Administratie

Dit hoofdstuk beschrijft administratieve taken voor gebruikers met de rol Beheerder. Raadpleeg het hoofdstuk Rollen voor meer informatie over de rol.

Belangrijk

Lees de informatie in het begin van dit document ` <index.html>`__ voordat u aan de slag gaat.

Systeembeheer

Informatie over het apparaat

De leveranciers- en productinformatie voor een NetHSM kan als volgt worden opgevraagd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Opstartmodus

NetHSM kan worden gebruikt in Attended Boot-modus en Unattended Boot-modus.

Opstartmodus

Beschrijving

Bijgewoond Boot

De NetHSM start op in een _vergrendelde_ toestand. De Unlock Passphrase moet tijdens elke start worden ingevoerd, die wordt gebruikt om de User Data te ontsleutelen. Om veiligheidsredenen wordt deze modus aanbevolen en het is de standaardmodus voor een nieuw opgestart systeem.

Onbeheerde Boot

Het systeem start onbeheerd op zonder de noodzaak om de Unlock Passphrase in te voeren in een _Operational_ status. Gebruik deze modus als niet aan uw beschikbaarheidsvereisten kan worden voldaan met de modus Attended Boot.

Waarschuwing

Ongeacht de opstartmodus behoudt de Unlock Passphrase zijn geldigheid en is deze nodig voor het herstellen van back-ups op andere hardware. Bewaar de Unlock Passphrase altijd veilig.

De huidige opstartmodus kan als volgt worden opgevraagd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

De opstartmodus kan als volgt worden gewijzigd. Bij de volgende boot zal de NetHSM zich dienovereenkomstig gedragen.

Argumenten

Argument

Beschrijving

Status

In- of uitschakelen van Unattended Boot. Kan de waarde on of off hebben.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Staat

De NetHSM-software heeft vier toestanden: Unprovisioned, Provisioned, Locked, en Operational.

Staat

Beschrijving

Unprovisioned

NetHSM zonder configuratie (fabrieksinstelling)

Provisioned

NetHSM met configuratie. De status Provisioned impliceert een status Operational of Locked.

*operationeel

NetHSM met configuratie en klaar om commando’s uit te voeren. De status Operational impliceert de status Provisioned.

Locked

NetHSM met configuratie maar versleutelde en ontoegankelijke gegevensopslag. Typisch is de volgende stap om het systeem te ontgrendelen. De status Locked impliceert de status Provisioned.

Staten en overgangen van het NetHSM

Staten en overgangen van het NetHSM


De huidige toestand van de NetHSM kan als volgt worden opgevraagd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Een nieuwe NetHSM heeft een status Unprovisioned en gaat na provisioning naar de status Operational. Het provisionen van een NetHSM wordt beschreven in het hoofdstuk Provisioning.

Een NetHSM in de status Operationeel kan opnieuw worden vergrendeld om deze als volgt te beschermen.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Een NetHSM in de status Locked kan als volgt worden ontgrendeld. Terwijl de NetHSM zich in de status _Locked_ bevindt, zijn er geen andere bewerkingen mogelijk. Daarna is de NetHSM in een _Operational_ status.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Wachtwoord ontgrendelen

De Unlock Passphrase wordt gebruikt om een Unlock Key af te leiden als de NetHSM in de status Locked staat. De wachtwoordzin wordt aanvankelijk ingesteld tijdens de provisionering van de NetHSM.

Waarschuwing

De ontgrendelingswachtzin kan niet worden gereset zonder de huidige waarde te kennen. Als de ontgrendelingswachtzin verloren gaat, kan deze niet worden gereset naar een nieuwe waarde en kan de NetHSM niet worden ontgrendeld.

De Unlock Passphrase kan als volgt worden ingesteld.

Optionele opties

Optie

Beschrijving

-n, --new-passphrase TEXT

De nieuwe ontgrendelingswachtzin

-p, --current-passphrase TEXT

De huidige ontgrendelingswachtzin

-f, , –force

Vraag niet om bevestiging voordat u de wachtwoordzin wijzigt

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS-certificaat

Het TLS-certificaat wordt gebruikt voor de op HTTPS gebaseerde REST API, en dus ook door nitropy. Tijdens provisioning wordt een zelf ondertekend certificaat aangemaakt. Het certificaat kan worden vervangen, bijvoorbeeld door een ondertekend certificaat van een certificate authority (CA). In dat geval moet een Certificate Signing Request (CSR) worden gegenereerd. Na ondertekening moet het certificaat in de NetHSM worden geïmporteerd.

