Administrație

Acest capitol descrie sarcinile administrative pentru utilizatorii cu rolul Administrator. Vă rugăm să consultați capitolul Roluri pentru a afla mai multe despre rol.

Important

Vă rugăm să vă asigurați că ați citit informațiile de la începutul acestui document înainte de a începe să lucrați.

Managementul sistemului

Informații despre dispozitiv

Informațiile despre furnizor și produs pentru un NetHSM pot fi obținute după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Mod de pornire

NetHSM poate fi utilizat în modul Attended Boot și Unattended Boot.

Mod de pornire

Descriere

A participat la Boot

NetHSM pornește în starea _Locked_ (blocat). La fiecare pornire trebuie introdusă fraza de deblocare Unlock Passphrase, care este utilizată pentru a decripta datele utilizatorului ** . Din motive de securitate, acest mod este recomandat și este modul implicit pentru un sistem proaspăt provizionat.

Pornirea nesupravegheată

Sistemul pornește nesupravegheat, fără a fi nevoie să introduceți Unlock Passphrase într-o stare _Operational_. Utilizați acest mod dacă cerințele de disponibilitate nu pot fi îndeplinite cu modul Attended Boot.

Atenționare

Indiferent de modul de pornire, Unlock Passphrase își păstrează valabilitatea și este necesară pentru restaurarea copiilor de rezervă pe alt hardware. Păstrați Unlock Passphrase în siguranță în orice moment.

Modul de pornire curent poate fi recuperat după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Modul de pornire poate fi schimbat după cum urmează. La următoarea pornire, NetHSM se va comporta în consecință.

Argumente

Argument

Descriere

Stare

Activați sau dezactivați Unattended Boot. Poate avea valoarea on sau off`.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Stat

Software-ul NetHSM are patru stări: Unprovisioned, Provisioned, Locked și Operational.

Stat

Descriere

Nu este prevăzut

NetHSM fără configurare (implicit din fabrică)

Aprovizionat

NetHSM cu configurare. Starea Provisioned implică fie starea Operational, fie starea Locked.

Operațional

NetHSM cu configurația și gata să execute comenzi. Starea Operational implică starea Provisioned.

Blocat

NetHSM cu configurare, dar cu stocuri de date criptate și inaccesibile. În mod obișnuit, următorul pas este deblocarea sistemului. Starea Locked implică starea Provisioned.

Stări și tranziții ale NetHSM

Stări și tranziții ale NetHSM


Starea actuală a NetHSM poate fi recuperată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Un NetHSM nou are o stare Neaprovizionat și după aprovizionare intră în starea Operațional. Aprovizionarea unui NetHSM este descrisă în capitolul Provisionare.

Un NetHSM în stare Operational poate fi blocat din nou pentru a-l proteja, după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Un NetHSM aflat în starea Locked poate fi deblocat după cum urmează. În timp ce NetHSM se află în starea _Locked_ (Blocat), nu sunt posibile alte operațiuni. Ulterior, NetHSM se află în starea _Operational_.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Deblocarea frazei de acces

Unlock Passphrase (fraza de deblocare) este utilizată pentru a obține o Unlock Key (cheie de deblocare) în cazul în care NetHSM se află în starea Locked (blocată). Fraza de acces este setată inițial în timpul aprovizionării NetHSM.

Atenționare

Fraza de deblocare nu poate fi resetată fără a cunoaște valoarea curentă. În cazul în care fraza de deblocare se pierde, nu poate fi resetată la o nouă valoare și nici nu poate fi deblocat NetHSM.

Unlock Passphrase poate fi setată după cum urmează.

Opțiuni opționale

Opțiunea

Descriere

-n, --new-passphrase TEXT

Noua frază de acces pentru deblocare

-p, --current-passphrase TEXT

Fraza de deblocare curentă

-f, --force

Nu cereți confirmarea înainte de a schimba fraza de acces.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificat TLS

Certificatul TLS este utilizat pentru API-ul REST bazat pe HTTPS și, prin urmare, este utilizat și de nitropy. În timpul aprovizionării, se creează un certificat autofirmat. Certificatul poate fi înlocuit, de exemplu, cu un certificat semnat de o autoritate de certificare (CA). În acest caz, trebuie generată o cerere de semnare a certificatului (CSR). După semnare, certificatul trebuie să fie importat în NetHSM.

