Administração

This chapter describes administrative tasks for users with the Administrator role. Please refer to chapter Roles to learn more about the role.

Importante

Certifique-se por favor de ler a informação no início de ` este documento <index.html>`__ antes de começar a trabalhar.

Gestão do sistema

Informação do dispositivo

A informação do fornecedor e do produto para um NetHSM pode ser recuperada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo Boot

NetHSM pode ser usado no modo Attended Boot e Unattended Boot mode.

Modo Boot

Descrição

Attended Boot

O NetHSM arranca num estado _Locked_. A frase-chave de desbloqueio ** tem de ser introduzida durante cada arranque, que é utilizada para desencriptar os dados do utilizador ** . Por motivos de segurança, este modo é recomendado e é o modo padrão para um sistema recém-provisionado.

Unattended Boot

O sistema arranca sem supervisão, sem necessidade de introduzir a Unlock Passphrase num estado _Operational_. Utilize este modo se os seus requisitos de disponibilidade não puderem ser cumpridos com o modo Attended Boot.

Aviso

Independentemente do modo de arranque, a Unlock Passphrase mantém a sua validade e é necessária para restaurar cópias de segurança noutro hardware. Mantenha a frase-chave de desbloqueio ** segura em qualquer altura.

O modo de arranque actual pode ser recuperado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

The boot mode can be changed as follows. At next boot, the NetHSM will behave accordingly.

Argumentos*

Argumento

Descrição

Estado

Activar ou desactivar * Bota desacompanhada*. Pode ter valor on ou `x id="64"></x>`.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Estado

O software NetHSM tem quatro estados: Não previsto*, Provisionado, Travado, e Fechado, e Operacional.

Estado

Descrição

Não previsto

NetHSM sem configuração (predefinição de fábrica)

Provisionado

NetHSM com configuração. O estado Provisionado implica um estado Operacional ou Fechado.

Operacional

NetHSM com configuração e pronto a executar comandos. O estado Operacional implica o estado Provisionado.

Travado

NetHSM with configuration but encrypted and inaccessible data stores. Typically, the next step is to unlock the system. The Locked state implies the Provisioned state.

Estados e transições do NetHSM

Estados e transições do NetHSM


O estado actual do NetHSM pode ser recuperado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

A new NetHSM has an Unprovisioned state and after provisioning enters the Operational state. The provisioning of a NetHSM is described in the chapter Provisioning.

Um NetHSM em estado Operacional pode ser bloqueado novamente para o proteger da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Um NetHSM no estado Bloqueado pode ser desbloqueado da seguinte forma. Enquanto o NetHSM estiver no estado _Locked_ não são possíveis outras operações. Depois, o NetHSM está num estado _Operacional_.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Desbloquear frase-senha

A Senha de Bloqueio é utilizada para obter uma * Chave de Bloqueio* se o NetHSM estiver no estado Travado. A frase-senha é inicialmente definida durante o aprovisionamento do NetHSM.

Aviso

A frase-chave de desbloqueio não pode ser reposta sem conhecer o valor atual. Se a frase-chave de desbloqueio se perder, não pode ser reposta para um novo valor nem o NetHSM pode ser desbloqueado.

A Pasfrásica de Bloqueio pode ser definida como se segue.

Opções opcionais*

Opção

Descrição

-n, --new-passphrase TEXT

A nova frase-senha de desbloqueio

-p, --current-passphrase TEXT

The current unlock passphrase

-f, --force

Não pedir confirmação antes de alterar a frase-chave

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificado TLS

O certificado TLS é utilizado para o HTTPS baseado em REST API, e portanto também utilizado pela nitropia. Durante o aprovisionamento, é criado um certificado autoassinado. O certificado pode ser substituído, por exemplo, por um certificado assinado por uma autoridade certificadora (AC). Neste caso, deve ser gerado um Pedido de Assinatura de Certificado (CSR). Depois de assinado o certificado deve ser importado para o NetHSM.

Uma alteração só é necessária quando o certificado tiver de ser substituído. Tal alteração pode ser para a substituir por um certificado assinado por uma autoridade certificadora (AC).

O certificado do TLS pode ser recuperado da seguinte forma.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Get the certificate for the NetHSM TLS interface

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

O certificado TLS pode ser gerado da seguinte forma.

