Administrācija#

Šajā nodaļā ir aprakstīti administrēšanas uzdevumi lietotājiem ar Administrator lomu. Lai uzzinātu vairāk par šo lomu, lūdzu, skatiet nodaļu Lomas.

Svarīgi

Pirms darba uzsākšanas izlasiet informāciju, kas sniegta šā dokumenta sākumā.

Sistēmas pārvaldība#

Informācija par ierīci#

Pārdevēja un produkta informāciju par NetHSM var iegūt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Startēšanas režīms#

NetHSM var izmantot Attended Boot un Unattended Boot režīmā.

Startēšanas režīms

Apraksts

Apmeklēts Boot

NetHSM ieslēdzas _Locked_ stāvoklī. Katras palaišanas laikā ir jāievada atbloķēšanas parole, kas tiek izmantota, lai atšifrētu lietotāja datus. Drošības apsvērumu dēļ šis režīms ir ieteicams, un tas ir noklusējuma režīms tikko nodrošinātai sistēmai.

Bez uzraudzības palaists Boot

Sistēma tiek palaista bez uzraudzības bez nepieciešamības ievadīt atbloķēšanas paroli _ekspluatācijas_ stāvoklī. Izmantojiet šo režīmu, ja pieejamības prasības nevar izpildīt ar Attended Boot režīmu.

Brīdinājums

Neatkarīgi no sāknēšanas režīma atbloķēšanas parole saglabā savu derīgumu, un tā ir nepieciešama, lai atjaunotu dublējumus citā aparatūrā. Jebkurā laikā glabājiet atbloķēšanas paroli drošībā.

Pašreizējo sāknēšanas režīmu var iegūt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Startēšanas režīmu var mainīt šādi. Nākamajā bootēšanas reizē NetHSM darbosies atbilstoši.

Argumenti

Arguments

Apraksts

Statuss

Ieslēgt vai izslēgt Unattattended Boot. Var būt vērtība on vai </x>`off.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Valsts#

NetHSM programmatūrai ir četri stāvokļi: Neprovizēts, Provizēts, Bloķēts un Darbojas.

Valsts

Apraksts

Neprovizēts

NetHSM bez konfigurācijas (rūpnīcas noklusējuma iestatījumi)

Paredzēts

NetHSM ar konfigurāciju. Provisioned stāvoklis nozīmē vai nu Operational, vai Locked stāvokli.

Darbs

NetHSM ar konfigurāciju un gatavs izpildīt komandas. Darbības stāvoklis nozīmē Provisioned stāvokli.

Locked

NetHSM ar konfigurāciju, bet šifrētiem un nepieejamiem datu krājumiem. Parasti nākamais solis ir sistēmas atbloķēšana. No Locked stāvokļa izriet Provisioned stāvoklis.

NetHSM stāvokļi un pārejas

NetHSM stāvokļi un pārejas#


NetHSM pašreizējo stāvokli var iegūt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Jaunam NetHSM ir Unprovisioned stāvoklis, un pēc nodrošināšanas tas pāriet Operational stāvoklī. NetHSM nodrošināšana ir aprakstīta nodaļā Nodrošināšana.

NetHSM, kas atrodas darbības stāvoklī, var atkal bloķēt, lai to aizsargātu šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM, kas atrodas bloķētā stāvoklī, var atbloķēt šādi. Kamēr NetHSM ir _Locked_ stāvoklī, citas darbības nav iespējamas. Pēc tam NetHSM ir _ekspluatācijas_ stāvoklī.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Atslēgt paroli#

Atbloķēšanas paroli izmanto, lai iegūtu Atbloķēšanas atslēgu, ja NetHSM ir Abloķēts stāvoklī. Frāzi sākotnēji nosaka NetHSM nodrošināšanas laikā.

Brīdinājums

Atbloķēšanas paroli nevar atiestatīt, nezinot pašreizējo vērtību. Ja atbloķēšanas parole tiek pazaudēta, to nevar ne atiestatīt uz jaunu vērtību, ne arī atbloķēt NetHSM.