O modificare este necesară doar atunci când certificatul trebuie înlocuit. O astfel de modificare poate consta în înlocuirea acestuia cu un certificat semnat de o autoritate de certificare (AC).

Certificatul TLS poate fi recuperat după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-a`, --api`

Get the certificate for the NetHSM TLS interface

Exemplu

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Certificatul TLS poate fi generat după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Tipul pentru cheia generată

-l, --length INTEGER

Lungimea cheii generate

Exemplu

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Cererea de semnare a certificatului (CSR) pentru certificat poate fi generată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-a`, --api`

Generarea unui CSR pentru certificatul TLS NetHSM

--country` TEXT`

Numele țării

--state-or-province` TEXT`

Numele statului sau al provinciei

--locality` TEXT`

Numele localității

--organization TEXT`

Numele organizației

--organizational-unit TEXT`

Numele unității organizaționale

--common-name` TEXT`

Denumirea comună

--email-address TEXT`

Adresa de e-mail

Exemplu

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certificatul poate fi înlocuit după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-a`, --api`

Setați certificatul pentru interfața TLS NetHSM

Argumente

Argument

Descriere

FILENAME`

Fișier de certificat

Exemplu

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Rețea

Configurația rețelei definește setările utilizate pentru Portul de rețea.

Notă

Aceste setări nu configurează BMC Network Port.

Configurația rețelei poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

--network`

Interogarea configurației rețelei

Exemplu

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Setați configurația rețelei după cum urmează.

Notă

NetHSM nu acceptă DHCP (Dynamic Host Configuration Protocol).

Notă

NetHSM nu acceptă IPv6 (Internet Protocol version 6).

Opțiuni necesare

Opțiunea

Descriere

-a`, --ip-address`

Noua adresă IP

-n`, --netmask`

Noua mască de rețea

-n`, --netmask`

Noua poartă de acces

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Timp

Configurarea orei stabilește ora sistemului pentru software-ul NetHSM. De obicei, nu este necesar să setați ora sistemului, deoarece aceasta este setată în timpul aprovizionării.

Configurația timpului poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

--time`

Consultați ora sistemului

Exemplu

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Setați ora de funcționare a NetHSM.

Important

Asigurați-vă că treceți ora în fusul orar UTC.

Argumente

Argument

Descriere

time`

Ora sistemului care trebuie setată (Format: AAAA-MM-DDTHH:MM:SSZ)

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metrici

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Măsurătorile pot fi recuperate după cum urmează.

Rolul necesar

This operation requires an authentication with the Metrics role.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Înregistrare

NetHSM poate înregistra evenimentele de sistem la portul serial sau la un server syslog din rețea.

Important

În cazul oricărei implementări de producție, jurnalul NetHSM trebuie monitorizat în permanență pentru a oferi o notificare imediată cu privire la orice potențiale probleme de securitate.

Configurația serverului syslog poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

--network`

Consultați configurația de logare

Exemplu

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Configurația serverului syslog poate fi setată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-p, --passphrase TEXT

Adresa IP a noii destinații de logare

-p, --port INTEGER

Portul noii destinații de logare

-l, --log-level [debug|info|warning|error]

Noul nivel de jurnal

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Consola serială funcționează chiar de la începutul hardware-ului NetHSM. Aceasta include evenimente de la firmware-ul NetHSM și de la software-ul NetHSM.

Setările pentru conexiunea la consola serială sunt următoarele.

Setarea

Valoare

Viteza de baud

115200

Biți de date

8

Biți de oprire

1

Paritate

Nici unul

Controlul fluxului

Nici unul

Backup

NetHSM Datele utilizatorului pot fi salvate într-un fișier de rezervă. Acest fișier de rezervă conține toate User Data, și anume Configuration Store, Authentication Store, Domain Key Store și Key Store.

Important

Un software de sistem NetHSM în modul Unattended Boot va necesita Unlock Passphrase dacă este restaurat pe un hardware NetHSM diferit. Pentru a afla mai multe, consultați capitolul Deblocare a frazei de acces.

Important

Un NetHSM în modul Unattended Boot va fi în același mod după o restaurare.

Înainte de a putea iniția o copie de rezervă, trebuie setată Fraza de rezervă. Backup Passphrase este utilizată pentru a cripta datele din fișierul de backup.

