
|
Lietotāja lietotāja ID |
|
Lietotāja jaunā piekļuves frāze |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informāciju par /users/{UserID}/passphrase galapunktu var atrast API dokumentācijā.
Nosaukumu telpas¶
Programmatūras 2.0 versijā tika ieviestas vārdu telpas. Pārejot no iepriekšējās programmatūras versijas, visi esošie lietotāji un atslēgas būs bez vārdu telpas.
Līdzīgi kā nodalījumu koncepcija, arī NetHSM atbalsta elastīgāku Namespaces, kas grupē atslēgas, administratorus un lietotājus NetHSM atsevišķās apakškopās. Lietotāji var redzēt un izmantot tikai tās pašas vārdu telpas atslēgas, un lietotāji var redzēt tikai tās pašas vārdu telpas lietotājus. Nav iespējams redzēt lietotājus un redzēt un izmantot citu vārdšķiru telpu atslēgas. Kad tiek izveidots jauns lietotājs, tas manto tā lietotāja Namespace, kurš to izveidojis. Pieejamā atmiņas ietilpība ir koplietojama starp visām Nameštelpām.
Lietotāji ar Administrator lomu tiek saukti arī par R-Administrator, ja viņi nav Namespace, vai N-Administrator, ja viņi ir Namespace.
Uz R-Administrator lietotājiem attiecas īpaši noteikumi: Viņi var iestatīt jauno lietotāju vārdu telpu, uzskaitīt visus lietotājus un pieprasīt lietotāja vārdu telpu. Turklāt NetHSM konfigurācijai var piekļūt tikai R-Administrator lietotāji. R-Administrators nevar redzēt atslēgas vārdu telpā.
Lai vārdu telpā varētu ģenerēt atslēgas un lietotājus, vārdu telpa ir jāizveido R-Administrator lietotājam. Kad vārdu telpa ir izveidota, R-Administrator lietotāji vairs nevar izveidot, dzēst vai mainīt lietotājus šajā vārdu telpā. Tas ļauj aizsargāt Namespaces atslēgas, kurām var piekļūt R-Administrator (arī netieši, pievienojot jaunu lietotāju vārdā vai atiestatot esošā lietotāja vai administratora akreditācijas datus). Tāpēc pirms vietņu telpas izveides ir nepieciešams izveidot N-Administrator lietotāju vietņu telpai. R-Administrator lietotāji var arī dzēst vārdu telpu ar visiem tajā esošajiem atslēgiem.
Saraksta vārdu telpas¶
Uzskaitiet nosaukumu telpas NetHSM.
Sarakstu var iegūt šādi.
Piemērs
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informāciju par /namespaces galapunktu var atrast API dokumentācijā.
Pievienot vārdu telpu¶
Nosaukumu telpas pievienošana NetHSM.
R-Administrator lietotāji var izveidot jaunus kontus vārdu telpā jau pirms tās izveides. Pēc izveides lietotājus vārdu telpā var pārvaldīt tikai N-Administrator lietotāji. Nosaukumu telpas atslēgu izveide un izmantošana ir iespējama tikai pēc tās pievienošanas.
Piezīme
Nosaukumu telpas ID jābūt burtciparu un ciparu. NetHSM piešķir nejaušu lietotāja ID, ja tāds nav norādīts.
Nosaukumu telpu var pievienot šādi.
Argumenti
Arguments |
Apraksts |
|
---|---|---|
|
Piemērs
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informācija par /namespaces/{NamespaceID} galapunktu ir atrodama API dokumentācijā.
Dzēst vārdu telpu¶
Noma telpas dzēšana no NetHSM.
Dzēšot vārdu telpu, tiek dzēsti arī visi šīs vārdu telpas atslēgas taustiņi. Atlikušie lietotāji vārdu telpā nevar pievienot atslēgas, kamēr vārdu telpa nav pievienota no jauna.
Nosaukumu telpu var dzēst šādi.
Argumenti
Arguments |
Apraksts |
---|---|
|
Dzēšamā vārdu telpa. |
Piemērs
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informāciju par /namespaces/{NamespaceID} galapunktu var atrast API dokumentācijā.