Atbloķēšanas paroli var iestatīt šādi.

Vienreizējas opcijas

Iespēja

Apraksts

-n, --new-passphrase TEXT

Jaunā atbloķēšanas parole

-p, --current-passphrase TEXT

Pašreizējā atbloķēšanas parole

-f, --force

Pirms paroles frāzes maiņas nelūdziet apstiprinājumu.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS sertifikāts#

TLS sertifikāts tiek izmantots uz HTTPS balstītajam REST API, tātad to izmanto arī nitropy. Veicot nodrošināšanu, tiek izveidots pašparakstīts sertifikāts. Sertifikātu var aizstāt, piemēram, ar sertificēšanas iestādes (CA) parakstītu sertifikātu. Šādā gadījumā ir jāģenerē sertifikāta parakstīšanas pieprasījums (CSR). Pēc parakstīšanas sertifikāts jāimportē uz NetHSM.

Izmaiņas ir nepieciešamas tikai tad, ja sertifikāts ir jānomaina. Šāda maiņa var būt, lai to aizstātu ar sertifikātu iestādes (CA) parakstītu sertifikātu.

TLS sertifikātu var iegūt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-a, --api.

Get the certificate for the NetHSM TLS interface

Piemērs

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS sertifikātu var ģenerēt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Izveidotās atslēgas tips

-l, --length INTEGER

Ģenerētās atslēgas garums

Piemērs

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Sertifikāta parakstīšanas pieprasījumu (CSR) sertifikātam var ģenerēt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-a, --api.

NetHSM TLS sertifikāta CSR ģenerēšana

--country TEXT

Valsts nosaukums

--state-or-province TEXT

Valsts vai provinces nosaukums

--locality TEXT

Vietas nosaukums

--organization TEXT

Organizācijas nosaukums

--organizational-unit TEXT

Organizācijas vienības nosaukums

--common-name TEXT

Vispārpieņemtais nosaukums

--email-address TEXT

E-pasta adrese

Piemērs

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Sertifikātu var aizstāt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-a, --api.

NetHSM TLS saskarnes sertifikāta iestatīšana

Argumenti

Arguments

Apraksts

FILENAME`

Sertifikāta fails

Piemērs

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Tīkls#

Tīkla konfigurācija nosaka iestatījumus, kas tiek izmantoti tīkla portam.

Piezīme

Ar šiem iestatījumiem nav konfigurēts BMC tīkla ports.

Tīkla konfigurāciju var iegūt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

--network`

Pieprasīt tīkla konfigurāciju

Piemērs

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Iestatiet tīkla konfigurāciju šādi.

Piezīme

NetHSM neatbalsta DHCP (Dinamiskais hostu konfigurācijas protokols).

Piezīme

NetHSM neatbalsta IPv6 (interneta protokola 6. versiju).

Nepieciešamās opcijas

Iespēja

Apraksts

-a, --ip-address.

Jaunā IP adrese

-n, --netmask.

Jaunā tīkla maska

-n, --netmask.

Jaunie vārti

Piemērs

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Laiks#

Laika konfigurācija nosaka NetHSM programmatūras sistēmas laiku. Sistēmas laiku parasti nav nepieciešams iestatīt, jo tas tiek iestatīts iestatīšanas laikā.

Laika konfigurāciju var iegūt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

--time`

Vaicāt sistēmas laiku

Piemērs

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Iestatiet NetHSM laiku.

Svarīgi

Pārliecinieties, ka laiks ir norādīts UTC laika joslā.

Argumenti

Arguments

Apraksts

time`

Iestatāmais sistēmas laiks (formāts: GGGGG-MM-DDTHH:MM:SSZ)

Piemērs

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metrikas#

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Metriku var iegūt šādi.

Nepieciešamā loma

This operation requires an authentication with the Metrics role.

Piemērs

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Mežizstrāde#

NetHSM var reģistrēt sistēmas notikumus sērijas pieslēgvietā vai syslog serverī tīklā.