Atenționare

Fraza de rezervă nu poate fi resetată fără a cunoaște valoarea curentă. În cazul în care fraza de rezervă se pierde, nu poate fi resetată la o nouă valoare și nici nu pot fi restaurate copiile de rezervă create.

Fraza de rezervă poate fi setată după cum urmează.

Opțiuni opționale

Opțiunea

Descriere

-n, --new-passphrase TEXT

Noua frază de acces de rezervă

-p, --current-passphrase TEXT

Fraza de trecere curentă a copiei de rezervă (sau un șir gol dacă nu este setată)

-f, --force

Nu cereți confirmarea înainte de a schimba fraza de acces.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Salvarea poate fi executată după cum urmează.

Rolul necesar

This operation requires an authentication with the Backup role.

Argumente

Argument

Descriere

FILENAME`

Fișier de rezervă

Exemplu

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Restaurați

NetHSM poate fi restaurat dintr-un fișier de rezervă.

  • În cazul în care NetHSM este Unprovisioned se vor restaura toate Datele utilizatorului inclusiv configurația sistemului și repornirea. Prin urmare, este posibil ca sistemul să primească ulterior setări de rețea, certificat TLS și Unlock Passphrase diferite.

  • Dacă NetHSM este Provisioned, se vor restaura utilizatorii și cheile de utilizator, dar nu și configurația sistemului. În acest caz, toți utilizatorii și cheile de utilizator existente anterior vor fi șterse. NetHSM se încheie într-o stare Operational.

Restaurarea poate fi aplicată după cum urmează.

Opțiuni opționale

Opțiunea

Descriere

-p, --backup-passphrase passphrase

Fraza de rezervă

-t`, --system-time`

Ora sistemului care trebuie setată (Format: YYYY-MM-DDTHH:MM:SSZ)

Important

Asigurați-vă că ora computerului local este setată corect. Pentru a seta o oră diferită, vă rugăm să o furnizați manual.

Argumente

Argument

Descriere

FILENAME` | Restaurați fișierul

Exemplu

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Actualizare software

Actualizările de software pot fi instalate printr-un proces în doi pași. În primul rând, imaginea de actualizare trebuie încărcată pe un Provisioned NetHSM. NetHSM verifică autenticitatea, integritatea și numărul de versiune al imaginii. Opțional, NetHSM afișează notele de lansare, dacă există.

Atenționare

Este posibil să apară pierderi de date din cauza instalării unei actualizări beta! Versiunile stabile nu ar trebui să provoace pierderi de date. Cu toate acestea, se recomandă să creați o copie de rezervă înainte de actualizare.

Fișierul de actualizare poate fi încărcat după cum urmează.

Argumente

Argument

Descriere

FILENAME`

Fișier de actualizare

Exemplu

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ulterior, actualizarea poate fi aplicată sau întreruptă. Vă rugăm să consultați opțiunea dorită mai jos. În cazul în care NetHSM este oprit înainte de operațiunea „commit”, fișierul de actualizare trebuie încărcat din nou.

Important

Dacă încărcarea imaginii de actualizare eșuează cu Error: NetHSM request failed: Bad request -- malformed image, vă rugăm să urmați pașii de mai jos.

  1. Asigurați-vă că aveți un fișier de actualizare valid prin verificarea cu semnătura furnizată.

  2. Asigurați-vă că nu aveți activat un nivel de jurnalizare ridicat, cum ar fi DEBUG. Consultați capitolul Logging pentru a afla mai multe despre configurarea nivelului de log.

  3. Reporniți aparatul pentru a elibera memoria utilizată.

Actualizarea poate fi aplicată (angajată) după cum urmează. Orice migrare de date se efectuează numai după ce NetHSM a inițializat cu succes noua versiune de software de sistem.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Actualizarea poate fi anulată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Informații despre sistem

Informațiile despre sistem, cum ar fi versiunea firmware, versiunea software și versiunea hardware pot fi recuperate după cum urmează.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Repornire și închidere

NetHSM poate fi repornit și oprit, fie de la distanță, fie cu ajutorul butonului de repornire și oprire de pe partea frontală a hardware-ului NetHSM.

Repornirea de la distanță poate fi inițiată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Oprirea de la distanță poate fi inițiată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Resetare la valorile implicite din fabrică

Un Provisioned NetHSM poate fi resetat la valorile implicite din fabrică. În acest caz, toate datele utilizatorului sunt șterse în siguranță, iar NetHSM pornește în starea Unprovisioned. Ulterior, este posibil să doriți să provizionați NetHSM-ul.

