Administracja

W tym rozdziale opisano zadania administracyjne dla użytkowników z rolą Administrator. Więcej informacji na temat tej roli można znaleźć w rozdziale Role.

Ważne

Upewnij się, że przeczytałeś informacje zawarte na początku ` tego dokumentu <index.html>`__ przed rozpoczęciem pracy.

Zarządzanie systemem

Informacje o urządzeniu

Informacje o sprzedawcy i produkcie NetHSM można uzyskać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Tryb Boot Mode

NetHSM może być używany w trybie Attended Boot lub Unattended Boot.

Tryb Boot Mode

Opis

Uczestnik Boot

NetHSM uruchamia się w stanie _Locked_. Podczas każdego uruchomienia należy wprowadzić Unlock Passphrase, które jest używane do odszyfrowania User Data. Ze względów bezpieczeństwa ten tryb jest zalecany i jest to tryb domyślny dla świeżo udostępnionego systemu.

Rozruch nienadzorowany

System uruchamia się w trybie nienadzorowanym bez konieczności wprowadzania Unlock Passphrase do stanu _Operational_. Użyj tego trybu, jeśli wymagania dotyczące dostępności nie mogą być spełnione w trybie Attended Boot.

Ostrzeżenie

Niezależnie od trybu rozruchu, hasło odblokowujące ** zachowuje swoją ważność i jest wymagane do przywracania kopii zapasowych na innym sprzęcie. Hasło odblokowujące ** należy zawsze przechowywać w bezpiecznym miejscu.

Bieżący tryb rozruchu można uzyskać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Tryb rozruchu można zmienić w następujący sposób. Przy następnym uruchomieniu NetHSM zachowa się odpowiednio.

Argumenty

Argument

Opis

Status

Włącza lub wyłącza Nienadzorowane uruchamianie. Może mieć wartość on lub off.

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Państwo

Oprogramowanie NetHSM ma cztery stany: Unprovisioned, Provisioned, Locked i Operational.

Państwo

Opis

Niezapisany

NetHSM bez konfiguracji (domyślne ustawienia fabryczne)

Zapewnione

NetHSM z konfiguracją. Stan Provisioned oznacza stan Operational lub Locked.

Operacja

NetHSM z konfiguracją i gotowy do wykonywania poleceń. Stan Operational oznacza stan Provisioned.

Zablokowany

NetHSM z konfiguracją, ale zaszyfrowanymi i niedostępnymi magazynami danych. Zazwyczaj następnym krokiem jest odblokowanie systemu. Stan Locked implikuje stan Provisioned.

Stany i przejścia w ramach NetHSM

Stany i przejścia w ramach NetHSM


Aktualny stan urządzenia NetHSM można odczytać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Nowy moduł NetHSM znajduje się w stanie Unprovisioned, a po aprowizacji przechodzi w stan Operational. Konfiguracja NetHSM została opisana w rozdziale Konfiguracja.

Urządzenie NetHSM w stanie Operational można ponownie zablokować w celu jego ochrony w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Urządzenie NetHSM w stanie Locked można odblokować w następujący sposób. Gdy moduł NetHSM znajduje się w stanie _Locked_, żadne inne operacje nie są możliwe. Następnie NetHSM znajduje się w stanie _Operational_.

Przykład

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Odblokuj hasło

Fraza Unlock Passphrase [hasło odblokowujące] służy do uzyskania klucza Unlock Key [klucz odblokowujący], jeśli urządzenie NetHSM jest w stanie Locked [zablokowane]. Passphrase* [hasło odblokowujące] jest ustawiane początkowo podczas tworzenia urządzenia NetHSM.

Ostrzeżenie

Hasła odblokowującego nie można zresetować bez znajomości aktualnej wartości. Jeśli hasło odblokowujące zostanie utracone, nie można go zresetować do nowej wartości ani odblokować NetHSM.

Frazę Unlock Passphrase można ustawić w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-n, --new-passphrase TEXT

Nowe hasło odblokowujące

-p, --current-passphrase TEXT

Bieżące hasło odblokowujące

-f, --force

Nie pytaj o potwierdzenie przed zmianą hasła.

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certyfikat TLS

Certyfikat TLS jest używany dla REST API opartego na protokole HTTPS, a więc również przez nitropy. W trakcie zapisywania tworzony jest samodzielnie podpisany certyfikat. Certyfikat można zastąpić, np. podpisanym certyfikatem z urzędu certyfikacji (CA). W takim przypadku należy wygenerować Certificate Signing Request (CSR). Po podpisaniu certyfikat należy zaimportować do urządzenia NetHSM.