Svarīgi

Jebkurā ražošanas izvietojumā NetHSM žurnāls ir nepārtraukti jāuzrauga, lai nekavējoties paziņotu par iespējamām drošības problēmām.

Sizlogservera konfigurāciju var iegūt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

--network`

Pieprasīt mežistrādes konfigurāciju

Piemērs

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Sizlogservera konfigurāciju var iestatīt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-p, --passphrase TEXT

Jaunā mežistrādes galamērķa IP adrese

-p, --port INTEGER

Jaunā mežistrādes galamērķa osta

-l, --log-level [debug|info|warning|error]

Jaunais žurnāla līmenis

Piemērs

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Sērijas konsole darbojas jau no NetHSM aparatūras sākuma. Tā ietver notikumus no NetHSM programmaparatūras un NetHSM programmatūras.

Sērijas konsoles savienojuma iestatījumi ir šādi.

Iestatīšana

Vērtība

Baud ātrums

115200

Datu biti

8

Stopbiti

1

Paritāte

Nav

Plūsmas kontrole

Nav

Rezerves kopija#

NetHSM Lietotāja datus var saglabāt dublējuma failā. Šajā dublējuma failā ir visi lietotāja dati, proti, konfigurācijas krātuve, autentifikācijas krātuve, domēna atslēgu krātuve un atslēgu krātuve.

Svarīgi

NetHSM sistēmas programmatūrai Unattended Boot režīmā būs nepieciešama Unlock Passphrase, ja tā tiks atjaunota citā NetHSM aparatūrā. Lai uzzinātu vairāk, lūdzu, skatiet nodaļu Unlock Passphrase.

Svarīgi

NetHSM, kas darbojas Unattended Boot režīmā, pēc atjaunošanas darbosies tajā pašā režīmā.

Pirms dublēšanas uzsākšanas ir jāiestata Apkopēšanas parole. Aizkopēšanas paroli izmanto, lai šifrētu datus dublējuma failā.

Brīdinājums

Rezerves paroli nevar atiestatīt, nezinot pašreizējo vērtību. Ja rezerves kopijas parole tiek pazaudēta, to nevar ne atjaunot uz jaunu vērtību, ne arī atjaunot izveidotās rezerves kopijas.

Rezerves frāzi var iestatīt šādi.

Vienreizējas opcijas

Iespēja

Apraksts

-n, --new-passphrase TEXT

Jaunā dublēšanas parole

-p, --current-passphrase TEXT

Pašreizējā dublējuma parole (vai tukša virkne, ja nav iestatīta).

-f, --force

Pirms paroles frāzes maiņas nelūdziet apstiprinājumu.

Piemērs

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Rezerves kopiju var veikt šādi.

Nepieciešamā loma

This operation requires an authentication with the Backup role.

Argumenti

Arguments

Apraksts

FILENAME`

Rezerves kopijas fails

Piemērs

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Atjaunot#

NetHSM var atjaunot no dublējuma faila.

  • Ja NetHSM ir Unprovisioned, tiks atjaunoti visi Lietotāja dati, ieskaitot sistēmas konfigurāciju un restartēšanu. Tāpēc pēc tam sistēmā var tikt mainīti tīkla iestatījumi, TLS sertifikāts un atbloķēšanas parole.

  • Ja NetHSM ir Provisioned, tiks atjaunoti lietotāji un lietotāju atslēgas, bet ne sistēmas konfigurācija. Šādā gadījumā visi iepriekš esošie lietotāji un lietotāju atslēgas tiks dzēsti. NetHSM beidzas Operational stāvoklī.

Atjaunošanu var veikt šādi.

Vienreizējas opcijas

Iespēja

Apraksts

-p, --backup-passphrase passphrase

Aizkopēšanas frāze

-t, --system-time.

Iestatāmais sistēmas laiks (Formāts: YYYY-MM-DDTHH:MM:SSZ)

Svarīgi

Pārliecinieties, vai jūsu vietējā datorā ir pareizi iestatīts laiks. Lai iestatītu citu laiku, lūdzu, norādiet to manuāli.