Een wijziging is alleen nodig wanneer het certificaat moet worden vervangen. Die wijziging kan zijn om het te vervangen door een ondertekend certificaat van een certificaatautoriteit (CA).

Het TLS-certificaat kan als volgt worden opgehaald.

Verplichte opties

Optie

Beschrijving

-a, --api

Get the certificate for the NetHSM TLS interface

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Het TLS-certificaat kan als volgt worden gegenereerd.

Verplichte opties

Optie

Beschrijving

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Het type voor de gegenereerde sleutel

-l, --length INTEGER

De lengte van de gegenereerde sleutel

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Het Certificate Signing Request (CSR) voor het certificaat kan als volgt worden gegenereerd.

Verplichte opties

Optie

Beschrijving

-a, --api

Een CSR genereren voor het NetHSM TLS-certificaat

--country TEXT

De naam van het land

--state-or-province TEXT

De naam van de staat of provincie

--locality TEXT

De plaatsnaam

--organization TEXT

De naam van de organisatie

--organizational-unit TEXT

De naam van de organisatie-eenheid

--common-name TEXT

De gemeenschappelijke naam

--email-address TEXT

Het e-mailadres

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Het certificaat kan als volgt worden vervangen.

Verplichte opties

Optie

Beschrijving

-a, --api

Het certificaat voor de NetHSM TLS-interface instellen

Argumenten

Argument

Beschrijving

FILENAME

Certificaat bestand

Voorbeeld

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Netwerk

De netwerkconfiguratie definieert de instellingen die worden gebruikt voor de Netwerkpoort.

Notitie

Met deze instellingen wordt de BMC-netwerkpoort niet geconfigureerd.

De netwerkconfiguratie kan als volgt worden opgevraagd.

Verplichte opties

Optie

Beschrijving

--network

De netwerkconfiguratie opvragen

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Stel de netwerkconfiguratie als volgt in.

Notitie

De NetHSM ondersteunt geen DHCP (Dynamic Host Configuration Protocol).

Notitie

De NetHSM ondersteunt geen IPv6 (Internet Protocol versie 6).

Verplichte opties

Optie

Beschrijving

-a, --ip-address

Het nieuwe IP-adres

-n, --netmask

Het nieuwe netmasker

-n, --netmask

De nieuwe poort

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Tijd

De tijdconfiguratie stelt de systeemtijd van de NetHSM-software in. Het is meestal niet nodig om de systeemtijd in te stellen, omdat deze wordt ingesteld tijdens de provisioning.

De tijdconfiguratie kan als volgt worden opgevraagd.

Verplichte opties

Optie

Beschrijving

--time

De systeemtijd opvragen

Voorbeeld

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Stel de tijd van de NetHSM in.

Belangrijk

Zorg ervoor dat u de tijd doorgeeft in UTC-tijdzone.

Argumenten

Argument

Beschrijving

time

De in te stellen systeemtijd (Formaat: JJJJ-MM-DDTHH:MM:SSZ)

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metriek

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

De metriek kan als volgt worden opgevraagd.

Verplichte rol

This operation requires an authentication with the Metrics role.

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Loggen

De NetHSM kan systeemgebeurtenissen loggen op de seriële poort of op een syslogserver op het netwerk.

Belangrijk

Voor elke productie-implementatie moet het NetHSM-logboek continu worden gemonitord om direct melding te maken van potentiële beveiligingsproblemen.

De configuratie van de syslogserver kan als volgt worden opgevraagd.

Verplichte opties

Optie

Beschrijving

--network

De logboekconfiguratie opvragen

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

De syslogserverconfiguratie kan als volgt worden ingesteld.

Verplichte opties

Optie

Beschrijving

-p, --passphrase TEXT

Het IP-adres van de nieuwe logboekbestemming

-p, --port INTEGER

De poort van de nieuwe logboekbestemming

-l, --log-level [debug|info|warning|error]

Het nieuwe logboekniveau

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

De seriële console werkt vanaf het begin van de NetHSM-hardware. Het omvat gebeurtenissen van de NetHSM-firmware en de NetHSM-software.

De instellingen voor de seriële consoleverbinding zijn als volgt.

Instelling

Waarde

Baudrate

115200

Gegevensbits

8

Stopbits

1

Pariteit

Geen

Stroomregeling

Geen

Backup

De NetHSM Gebruikersgegevens kunnen worden opgeslagen in een back-up bestand. Dit backupbestand bevat alle Gebruikersgegevens, namelijk Configuratieopslag, Authenticatieopslag, Domeinsleutelopslag en Sleutelopslag.