Zmiana jest konieczna tylko wtedy, gdy certyfikat ma zostać zastąpiony. Taką zmianą może być zastąpienie go podpisanym certyfikatem z urzędu certyfikacji (CA).

Certyfikat TLS można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Uzyskanie certyfikatu dla interfejsu TLS NetHSM

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Certyfikat TLS można wygenerować w następujący sposób.

Wymagane opcje.

Opcja

Opis

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Typ dla wygenerowanego klucza

-l, --length INTEGER

Długość wygenerowanego klucza

Przykład

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) dla certyfikatu można wygenerować w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Generowanie CSR dla certyfikatu NetHSM TLS

--country TEXT

Nazwa kraju

--state-or-province TEXT

Nazwa państwa lub województwa

--locality TEXT

Nazwa miejscowości

--organization TEXT

Nazwa organizacji

--organizational-unit TEXT

Nazwa jednostki organizacyjnej

--common-name TEXT

Nazwa zwyczajowa

--email-address TEXT

Adres e-mail.

Przykład

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certyfikat można zastąpić w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Ustawianie certyfikatu dla interfejsu NetHSM TLS

Argumenty

Argument

Opis

FILENAME

Plik z certyfikatami

Przykład

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Sieć

Konfiguracja sieci określa ustawienia używane dla Portu sieciowego.

Informacja

To ustawienie nie konfiguruje Portu sieciowego BMC.

Konfigurację sieci można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--network

Zapytanie o konfigurację sieci

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Ustaw konfigurację sieci w następujący sposób.

Informacja

Urządzenie NetHSM nie obsługuje protokołu DHCP (Dynamic Host Configuration Protocol).

Informacja

NetHSM nie obsługuje protokołu IPv6 (Internet Protocol version 6).

Wymagane opcje.

Opcja

Opis

-a, --ip-address.

Nowy adres IP

-n, --netmask.

Nowa maska sieci

-n, --netmask.

Nowa brama

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Czas

W konfiguracji czasu ustawia się czas systemowy oprogramowania NetHSM. Zazwyczaj nie jest wymagane ustawianie czasu systemowego, ponieważ jest on ustawiany podczas tworzenia rezerw.

Konfigurację czasu można odzyskać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--time

Zapytanie o czas systemowy

Przykład

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ustawić godzinę pracy urządzenia NetHSM.

Ważne

Upewnij się, że przekazujesz czas w strefie czasowej UTC.

Argumenty

Argument

Opis

time

Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ)

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metryki

NetHSM rejestruje metryki parametrów systemu. Więcej informacji na temat każdej metryki można znaleźć na stronie Metrics.

Metryki mogą być pobierane w następujący sposób.

Wymagana rola.

Ta operacja wymaga uwierzytelnienia przy użyciu roli Metrics.

Przykład

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Rejestrowanie

Urządzenie NetHSM może rejestrować zdarzenia systemowe na porcie szeregowym lub na serwerze syslog w sieci.

Ważne

W przypadku każdego wdrożenia produkcyjnego dziennik NetHSM powinien być stale monitorowany, aby zapewnić natychmiastowe powiadomienie o wszelkich potencjalnych problemach związanych z bezpieczeństwem.

Konfigurację serwera syslog można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--network

Zapytanie o konfigurację logowania

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguracja serwera syslog może być ustawiona w następujący sposób.

Wymagane opcje.

Opcja

Opis

-p, --passphrase TEXT

Adres IP nowego miejsca docelowego logowania

-p, --port INTEGER

Port nowego miejsca docelowego logowania

-l, --log-level [debug|info|warning|error].

Nowy poziom dziennika

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Konsola szeregowa działa od samego początku działania sprzętu NetHSM. Obejmuje zdarzenia z firmware i oprogramowania NetHSM.

Ustawienia połączenia konsoli szeregowej są następujące.

Ustawienie

Wartość

Szybkość transmisji

115200

Bity danych

8

Bity stopu

1

Parzystość

Brak

Kontrola przepływu

Brak

Kopia zapasowa

Dane użytkownika NetHSM User Data można zapisać w pliku kopii zapasowej. Plik kopii zapasowej zawiera wszystkie User Data, czyli Configuration Store, Authentication Store, Domain Key Store i Key Store.

Ważne

Oprogramowanie systemowe NetHSM w trybie Unattended Boot będzie wymagało Unlock Passphrase jeśli zostanie przywrócone na innym sprzęcie NetHSM. Więcej informacji można znaleźć w rozdziale Unlock Passphrase.