Argumenti

Arguments

Apraksts

FILENAME | Atjaunot failu

Piemērs

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication#

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Programmatūras atjaunināšana#

Programmatūras atjauninājumus var instalēt divpakāpju procesā. Vispirms atjauninājuma attēls ir jāielādē Provisioned NetHSM. NetHSM pārbauda attēla autentiskumu, integritāti un versijas numuru. Pēc izvēles NetHSM parāda izlaiduma piezīmes, ja tādas ir.

Brīdinājums

Beta versijas atjauninājuma instalēšanas dēļ var tikt zaudēti dati! Stabilajām versijām nevajadzētu izraisīt datu zudumu. Tomēr pirms atjaunināšanas ieteicams izveidot rezerves kopiju.

Atjauninājuma failu var augšupielādēt šādi.

Argumenti

Arguments

Apraksts

FILENAME`

Atjaunināt failu

Piemērs

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Pēc tam atjauninājumu var piemērot vai pārtraukt. Lūdzu, skatiet tālāk norādīto vēlamo opciju. Ja NetHSM tiek izslēgts pirms „commit“ operācijas, atjauninājuma fails ir jāielādē vēlreiz.

Svarīgi

Ja atjauninājuma attēla augšupielāde neizdodas ar Error: NetHSM request failed: Bad request -- malformed image, lūdzu, izpildiet tālāk norādītās darbības.

  1. Pārliecinieties, ka ir derīgs atjauninājuma fails, pārbaudot to ar sniegto parakstu.

  2. Pārliecinieties, ka nav ieslēgts augsts žurnāla līmenis, piemēram, DEBUG. Lai uzzinātu vairāk par žurnāla līmeņa konfigurāciju, skatiet nodaļu Logošana.

  3. Pārstartējiet ierīci, lai atbrīvotu izmantoto atmiņu.

Atjauninājumu var piemērot (izdarīt) šādi. Jebkura datu migrācija tiek veikta tikai pēc tam, kad NetHSM ir veiksmīgi ieviesis jauno sistēmas programmatūras versiju.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Atjaunināšanu var atcelt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Sistēmas informācija#

Sistēmas informāciju, piemēram, programmaparatūras versiju, programmatūras versiju un aparatūras versiju, var iegūt šādi.

Piemērs

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Pārstartēšana un izslēgšana#

NetHSM var no jauna iedarbināt un izslēgt vai nu attālināti, vai ar restartēšanas un izslēgšanas pogu NetHSM aparatūras priekšpusē.

Attālo restartēšanu var uzsākt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Attālo izslēgšanu var uzsākt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Rūpnīcas noklusējuma iestatījumu atiestatīšana#

Uz Provisioned NetHSM var atjaunot rūpnīcas noklusējuma iestatījumus. Šādā gadījumā visi lietotāja dati tiek droši dzēsti, un NetHSM ieslēdzas Unprovisioned stāvoklī. Pēc tam jūs, iespējams, vēlēsieties nodrošināt NetHSM.

Atiestatīšanu uz rūpnīcas noklusējuma iestatījumiem var veikt šādi.

Piemērs

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Lietotāju pārvaldība#

Lomas#

NetHSM ļauj nodalīt pienākumus, izmantojot dažādas lomas. Katram NetHSM konfigurētajam lietotāja kontam ir piešķirta viena no šādām Lomām.

Loma

Apraksts

Administrators

Lietotāja kontam ar šo lomu ir piekļuve visām NetHSM nodrošinātajām operācijām, izņemot atslēgu izmantošanas operācijas, t. i., ziņojumu parakstīšanu un atšifrēšanu.

Operators

Lietotāja kontam ar šo lomu ir piekļuve visām atslēgu lietošanas operācijām, atslēgu pārvaldības operāciju apakškopai, kas paredzēta tikai lasīšanai, un lietotāju pārvaldības operācijām, kas ļauj veikt izmaiņas tikai savā kontā.