Opções requeridas*

Opção

Descrição

-t`, `x id="10"></x>` >`x id=»21»></x>``

O tipo para a chave gerada

-l`, `x id="10"></x>` x id="23"></x>``

O comprimento da chave gerada

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

O Pedido de Assinatura de Certificado (CSR) para o certificado pode ser gerado da seguinte forma.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Gerar um CSR para o certificado NetHSM TLS

--country` `x id="16"></x>`

O nome do país

--state-or-province` `x id="26"></x>`

O nome do estado ou província

--locality` `x id="17"></x>`

O nome da localidade

--organization` `x id="21"></x>`

O nome da organização

--organizational-unit` `x id="28"></x>`

O nome da unidade organizacional

--common-name` `x id="20"></x>`

O nome comum

--email-address` `x id="22"></x>`

O endereço de correio electrónico

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

O certificado pode ser substituído como se segue.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Definir o certificado para a interface NetHSM TLS

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro do certificado

Exemplo*

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Rede

A configuração da rede define as definições utilizadas para a Porta de rede.

Nota

Esta configuração não configura a BMC Network Port.

A configuração da rede pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--network`

Consultar a configuração da rede

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Definir a configuração da rede da seguinte forma.

Nota

O NetHSM não suporta DHCP (Dynamic Host Configuration Protocol).

Nota

O NetHSM não suporta IPv6 (Internet Protocol versão 6).

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

O novo endereço IP

-n`, `x id="10"></x>`

A nova máscara de rede

-n`, `x id="10"></x>`

A nova porta de entrada

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Hora

A configuração temporal define a hora do sistema do software NetHSM. Normalmente não é necessário definir a hora do sistema, uma vez que é definida durante o aprovisionamento.

A configuração do tempo pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--time`

Consultar o tempo do sistema

Exemplo*

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Definir o tempo do NetHSM.

Importante

Certifique-se de que passa o tempo no fuso horário UTC.

Argumentos*

Argumento

Descrição

time`

O tempo do sistema a definir (Formato: AAAA-MM-DDTHH:MM:SSZ)

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Métricas

O NetHSM regista as métricas dos parâmetros do sistema. Consulte Métricas para saber mais sobre cada métrica.

A métrica pode ser recuperada da seguinte forma.

Papel requerido*

This operation requires an authentication with the Metrics role.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logging

O NetHSM pode registar eventos do sistema na porta série ou num servidor syslog na rede.

Importante

Para qualquer implementação de produção, o registo do NetHSM deve ser monitorizado continuamente para fornecer uma notificação imediata de quaisquer potenciais problemas de segurança.

A configuração do servidor syslog pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--network`

Consultar a configuração do registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A configuração do servidor syslog pode ser definida da seguinte forma.

Opções requeridas*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

O endereço IP do novo destino de registo

-p`, `x id="10"></x>` >`x id=»21»></x>``

O porto do novo destino da exploração madeireira

-l`, `x id="10"></x>` >`x id=»26»></x>``

O novo nível de registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

A consola em série funciona logo desde o início do hardware NetHSM. Ela inclui eventos do firmware NetHSM e do software NetHSM.

As configurações de ligação da consola em série são as seguintes.

Configuração

Valor

Taxa de Baud

115200

Bocados de dados

8

Pedaços de paragem

1

Paridade

Nenhum

Controlo de fluxo

Nenhum

Cópia de segurança

O NetHSM User Data pode ser guardado num ficheiro de cópia de segurança. Este ficheiro de cópia de segurança contém todos os Dados do Utilizador, nomeadamente Lojas de Configuração, Lojas de Autenticação, Lojas de Chaves do Domínio e Lojas Chave.

Importante

A NetHSM system software in Unattended Boot mode will require the Unlock Passphrase if restored on a different NetHSM hardware. Please refer to chapter Unlock Passphrase to learn more.

Importante

Uma NetHSM em modo Bot desacompanhada estará no mesmo modo após uma restauração.

Antes de se poder iniciar uma cópia de segurança, a Backup Passphrase deve ser definida. A Backup Passphrase é utilizada para encriptar os dados no ficheiro de cópia de segurança.

Aviso

confirmar

A frase-senha de reserva pode ser definida da seguinte forma.

Opções opcionais*

Opção

Descrição

-n, --new-passphrase TEXT

A nova frase-senha de segurança

-p, --current-passphrase TEXT

A frase-chave de cópia de segurança atual (ou uma cadeia vazia se não estiver definida)

-f, --force

Não pedir confirmação antes de alterar a frase-chave

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

A cópia de segurança pode ser executada da seguinte forma.

Papel requerido*

This operation requires an authentication with the Backup role.

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro de cópia de segurança

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Restaurar

O NetHSM pode ser restaurado a partir de um ficheiro de cópia de segurança.

  • Se o NetHSM for Unprovisioned, irá restaurar todos os dados do utilizador incluindo a configuração do sistema e reiniciar. Por conseguinte, o sistema pode obter definições de rede diferentes, certificado TLS e Unlock Passphrase posteriormente.

  • Se o NetHSM for Provisioned, irá restaurar os utilizadores e as chaves de utilizador, mas não a configuração do sistema. Neste caso, todos os utilizadores e chaves de utilizador existentes anteriormente serão eliminados. O NetHSM termina num estado Operacional.