Belangrijk

Een NetHSM systeemsoftware in Unattended Boot modus zal de Unlock Passphrase nodig hebben als het hersteld wordt op een andere NetHSM hardware. Raadpleeg het hoofdstuk Unlock Passphrase voor meer informatie.

Belangrijk

Een NetHSM in Unattended Boot modus staat na een restore in dezelfde modus.

Voordat een back-up kan worden gestart, moet de Backup Passphrase worden ingesteld. De Backup Passphrase wordt gebruikt om de gegevens in het back-upbestand te coderen.

Waarschuwing

De back-uppassphrase kan niet gereset worden zonder de huidige waarde te kennen. Als de wachtwoordzin voor de back-up verloren gaat, kan deze niet opnieuw worden ingesteld op een nieuwe waarde en kunnen de gemaakte back-ups niet worden hersteld.

De reservewachtzin kan als volgt worden ingesteld.

Optionele opties

Optie

Beschrijving

-n, --new-passphrase TEXT

De nieuwe wachtwoordzin voor de back-up

-p, --current-passphrase TEXT

De huidige wachtwoordzin voor de back-up (of een lege tekenreeks als deze niet is ingesteld)

-f, , –force

Vraag niet om bevestiging voordat u de wachtwoordzin wijzigt

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

De back-up kan als volgt worden uitgevoerd.

Verplichte rol

This operation requires an authentication with the Backup role.

Argumenten

Argument

Beschrijving

FILENAME

Back-up bestand

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Herstel

De NetHSM kan worden hersteld vanuit een back-upbestand.

  • Als de NetHSM Unprovisioned is, worden alle User Data inclusief systeemconfiguratie hersteld en opnieuw opgestart. Daarom kan het systeem achteraf andere netwerkinstellingen, TLS-certificaat en Unlock Passphrase krijgen.

  • Als de NetHSM Provisioned is, worden gebruikers en gebruikerssleutels hersteld, maar niet de systeemconfiguratie. In dit geval worden alle eerder bestaande gebruikers en gebruikerssleutels verwijderd. De NetHSM eindigt in een Operationele status.

Het herstel kan als volgt worden toegepast.

Optionele opties

Optie

Beschrijving

-p, --backup-passphrase passphrase

De Backup Passphrase

-t, --system-time

De in te stellen systeemtijd (Formaat: YYYY-MM-DDTHH:MM:SSZ).

Belangrijk

Zorg ervoor dat de tijd van uw lokale computer correct is ingesteld. Om een andere tijd in te stellen, moet u deze handmatig opgeven.

Argumenten

Argument

Beschrijving

FILENAME | Bestand herstellen

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Software bijwerken

Software-updates kunnen in twee stappen worden geïnstalleerd. Eerst moet de update-image worden geüpload naar een Provisioned NetHSM. De NetHSM verifieert de authenticiteit, integriteit en het versienummer van de image. Optioneel geeft de NetHSM eventuele release notes weer.

Waarschuwing

Er kan gegevensverlies optreden door de installatie van een bèta-update! Stabiele versies zouden geen gegevensverlies mogen veroorzaken. Het is echter aan te raden om een back-up te maken voordat je gaat updaten.

Het updatebestand kan als volgt worden geüpload.

Argumenten

Argument

Beschrijving

FILENAME

Bestand bijwerken

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Daarna kan de update worden toegepast of afgebroken. Raadpleeg de gewenste optie hieronder. Als de NetHSM wordt uitgeschakeld vóór de “commit” bewerking, moet het updatebestand opnieuw worden geüpload.

Belangrijk

Als het uploaden van de update-afbeelding mislukt met Error: NetHSM request failed: Bad request -- malformed image, volg dan de onderstaande stappen.

  1. Controleer of je een geldig updatebestand hebt met de meegeleverde handtekening.

  2. Zorg ervoor dat er geen hoog logniveau, zoals DEBUG is ingeschakeld. Raadpleeg het hoofdstuk Loggen voor meer informatie over de configuratie van het logniveau.

  3. Herstart het apparaat om gebruikt geheugen vrij te maken.

De update kan als volgt worden toegepast (gecommit). Een eventuele gegevensmigratie wordt pas uitgevoerd op nadat de NetHSM de nieuwe versie van de systeemsoftware met succes heeft opgestart.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

De update kan als volgt worden geannuleerd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Systeeminformatie

Systeeminformatie zoals firmwareversie, softwareversie en hardwareversie kan als volgt worden opgehaald.

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Opnieuw opstarten en afsluiten

De NetHSM kan opnieuw worden opgestart en afgesloten, hetzij op afstand, hetzij met de herstart- en uitschakelknop op de voorkant van de NetHSM-hardware.