Ważne

NetHSM pracujący w trybie Unattended Boot będzie pracował w tym samym trybie po przywróceniu systemu.

Przed rozpoczęciem tworzenia kopii zapasowej należy ustawić Backup Passphrase [hasło dostępu do kopii zapasowej]. Służy ona do szyfrowania danych w pliku kopii zapasowej.

Ostrzeżenie

Hasła kopii zapasowej nie można zresetować bez znajomości bieżącej wartości. Jeśli hasło kopii zapasowej zostanie utracone, nie można go zresetować do nowej wartości ani przywrócić utworzonych kopii zapasowych.

Hasło zapasowe można ustawić w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-n, --new-passphrase TEXT

Nowa fraza hasła do kopii zapasowej

-p, --current-passphrase TEXT

Bieżące hasło kopii zapasowej (lub pusty ciąg, jeśli nie zostało ustawione).

-f, --force

Nie pytaj o potwierdzenie przed zmianą hasła.

Przykład

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Kopia zapasowa może być wykonana w następujący sposób.

Wymagana rola.

Ta operacja wymaga uwierzytelnienia przy użyciu roli Backup.

Argumenty

Argument

Opis

FILENAME

Plik kopii zapasowej

Przykład

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Przywróć

Program NetHSM można przywrócić z pliku kopii zapasowej.

  • Jeśli NetHSM jest Unprovisioned, przywróci wszystkie dane użytkownika, w tym konfigurację systemu i uruchomi się ponownie. W związku z tym system może otrzymać inne ustawienia sieciowe, certyfikat TLS i Unlock Passphrase.

  • Jeśli NetHSM jest Provisioned przywróci użytkowników i klucze użytkowników, ale nie konfigurację systemu. W takim przypadku wszyscy wcześniej istniejący użytkownicy i klucze użytkowników zostaną usunięte. NetHSM kończy pracę w stanie Operational.

Przywracanie może być stosowane w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-p, --backup-passphrase passphrase

Hasło Backup Passphrase.

-t, --system-time.

Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ).

Ważne

Upewnij się, że czas lokalnego komputera jest prawidłowo ustawiony. Aby ustawić inny czas, należy podać go ręcznie.

Argumenty

Argument

Opis

FILENAME` | Przywrócenie pliku

Przykład

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Aktualizacja oprogramowania

Aktualizacje oprogramowania można zainstalować w dwuetapowym procesie. Najpierw obraz aktualizacji musi zostać przesłany do Provisioned NetHSM. NetHSM weryfikuje autentyczność, integralność i numer wersji obrazu. Opcjonalnie NetHSM wyświetla informacje o wersji, jeśli takie istnieją.

Ostrzeżenie

Utrata danych może nastąpić w wyniku instalacji aktualizacji beta! Stabilne wersje nie powinny powodować utraty danych. Zaleca się jednak utworzenie kopii zapasowej przed aktualizacją.

Plik aktualizacyjny można wgrać w następujący sposób.

Argumenty

Argument

Opis

FILENAME

Plik aktualizacyjny

Przykład

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Następnie aktualizacja może zostać zastosowana lub przerwana. Należy zapoznać się z wybraną opcją poniżej. Jeśli NetHSM zostanie wyłączony przed operacją „commit”, plik aktualizacji musi zostać przesłany ponownie.

Ważne

Jeśli przesyłanie obrazu aktualizacji nie powiedzie się z Error: NetHSM request failed: Bad request -- malformed image, wykonaj poniższe czynności.

  1. Upewnij się, że masz prawidłowy plik aktualizacji, sprawdzając go za pomocą dostarczonego podpisu.

  2. Upewnij się, że nie masz włączonego wysokiego poziomu dziennika, takiego jak DEBUG. Więcej informacji na temat konfiguracji poziomu dziennika można znaleźć w rozdziale Logowanie.

  3. Uruchom ponownie urządzenie, aby zwolnić używaną pamięć.

Aktualizację można zastosować (zatwierdzić) w następujący sposób. Jakakolwiek migracja danych jest wykonywana tylko po NetHSM pomyślnie uruchomił nową wersję oprogramowania systemowego.

Przykład

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Aktualizację można anulować w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Informacje o systemie

Informacje o systemie, takie jak wersja oprogramowania sprzętowego, wersja oprogramowania i wersja sprzętu, można uzyskać w następujący sposób.

Przykład

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Ponowne uruchomienie i wyłączenie

Urządzenie NetHSM można zrestartować i wyłączyć, zarówno zdalnie, jak i za pomocą przycisku restartu i wyłączenia znajdującego się z przodu urządzenia.