A restauração pode ser aplicada da seguinte forma.

Opções opcionais*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»34»></x>``

A Frasesa-Passe de Backup

-t`, `x id="10"></x>`

O tempo do sistema a definir (Formato: YYYY-MM-DDTHH:MM:SSZ)

Importante

Certifique-se de que a hora do seu computador local está correctamente definida. Para definir uma hora diferente, por favor forneça-a manualmente.

Argumentos*

Argumento

Descrição

FILENAME` | Restaurar ficheiro

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Software Update

As actualizações de software podem ser instaladas num processo de duas etapas. Primeiro, a imagem de atualização tem de ser carregada para um Provisioned NetHSM. O NetHSM verifica a autenticidade, a integridade e o número da versão da imagem. Opcionalmente, o NetHSM apresenta notas de versão, se existirem.

Aviso

Pode ocorrer perda de dados devido à instalação de uma atualização beta! As versões estáveis não devem causar perda de dados. No entanto, recomenda-se a criação de uma cópia de segurança antes da atualização.

O ficheiro de actualização pode ser carregado da seguinte forma.

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro de actualização

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Afterwards the update can be applied or aborted. Please refer to the desired option below. If the NetHSM is powered down before the «commit» operation, the update file has to be uploaded again.

Importante

Se o carregamento da imagem de atualização falhar com Error: NetHSM request failed: Bad request -- malformed image, siga os passos abaixo.

  1. Certifique-se de que tem um ficheiro de atualização válido, verificando-o com a assinatura fornecida.

  2. Certifique-se de que não tem um nível de registo elevado, como DEBUG ativado. Consulte o capítulo Logging para saber mais sobre a configuração do nível de log.

  3. Reinicie o aparelho para libertar a memória utilizada.

A atualização pode ser aplicada (confirmada) da seguinte forma. Qualquer migração de dados só é efectuada depois de o NetHSM ter arrancado com sucesso a nova versão do software do sistema.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

A actualização pode ser cancelada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

System Information

As informações do sistema, como a versão do firmware, a versão do software e a versão do hardware, podem ser obtidas da seguinte forma.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Reinício e Encerramento

O NetHSM pode ser reiniciado e desligado, quer remotamente, quer com o botão de reiniciar e desligar na parte frontal do hardware NetHSM.

A reinicialização remota pode ser iniciada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

O desligamento remoto pode ser iniciado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Repor para Padrões de Fábrica

Um Provisionado NetHSM pode ser reposto para as predefinições de fábrica. Neste caso, todos os dados do utilizador são eliminados de forma segura e o NetHSM arranca num estado não provisionado. Posteriormente, o utilizador pode querer provisionar o NetHSM.

A reposição para os padrões de fábrica pode ser executada da seguinte forma.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestão de usuários

Papéis

O NetHSM permite a separação de funções através da utilização de diferentes papéis. Cada conta de utilizador configurada no NetHSM tem uma das seguintes Roles que lhe é atribuída.

Papel

Descrição

Administrador

Uma conta de utilizador com esta função tem acesso a todas as operações fornecidas pela NetHSM, excepto para operações de utilização chave, ou seja, assinatura e desencriptação de mensagens.

Operador

Uma conta de utilizador com esta Função tem acesso a todas as operações-chave de utilização, um subconjunto de operações de gestão de chaves apenas de leitura e operações de gestão de utilizadores permitindo apenas alterações à sua própria conta.

Metrics

Uma conta de utilizador com esta Função tem acesso apenas a operações só de leitura de métricas.

Backup

Uma conta de utilizador com esta Função tem acesso apenas às operações necessárias para iniciar uma cópia de segurança do sistema.

Consulte Namespaces e Tags para obter restrições de acesso mais detalhadas.

Nota

Num lançamento futuro, poderão ser introduzidas Roles adicionais.

Adicionar Utilizador

Add a user account to the NetHSM. Each user account has a Role, which needs to be specified. Please refer to chapter Roles to learn more about Roles.

Opcionalmente, um utilizador pode ser atribuído a um *Namespace*.

Nota

The user ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.

Uma conta de utilizador pode ser adicionada da seguinte forma.

Opções requeridas*

Opção

Descrição

-n`, `x id="10"></x>` >`x id=»26»></x>>>x id=»30»></x>`

The real name of the new user

-N, --namespace TEXT

The Namespace of the new user

-r`, `x id="10"></x>` >`x id=»21»></x>``

O Role do novo utilizador

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A frase-senha do novo utilizador

Opções opcionais*

Opção

Descrição

-u`, `x id="10"></x> `x id="24"></x>`

O ID de utilizador do novo utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Por predefinição, o Namespace é herdado do utilizador que adiciona o novo utilizador. Apenas os utilizadores sem um Namespace podem escolher um Namespace diferente para os novos utilizadores. O Namespace é utilizado como um prefixo para o nome do utilizador, por exemplo namespace~user. Assim, o mesmo nome de utilizador pode ser utilizado em vários Namespaces.