Metrika

Lietotāja kontam ar šo lomu ir piekļuve tikai nolasīšanas operācijām.

Aizsardzes kopija

Lietotāja kontam ar šo lomu ir piekļuve tikai tām operācijām, kas nepieciešamas sistēmas dublējuma izveidei.

Smalkāku piekļuves ierobežojumu sk. Nosaukumu telpas un Tags.

Piezīme

Nākamajā versijā var tikt ieviestas papildu Lomas.

Lietotāja pievienošana#

Pievienojiet lietotāja kontu NetHSM. Katram lietotāja kontam ir Role, kas jānorāda. Lai uzzinātu vairāk par Lomām, lūdzu, skatiet nodaļu Lomas .

Pēc izvēles lietotājam var tikt piešķirta *Jaunvārdu telpa*.

Piezīme

Lietotāja ID jābūt burtciparu un ciparu. Ja nav norādīts neviens lietotāja ID, NetHSM piešķir nejaušu lietotāja ID.

Lietotāja kontu var pievienot šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-n, --real-name TEXT

Jaunā lietotāja īstais vārds

-N, --namespace TEXT

Jaunā lietotāja vārdu telpa

-r, --role [Administrator|Operator|Metrics|Backup]

Jaunā lietotāja Loma

-p, --passphrase TEXT

Jaunā lietotāja piekļuves frāze

Vienreizējas opcijas

Iespēja

Apraksts

-u, --user-id TEXT

Jaunā lietotāja lietotāja ID

Piemērs

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Pēc noklusējuma vārdu telpa tiek mantota no lietotāja, kas pievieno jaunu lietotāju. Tikai lietotāji, kuriem nav vārdu telpas, var izvēlēties citu vārdu telpu jauniem lietotājiem. Vietvārdu telpu izmanto kā prefiksu lietotāja vārdam, piemēram, namespace~user. Tāpēc vienu un to pašu lietotāja vārdu var izmantot vairākās vārdu telpās.

Lietotāja dzēšana#

Dzēst lietotāja kontu no NetHSM.

Brīdinājums

Dzēšana ir neatgriezeniska, un to nevar atcelt.

Lietotāja kontu var dzēst šādi.

Argumenti

Arguments

Apraksts

USER_ID`

Lietotāja lietotāja ID.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Saraksta lietotāji#

Uzskaitiet lietotājus NetHSM.

Sarakstu var iegūt šādi.

Vienreizējas opcijas

Iespēja

Apraksts

--details, --no-details.

Vaicāt lietotāja īsto vārdu un lomu

Piemērs

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Lietotāji vārdu telpā var redzēt tikai lietotājus tajā pašā vārdu telpā.

Lietotāja piekļuves frāze#

Lietotāja konta piekļuves frāzi var atiestatīt. Lietotāja konta pievienošanas laikā tiek sākotnēji iestatīta piekļuves frāze.

Piezīme

Piekļuves frāzēs jābūt >= 10 un <= 200 rakstzīmēm.

Lietotāja paroli var iestatīt šādi.

Nepieciešamās opcijas

Iespēja

Apraksts

-u, --user-id TEXT

Lietotāja lietotāja ID

-p, --passphrase TEXT

Lietotāja jaunā piekļuves frāze

Piemērs

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Nosaukumu telpas#

Programmatūras 2.0 versijā tika ieviestas vārdu telpas. Pārejot no iepriekšējās programmatūras versijas, visi esošie lietotāji un atslēgas būs bez vārdu telpas.

Līdzīgi kā nodalījumu koncepcija, arī NetHSM atbalsta elastīgāku Namespaces, kas grupē atslēgas, administratorus un lietotājus NetHSM atsevišķās apakškopās. Lietotāji var redzēt un izmantot tikai tās pašas vārdu telpas atslēgas, un lietotāji var redzēt tikai tās pašas vārdu telpas lietotājus. Nav iespējams redzēt lietotājus un redzēt un izmantot citu vārdšķiru telpu atslēgas. Kad tiek izveidots jauns lietotājs, tas manto tā lietotāja Namespace, kurš to izveidojis. Pieejamā atmiņas ietilpība ir koplietojama starp visām Nameštelpām.