De reboot op afstand kan als volgt worden geïnitieerd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

De uitschakeling op afstand kan als volgt worden geïnitieerd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Terugzetten naar fabrieksinstellingen

Een Provisioned NetHSM kan gereset worden naar de fabrieksinstellingen. In dit geval worden alle gebruikersgegevens veilig verwijderd en start de NetHSM op in een Unprovisioned status. Daarna wil je misschien provision de NetHSM.

De reset naar de fabrieksinstellingen kan als volgt worden uitgevoerd.

Voorbeeld

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gebruikersbeheer

Rollen

De NetHSM staat de scheiding van taken toe door het gebruik van verschillende rollen. Aan elke op de NetHSM geconfigureerde gebruikersaccount is een van de volgende rollen toegewezen.

Rol

Beschrijving

Administrator

Een gebruikersaccount met deze rol heeft toegang tot alle door de NetHSM geboden operaties, behalve tot operaties voor sleutelgebruik, d.w.z. ondertekening en decodering van berichten.

Operator

R-Operator: Een gebruikersaccount met deze rol heeft toegang tot alle sleutelgebruikoperaties, een alleen-lezen subset van sleutelbeheeroperaties en gebruikersbeheeroperaties die alleen wijzigingen voor hun eigen account toestaan.

Metrics

Een gebruikersaccount met deze rol heeft alleen toegang tot alleen-lezen metriekbewerkingen.

Backup

Een gebruikersaccount met deze rol heeft alleen toegang tot de handelingen die nodig zijn om een systeemback-up te starten.

Zie Namespaces en Tags voor meer verfijnde toegangsbeperkingen.

Notitie

In een toekomstige versie kunnen extra rollen worden ingevoerd.

Gebruiker toevoegen

Voeg een gebruikersaccount toe aan de NetHSM. Elk gebruikersaccount heeft een Rol, die gespecificeerd moet worden. Raadpleeg het hoofdstuk Rollen voor meer informatie over Rollen.

Optioneel kan een gebruiker worden toegewezen aan een *Namespace*.

Notitie

Het gebruikers-ID moet alfanumeriek zijn. De NetHSM wijst een willekeurige gebruikers-ID toe als er geen is opgegeven.

Een gebruikersaccount kan als volgt worden toegevoegd.

Verplichte opties

Optie

Beschrijving

-n, --real-name TEXT

De echte naam van de nieuwe gebruiker

-N, --namespace TEXT

De naamruimte van de nieuwe gebruiker

-r, --role [Administrator|Operator|Metrics|Backup]

De Rol van de nieuwe gebruiker

-p, --passphrase TEXT

De wachtwoordzin van de nieuwe gebruiker

Optionele opties

Optie

Beschrijving

-u, --user-id TEXT

Het gebruikers-ID van de nieuwe gebruiker

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Standaard wordt de Naamruimte geërfd van de gebruiker die de nieuwe gebruiker toevoegt. Alleen gebruikers zonder Naamruimte kunnen een andere Naamruimte kiezen voor nieuwe gebruikers. De Naamruimte wordt gebruikt als voorvoegsel voor de gebruikersnaam, bijvoorbeeld naamruimte~gebruiker. Daarom kan dezelfde gebruikersnaam in meerdere Namespaces gebruikt worden.

Gebruiker verwijderen

Een gebruikersaccount van de NetHSM verwijderen.

Waarschuwing

Verwijdering is permanent en kan niet worden teruggedraaid.

Een gebruikersaccount kan als volgt worden verwijderd.

Argumenten

Argument

Beschrijving

USER_ID

De gebruikers-id van de gebruiker.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lijst Gebruikers

Maak een lijst van de gebruikers op de NetHSM.

De lijst kan als volgt worden opgevraagd.

Optionele opties

Optie

Beschrijving

--details, --no-details

De echte naam en de rol van de gebruiker opvragen

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Gebruikers binnen een Naamruimte kunnen alleen gebruikers in dezelfde Naamruimte zien.

Gebruikerswachtzin

De wachtwoordzin van een gebruikersaccount kan opnieuw worden ingesteld. Een wachtwoordzin wordt aanvankelijk ingesteld tijdens het toevoegen van een gebruikersaccount.

Notitie

Passphrases moeten >= 10 en <= 200 tekens bevatten.

De gebruikerswachtzin kan als volgt worden ingesteld.

Verplichte opties

Optie

Beschrijving

-u, --user-id TEXT

De gebruikers-ID van de gebruiker

-p, --passphrase TEXT

De nieuwe wachtwoordzin van de gebruiker

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Naamruimten

Namespaces werden geïntroduceerd in softwareversie 2.0. Als je migreert van een eerdere versie van de software, zullen alle bestaande gebruikers en sleutels geen Namespace hebben.