Eliminar Utilizador

Eliminar uma conta de utilizador do NetHSM.

Aviso

A eliminação é permanente e não pode ser revertida.

Uma conta de utilizador pode ser apagada da seguinte forma.

Argumentos*

Argumento

Descrição

USER_ID`

O ID de utilizador do utilizador.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista de Utilizadores

Faça uma lista dos utilizadores no NetHSM.

A lista pode ser recuperada da seguinte forma.

Opções opcionais*

Opção

Descrição

--details`, `x id="17"></x>`

Consultar o verdadeiro nome e papel do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Os utilizadores de um espaço de nome só podem ver os utilizadores do mesmo espaço de nome.

Palavra-passe de utilizador

A frase-senha de uma conta de utilizador pode ser reposta. Uma frase-chave é definida inicialmente durante a adição de uma conta de utilizador.

Nota

As frases-chave devem ter >= 10 e <= 200 caracteres.

A senha de utilizador pode ser definida da seguinte forma.

Opções requeridas*

Opção

Descrição

-u`, `x id="10"></x> `x id="24"></x>`

O ID de utilizador do utilizador

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A nova frase-senha do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Namespaces

Os Namespaces foram introduzidos na versão 2.0 do software. Ao migrar de uma versão anterior do software, todos os utilizadores e chaves existentes ficarão sem um Namespace.

De forma semelhante ao conceito de partições, o NetHSM suporta os mais flexíveis Namespaces que agrupam chaves, administradores e utilizadores num NetHSM em subconjuntos separados. Os utilizadores só podem ver e utilizar chaves no mesmo Namespace e só podem ver utilizadores no mesmo Namespace. Não é possível ver utilizadores e ver e utilizar chaves de outros Namespaces. Quando é criado um novo utilizador, este herda o Namespace do utilizador que o criou. A capacidade de armazenamento disponível é partilhada entre todos os Namespaces.

Os utilizadores com a função Administrator ` <administration#roles>` __ são também referidos como R-Administrator se não estiverem num Namespace, ou N-Administrator se estiverem num Namespace.

Aplicam-se regras especiais aos utilizadores do R-Administrator: Podem definir o Namespace para novos utilizadores, listar todos os utilizadores e consultar o Namespace de um utilizador. Além disso, a configuração do NetHSM só pode ser acedida pelos utilizadores R-Administrator. Os R-Administradores não podem ver as chaves de um Namespace.

Para poder gerar chaves e utilizadores num Namespace, o Namespace tem de ser criado por um utilizador R-Administrator. Depois de o Namespace ter sido criado, os utilizadores R-Administrator já não podem criar, eliminar ou modificar utilizadores nesse Namespace. Isto permite proteger as chaves dos Namespaces que são acedidas pelo R-Administrator (também indiretamente, adicionando um novo utilizador em nome ou redefinindo as credenciais do utilizador ou administrador existente). Por conseguinte, é necessário criar um utilizador N-Administrator para o Namespace antes de criar o Namespace. Os utilizadores R-Administrator também podem eliminar um Namespace com todas as chaves contidas.

Listar espaços de nome

List the Namespaces on the NetHSM.

A lista pode ser recuperada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Adicionar espaço de nome

Adicionar um espaço de nome ao NetHSM.

Adicionar um espaço de nome ao NetHSM.

Nota

The Namespace ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.

A Namespace can be added as follows.

Argumentos*

Argumento

Descrição

NAMESPACE | O novo Namespace.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Eliminar o espaço de nome

Delete a Namespace from the NetHSM.

A eliminação de um Namespace também elimina todas as chaves desse Namespace. Os restantes utilizadores do Namespace não podem adicionar chaves até que o Namespace tenha sido adicionado novamente.

A Namespace can be deleted as follows.

Argumentos*

Argumento

Descrição

NAMESPACE

The Namespace to delete.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Etiquetas para utilizadores

Tags can be used to set fine-grained access restrictions on keys, and are an optional feature. One or more Tags can be assigned to user accounts with the Operator role only. The Operators can see all keys, but only use those with at least one corresponding Tag. A key can not be modified by an Operator user.

To learn about how to use Tags on keys, please refer to Tags for Keys.

A Tag can be added as follows.

Argumentos*

Argumento

Descrição

USER_ID`

A identificação do utilizador para colocar a etiqueta.

TAG``

A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag pode ser apagada da seguinte forma.

Argumentos*

Argumento

Descrição

USER_ID`

A identificação do utilizador para colocar a etiqueta.

TAG``

A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443