Zdalny restart może być zainicjowany w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Zdalne wyłączenie może być zainicjowane w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Resetowanie do ustawień fabrycznych

Urządzenie Provisioned NetHSM można zresetować do domyślnych ustawień fabrycznych. W takim przypadku wszystkie dane użytkownika są bezpiecznie usuwane, a NetHSM uruchamia się w stanie Unprovisioned. Następnie można udostępnić NetHSM.

Przywrócenie ustawień fabrycznych można wykonać w następujący sposób.

Przykład

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Zarządzanie użytkownikami

Role

NetHSM umożliwia rozdzielenie obowiązków poprzez zastosowanie różnych ról. Każde konto użytkownika skonfigurowane w NetHSM ma przypisaną jedną z następujących Roles.

Rola

Opis

Administrator

Konto użytkownika z tą rolą ma dostęp do wszystkich operacji wykonywanych przez NetHSM, z wyjątkiem operacji związanych z użyciem kluczy, tj. podpisywania i odszyfrowywania wiadomości.

Operator

Konto użytkownika z tą rolą ma dostęp do wszystkich operacji związanych z używaniem kluczy, podzbioru operacji zarządzania kluczami tylko do odczytu oraz operacji zarządzania użytkownikami umożliwiających zmiany tylko na własnym koncie.

Metryka

Konto użytkownika z tą Rolą ma dostęp tylko do operacji metryki w trybie read-only.

Backup

Konto użytkownika z tą Rolą ma dostęp tylko do operacji wymaganych do zainicjowania kopii zapasowej systemu.

Zobacz Przestrzenie nazw i Tagi, aby uzyskać bardziej szczegółowe ograniczenia dostępu.

Informacja

W przyszłym wydaniu mogą zostać wprowadzone dodatkowe Role.

Dodaj użytkownika

Dodaj konto użytkownika do NetHSM. Każde konto użytkownika posiada rolę Role, którą należy określić.* Więcej informacji na temat ról *można znaleźć w rozdziale Role .

Opcjonalnie użytkownik może zostać przypisany do *Namespace*.

Informacja

Identyfikator użytkownika musi być alfanumeryczny. NetHSM przypisuje losowy identyfikator użytkownika, jeśli żaden nie został określony.

Konto użytkownika można dodać w następujący sposób.

Wymagane opcje.

Opcja

Opis

-n, --real-name TEXT

Prawdziwa nazwa nowego użytkownika

-N, --namespace TEXT

Przestrzeń nazw nowego użytkownika

-r, --role [Administrator|Operator|Metrics|Backup]

Rola nowego użytkownika

-p, --passphrase TEXT

Hasło dostępu dla nowego użytkownika

Opcje dodatkowe.

Opcja

Opis

-u, --user-id TEXT

Identyfikator nowego użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Domyślnie przestrzeń nazw jest dziedziczona po użytkowniku, który dodaje nowego użytkownika. Tylko użytkownicy bez przestrzeni nazw mogą wybrać inną przestrzeń nazw dla nowych użytkowników. Przestrzeń nazw jest używana jako przedrostek nazwy użytkownika, na przykład namespace~user. Dlatego ta sama nazwa użytkownika może być używana w kilku przestrzeniach nazw.

Usuń użytkownika

Usuwanie konta użytkownika z systemu NetHSM.

Ostrzeżenie

Usunięcie jest trwałe i nie można go przywrócić.

Konto użytkownika można usunąć w następujący sposób.

Argumenty

Argument

Opis

USER_ID

Id użytkownika.

Przykład

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista użytkowników

Sporządzić wykaz użytkowników w systemie NetHSM.

Listę można odzyskać w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

--details, --no-details.

Zapytanie o prawdziwą nazwę i rolę użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Użytkownicy w przestrzeni nazw mogą widzieć tylko użytkowników w tej samej przestrzeni nazw.

Hasło użytkownika

Hasło dla konta użytkownika może zostać zresetowane. Hasło jest początkowo ustawiane podczas dodawania konta użytkownika.

Informacja

Passphrases muszą mieć >= 10 i <= 200 znaków.

Hasło użytkownika można ustawić w następujący sposób.

Wymagane opcje.

Opcja

Opis

-u, --user-id TEXT

Identyfikator użytkownika

-p, --passphrase TEXT

Nowe hasło użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Przestrzenie nazw

Przestrzenie nazw zostały wprowadzone w wersji 2.0 oprogramowania. Podczas migracji z wcześniejszej wersji oprogramowania wszyscy istniejący użytkownicy i klucze będą bez przestrzeni nazw.