Resetarea la valorile implicite din fabrică poate fi efectuată după cum urmează.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestionarea utilizatorilor

Roluri

NetHSM permite separarea sarcinilor prin utilizarea de roluri diferite. Fiecărui cont de utilizator configurat pe NetHSM îi este atribuit unul dintre următoarele Role.

Rol

Descriere

Administrator

Un cont de utilizator cu acest rol are acces la toate operațiunile furnizate de NetHSM, cu excepția operațiunilor de utilizare a cheilor, adică semnarea și decriptarea mesajelor.

Operator

Un cont de utilizator cu acest rol are acces la toate operațiunile de utilizare a cheilor, la un subset de operațiuni de gestionare a cheilor numai pentru citire și la operațiuni de gestionare a utilizatorilor care permit modificări numai pentru propriul cont.

Metrice

Un cont de utilizator cu acest rol are acces numai la operațiunile de citire a măsurătorilor.

*Backup *

Un cont de utilizator cu acest rol are acces numai la operațiunile necesare pentru a iniția o copie de rezervă a sistemului.

Consultați Spații de nume și Etichete pentru restricții de acces mai precise.

Notă

Într-o versiune viitoare, pot fi introduse Roles suplimentare.

Adăugați un utilizator

Adăugați un cont de utilizator la NetHSM. Fiecare cont de utilizator are un Rol, care trebuie să fie specificat. Vă rugăm să consultați capitolul Roluri pentru a afla mai multe despre Roluri.

Opțional, un utilizator poate fi atribuit unui *Namespace*.

Notă

ID-ul utilizatorului trebuie să fie alfanumeric. NetHSM atribuie un ID de utilizator aleatoriu dacă nu este specificat niciunul.

Un cont de utilizator poate fi adăugat după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-n, --real-name TEXT

Numele real al noului utilizator

-N, --namespace TEXT

Spațiul de nume al noului utilizator

-r, --role [Administrator|Operator|Metrics|Backup]

Rolul noului utilizator

-p, --passphrase TEXT

Fraza de acces a noului utilizator

Opțiuni opționale

Opțiunea

Descriere

-u, --user-id TEXT

ID-ul de utilizator al noului utilizator

Exemplu

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

În mod implicit, spațiul de nume este moștenit de la utilizatorul care adaugă noul utilizator. Numai utilizatorii fără un Namespace pot alege un Namespace diferit pentru noii utilizatori. Namespace este utilizat ca prefix pentru numele de utilizator, de exemplu namespace~user. Prin urmare, același nume de utilizator poate fi utilizat în mai multe Namespace-uri.

Ștergeți utilizatorul

Ștergeți un cont de utilizator din NetHSM.

Atenționare

Ștergerea este permanentă și nu poate fi anulată.

Un cont de utilizator poate fi șters după cum urmează.

Argumente

Argument

Descriere

USER_ID`

ID-ul de utilizator al utilizatorului.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista utilizatorilor

Lista utilizatorilor de pe NetHSM.

Lista poate fi consultată după cum urmează.

Opțiuni opționale

Opțiunea

Descriere

--details`, --no-details`

Consultați numele și rolul real al utilizatorului

Exemplu

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Utilizatorii din cadrul unui spațiu de nume pot vedea numai utilizatorii din același spațiu de nume.

Fraza de acces a utilizatorului

Se poate reseta fraza de trecere a unui cont de utilizator. O frază de trecere este setată inițial în timpul adăugării unui cont de utilizator.

Notă

Frazele de acces trebuie să aibă >= 10 și <= 200 de caractere.

Fraza de trecere a utilizatorului poate fi setată după cum urmează.

Opțiuni necesare

Opțiunea

Descriere

-u, --user-id TEXT

ID-ul de utilizator al utilizatorului

-p, --passphrase TEXT

Noua frază de acces a utilizatorului

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Spații de nume

Spațiile de nume au fost introduse în versiunea 2.0 a software-ului. La migrarea de la o versiune anterioară a software-ului, toți utilizatorii și cheile existente vor fi lipsite de un Namespace.