Lietotāji ar Administrator lomu tiek saukti arī par R-Administrator, ja viņi nav Namespace, vai N-Administrator, ja viņi ir Namespace.

Uz R-Administrator lietotājiem attiecas īpaši noteikumi: Viņi var iestatīt jauno lietotāju vārdu telpu, uzskaitīt visus lietotājus un pieprasīt lietotāja vārdu telpu. Turklāt NetHSM konfigurācijai var piekļūt tikai R-Administrator lietotāji. R-Administrators nevar redzēt atslēgas vārdu telpā.

Lai vārdu telpā varētu ģenerēt atslēgas un lietotājus, vārdu telpa ir jāizveido R-Administrator lietotājam. Kad vārdu telpa ir izveidota, R-Administrator lietotāji vairs nevar izveidot, dzēst vai mainīt lietotājus šajā vārdu telpā. Tas ļauj aizsargāt Namespaces atslēgas, kurām var piekļūt R-Administrator (arī netieši, pievienojot jaunu lietotāju vārdā vai atiestatot esošā lietotāja vai administratora akreditācijas datus). Tāpēc pirms vietņu telpas izveides ir nepieciešams izveidot N-Administrator lietotāju vietņu telpai. R-Administrator lietotāji var arī dzēst vārdu telpu ar visiem tajā esošajiem atslēgiem.

Saraksta vārdu telpas#

Uzskaitiet nosaukumu telpas NetHSM.

Sarakstu var iegūt šādi.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Pievienot vārdu telpu#

Nosaukumu telpas pievienošana NetHSM.

R-Administrator lietotāji var izveidot jaunus kontus vārdu telpā jau pirms tās izveides. Pēc izveides lietotājus vārdu telpā var pārvaldīt tikai N-Administrator lietotāji. Nosaukumu telpas atslēgu izveide un izmantošana ir iespējama tikai pēc tās pievienošanas.

Piezīme

Nosaukumu telpas ID jābūt burtciparu un ciparu. NetHSM piešķir nejaušu lietotāja ID, ja tāds nav norādīts.

Nosaukumu telpu var pievienot šādi.

Argumenti

Arguments

Apraksts

NAMESPACE | Jaunā vārdu telpa.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Dzēst vārdu telpu#

Noma telpas dzēšana no NetHSM.

Dzēšot vārdu telpu, tiek dzēsti arī visi šīs vārdu telpas atslēgas taustiņi. Atlikušie lietotāji vārdu telpā nevar pievienot atslēgas, kamēr vārdu telpa nav pievienota no jauna.

Nosaukumu telpu var dzēst šādi.

Argumenti

Arguments

Apraksts

NAMESPACE

Dzēšamā vārdu telpa.

Piemērs

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Lietotāju birkas#

Tags var izmantot, lai iestatītu precīzus piekļuves ierobežojumus atslēgām, un tās ir izvēles funkcija. Vienu vai vairākas Tags var piešķirt tikai lietotāju kontiem ar Operatora lomu. Operatori Operatori var redzēt visas atslēgas, bet izmantot tikai tās, kurām ir vismaz viena atbilstoša Tags. Atslēgu nevar mainīt Operatora lietotājs.

Lai uzzinātu, kā izmantot Tags uz atslēgām, skatiet Tags atslēgām.

Tēmiņu Tag var pievienot šādi.

Argumenti

Arguments

Apraksts

USER_ID`

Lietotāja ID, kam iestatīt birku.

TAG`

Lietotāja ID iestatāmā birka.

Piemērs

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag var dzēst šādi.

Argumenti

Arguments

Apraksts

USER_ID`

Lietotāja ID, kam iestatīt birku.

TAG`

Lietotāja ID iestatāmā birka.

Piemērs

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443