Podobnie do koncepcji partycji, NetHSM obsługuje bardziej elastyczne Namespaces, które grupują klucze, administratorów i użytkowników w NetHSM w oddzielne podzbiory. Użytkownicy mogą widzieć i używać kluczy tylko w tej samej przestrzeni nazw i mogą widzieć użytkowników tylko w tej samej przestrzeni nazw. Nie jest możliwe widzenie użytkowników oraz widzenie i używanie kluczy z innych przestrzeni nazw. Gdy tworzony jest nowy użytkownik, dziedziczy on przestrzeń nazw użytkownika, który go utworzył. Dostępna przestrzeń dyskowa jest współdzielona przez wszystkie przestrzenie nazw.

Użytkownicy z rolą Administrator ` <administration#roles>`__ są również określani jako R-Administrator, jeśli nie znajdują się w przestrzeni nazw, lub N-Administrator, jeśli znajdują się w przestrzeni nazw.

Specjalne zasady dotyczą użytkowników R-Administrator: Mogą oni ustawiać przestrzeń nazw dla nowych użytkowników, wyświetlać listę wszystkich użytkowników i odpytywać o przestrzeń nazw użytkownika. Ponadto dostęp do konfiguracji NetHSM mają tylko użytkownicy R-Administrator. R-Administratorzy nie widzą kluczy w przestrzeni nazw.

Aby móc generować klucze i użytkowników w przestrzeni nazw, przestrzeń nazw musi zostać utworzona przez użytkownika R-Administrator. Po utworzeniu przestrzeni nazw użytkownicy R-Administrator nie mogą już tworzyć, usuwać ani modyfikować użytkowników w tej przestrzeni nazw. Pozwala to chronić klucze przestrzeni nazw przed dostępem R-Administratora (również pośrednio poprzez dodanie nowego użytkownika w imieniu lub zresetowanie poświadczeń istniejącego użytkownika lub administratora). Dlatego konieczne jest utworzenie użytkownika N-Administrator dla przestrzeni nazw przed utworzeniem przestrzeni nazw. Użytkownicy R-Administrator mogą również usunąć przestrzeń nazw ze wszystkimi zawartymi w niej kluczami.

Lista przestrzeni nazw

Lista przestrzeni nazw w NetHSM.

Listę można odzyskać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Dodaj przestrzeń nazw

Dodaj przestrzeń nazw do NetHSM.

Użytkownicy R-Administrator mogą tworzyć nowe konta w przestrzeni nazw jeszcze przed jej utworzeniem. Po utworzeniu tylko użytkownicy N-Administrator mogą zarządzać użytkownikami w Przestrzeni nazw. Tworzenie i używanie kluczy w Przestrzeni nazw jest możliwe dopiero po jej dodaniu.

Informacja

Identyfikator przestrzeni nazw musi być alfanumeryczny. NetHSM przypisuje losowy identyfikator użytkownika, jeśli żaden nie został określony.

Przestrzeń nazw można dodać w następujący sposób.

Argumenty

Argument

Opis

NAMESPACE | Nowa przestrzeń nazw.

Przykład

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Usuń przestrzeń nazw

Usunięcie przestrzeni nazw z NetHSM.

Usunięcie przestrzeni nazw powoduje również usunięcie wszystkich kluczy tej przestrzeni. Pozostali użytkownicy w przestrzeni nazw nie mogą dodawać kluczy, dopóki przestrzeń nazw nie zostanie ponownie dodana.

Przestrzeń nazw można usunąć w następujący sposób.

Argumenty

Argument

Opis

NAMESPACE

Przestrzeń nazw do usunięcia.

Przykład

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Tagi dla użytkowników

Tagi mogą być używane do ustawiania precyzyjnych ograniczeń dostępu do kluczy i są funkcją opcjonalną. Jeden lub więcej tagów ** można przypisać do kont użytkowników z rolą Operator. Operatorzy ** widzą wszystkie klucze, ale używają tylko tych z co najmniej jednym odpowiadającym im tagiem ** . Klucz nie może być modyfikowany przez użytkownika Operator.

Aby dowiedzieć się, jak używać znaczników ** na kluczach, zapoznaj się z Znaczniki dla kluczy.

Tag ** można dodać w następujący sposób.

Argumenty

Argument

Opis

USER_ID

ID użytkownika, na którym ma być ustawiony tag.

TAG

Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag można usunąć w następujący sposób.

Argumenty

Argument

Opis

USER_ID

ID użytkownika, na którym ma być ustawiony tag.

TAG

Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443