Net als het concept van partities ondersteunt NetHSM de flexibelere Namespaces die sleutels, beheerders en gebruikers op een NetHSM in afzonderlijke subsets groeperen. Gebruikers kunnen alleen sleutels in dezelfde Naamruimte zien en gebruiken en kunnen alleen gebruikers in dezelfde Naamruimte zien. Het is niet mogelijk om gebruikers te zien en sleutels van andere Namespaces te zien en te gebruiken. Wanneer een nieuwe gebruiker wordt aangemaakt, erft hij de Naamruimte van de gebruiker die hem heeft aangemaakt. De beschikbare opslagcapaciteit wordt gedeeld tussen alle Namespaces.

Gebruikers met de rol Administrator ` <administration#roles>`__ worden ook R-Administrator genoemd als ze zich niet in een Naamruimte bevinden, of N-Administrator als ze zich in een Naamruimte bevinden.

Er gelden speciale regels voor R-Administrator gebruikers: Ze kunnen de Naamruimte instellen voor nieuwe gebruikers, een lijst maken van alle gebruikers en de Naamruimte van een gebruiker opvragen. Ook is de NetHSM-configuratie alleen toegankelijk voor R-Administrator gebruikers. R-Administrators kunnen geen sleutels in een Namespace zien.

Om sleutels en gebruikers in een Naamruimte te kunnen aanmaken, moet de Naamruimte worden aangemaakt door een R-Administrator gebruiker. Zodra de Naamruimte is aangemaakt, kunnen R-Administrator gebruikers niet langer gebruikers aanmaken, verwijderen of wijzigen in die Naamruimte. Dit maakt het mogelijk om de sleutels van Namespaces te beschermen tegen toegang door R-Administrator (ook indirect door het toevoegen van een nieuwe gebruiker namens of het resetten van de credentials van een bestaande gebruiker of beheerder). Daarom is het noodzakelijk om een N-Administrator gebruiker aan te maken voor de Naamruimte alvorens de Naamruimte aan te maken. R-Administrator gebruikers kunnen ook een Naamruimte met alle sleutels verwijderen.

Lijst Naamruimten

Geef de namespaces op de NetHSM weer.

De lijst kan als volgt worden opgevraagd.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Naamruimte toevoegen

Een naamruimte toevoegen aan de NetHSM.

R-Administrator gebruikers kunnen al nieuwe accounts aanmaken in de Naamruimte voordat deze is aangemaakt. Na het aanmaken kunnen alleen gebruikers van N-Administrator de gebruikers in de Namespace beheren. Het aanmaken en gebruiken van sleutels in de Naamruimte is pas mogelijk nadat deze is toegevoegd.

Notitie

De naamruimte-ID moet alfanumeriek zijn. De NetHSM wijst een willekeurig gebruikers-ID toe als er geen is opgegeven.

Een Naamruimte kan als volgt worden toegevoegd.

Argumenten

Argument

Beschrijving

NAMESPACE De nieuwe naamruimte.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Naamruimte verwijderen

Een naamruimte verwijderen uit de NetHSM.

Het verwijderen van een Naamruimte verwijdert ook alle sleutels van die Naamruimte. Resterende gebruikers in de Naamruimte kunnen geen sleutels toevoegen totdat de Naamruimte opnieuw is toegevoegd.

Een Naamruimte kan als volgt worden verwijderd.

Argumenten

Argument

Beschrijving

NAMESPACE

De te verwijderen Naamruimte.

Voorbeeld

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Tags voor gebruikers

Tags kunnen worden gebruikt om verfijnde toegangsbeperkingen op sleutels in te stellen en zijn een optionele functie. Een of meer Tags kunnen alleen worden toegewezen aan gebruikersaccounts met de rol Operator. De Operators kunnen alle sleutels zien, maar alleen die gebruiken met ten minste één corresponderende Tag. Een sleutel kan niet worden gewijzigd door een gebruiker Operator.

Meer informatie over het gebruik van Tags op sleutels vindt u op Tags voor sleutels.

Een Tag kan als volgt worden toegevoegd.

Argumenten

Argument

Beschrijving

USER_ID

De gebruikers-ID om de tag op in te stellen.

TAG

De tag die op de gebruikers-ID moet worden ingesteld.

Voorbeeld

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

De Tag kan als volgt worden verwijderd.

Argumenten

Argument

Beschrijving

USER_ID

De gebruikers-ID om de tag op in te stellen.

TAG

De tag die op de gebruikers-ID moet worden ingesteld.

Voorbeeld

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443