În mod similar conceptului de partiții, NetHSM suportă mai flexibilul Namespace care grupează cheile, administratorii și utilizatorii de pe un NetHSM în subseturi separate. Utilizatorii pot vedea și utiliza numai cheile din același Namespace și pot vedea numai utilizatorii din același Namespace. Nu este posibil să se vadă utilizatori și să se vadă și să se utilizeze chei din alte Namespace-uri. Atunci când este creat un utilizator nou, acesta moștenește spațiul de nume al utilizatorului care l-a creat. Capacitatea de stocare disponibilă este împărțită între toate Namespace-urile.

Utilizatorii cu rolul Administrator ` <administration#roles>`__ sunt denumiți, de asemenea, R-Administrator dacă nu se află într-un Namespace, sau N-Administrator dacă se află într-un Namespace.

Utilizatorilor R-Administrator li se aplică reguli speciale: Aceștia pot seta spațiul de nume pentru utilizatorii noi, pot lista toți utilizatorii și pot consulta spațiul de nume al unui utilizator. De asemenea, configurația NetHSM poate fi accesată numai de către utilizatorii R-Administrator. R-Administratorii nu pot vedea cheile dintr-un Namespace.

Pentru a putea genera chei și utilizatori într-un spațiu de nume, spațiul de nume trebuie să fie creat de un utilizator R-Administrator. Odată ce spațiul de nume a fost creat, utilizatorii R-Administrator nu mai pot crea, șterge sau modifica utilizatori în spațiul de nume respectiv. Acest lucru permite protejarea cheilor Namespace-urilor care sunt accesate de R-Administrator (de asemenea, indirect, prin adăugarea unui nou utilizator în numele său sau prin resetarea credențialelor utilizatorului sau administratorului existent). Prin urmare, este necesar să se creeze un utilizator N-Administrator pentru spațiul de nume înainte de crearea spațiului de nume. Utilizatorii R-Administrator pot, de asemenea, șterge un Namespace cu toate cheile conținute.

Lista spațiilor de nume

Enumerați spațiile de nume de pe NetHSM.

Lista poate fi consultată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Adăugarea spațiului de nume

Adăugați un spațiu de nume la NetHSM.

Utilizatorii R-Administrator pot crea deja conturi noi în spațiul de nume înainte ca acesta să fie creat. După creare, numai utilizatorii N-Administrator pot gestiona utilizatorii din spațiul de nume. Crearea și utilizarea cheilor în spațiul de nume este posibilă numai după ce acesta a fost adăugat.

Notă

ID-ul spațiului de nume trebuie să fie alfanumeric. NetHSM atribuie un ID de utilizator aleatoriu dacă nu este specificat niciunul.

Un spațiu de nume poate fi adăugat după cum urmează.

Argumente

Argument

Descriere

NAMESPACE | Noul spațiu de nume.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Ștergerea spațiului de nume

Ștergeți un spațiu de nume din NetHSM.

Ștergerea unui spațiu de nume șterge, de asemenea, toate cheile spațiului de nume respectiv. Utilizatorii rămași în spațiul de nume nu pot adăuga chei până când spațiul de nume nu a fost adăugat din nou.

Un spațiu de nume poate fi șters după cum urmează.

Argumente

Argument

Descriere

NAMESPACE

Spațiul de nume care urmează să fie șters.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Etichete pentru utilizatori

Etichetele pot fi utilizate pentru a stabili restricții de acces de finețe pentru chei și reprezintă o caracteristică opțională. Una sau mai multe etichete Tags pot fi atribuite numai conturilor de utilizator cu rolul Operator. Operatorii Operators pot vedea toate cheile, dar le pot utiliza numai pe cele care au cel puțin o etichetă Tag corespunzătoare. O cheie nu poate fi modificată de un utilizator Operator.

Pentru a afla cum să utilizați Etichete pe chei, consultați Etichete pentru chei.

Un Tag poate fi adăugat după cum urmează.

Argumente

Argument

Descriere

USER_ID`

ID-ul utilizatorului pentru care se stabilește eticheta.

TAG`

Eticheta care trebuie setată pe ID-ul utilizatorului.

Exemplu

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag-ul poate fi șters după cum urmează.

Argumente

Argument

Descriere

USER_ID`

ID-ul utilizatorului pentru care se stabilește eticheta.

TAG`

Eticheta care trebuie setată pe ID-ul utilizatorului.

Exemplu

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443