Администрация#
В этой главе описаны административные задачи для пользователей с ролью Администратор. Дополнительные сведения о роли см. в главе Роли.
Важно
Пожалуйста, убедитесь, что вы прочитали информацию в начале этого документа перед началом работы.
Управление системой#
Информация об устройстве#
Информация о поставщике и продукте для NetHSM может быть получена следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Информацию о конечной точке /info можно найти в API документации.
Режим загрузки#
NetHSM может быть использован в режиме Attended Boot и Unattended Boot.
Режим загрузки |
Описание |
---|---|
Посещаемый сапог |
При загрузке NetHSM переходит в состояние _заблокирован_. При каждом запуске необходимо вводить парольную фразу для разблокировки, которая используется для расшифровки данных пользователя ** . По соображениям безопасности этот режим рекомендуется и является режимом по умолчанию для только что созданной системы. |
Необслуживаемая загрузка |
Система запускается без участия пользователя без необходимости ввода парольной фразы Unlock ** в состояние _Operational_. Используйте этот режим, если ваши требования к доступности не могут быть выполнены с помощью режима Attended Boot. |
Предупреждение
Независимо от режима загрузки, парольная фраза для разблокировки ** сохраняет свою силу и необходима для восстановления резервных копий на другом оборудовании. Храните парольную фразу разблокировки в безопасности в любое время.
Текущий режим загрузки можно получить следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Информацию о конечной точке /config/unattended-boot можно найти в API документации.
Режим загрузки можно изменить следующим образом. При следующей загрузке NetHSM будет вести себя соответствующим образом.
Аргументы
Аргумент |
Описание |
---|---|
Статус |
Включить или отключить Unattended Boot. Может иметь значение |
Пример.
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Информацию о конечной точке /config/unattended-boot можно найти в API документации.
Государство#
Программное обеспечение NetHSM имеет четыре состояния: Unprovisioned, Provisioned, Locked и Operational.
Государство |
Описание |
---|---|
Непровизированный |
NetHSM без конфигурации (заводское значение по умолчанию) |
Обеспечено |
NetHSM с конфигурацией. Состояние Provisioned подразумевает состояние Operational или Locked. |
Операция |
NetHSM с конфигурацией и готов к выполнению команд. Состояние Operational подразумевает состояние Provisioned. |
Заперто |
NetHSM с конфигурацией, но зашифрованными и недоступными хранилищами данных. Как правило, следующим шагом является разблокировка системы. Состояние Locked подразумевает состояние Provisioned. |
Текущее состояние NetHSM можно получить следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Информацию о конечной точке /health/state можно найти в API документации.
Новый NetHSM находится в состоянии Unprovisioned и после инициализации переходит в состояние Operational. Создание резерва для NetHSM описано в главе Provisioning.
NetHSM в рабочем состоянии может быть снова заблокирован для защиты следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Информацию о конечной точке /lock можно найти в API документации.
NetHSM в состоянии Locked можно разблокировать следующим образом. Пока NetHSM находится в состоянии _Locked_, никакие другие операции невозможны. После этого NetHSM переходит в состояние _Operational_.
Пример.
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Информацию о конечной точке /unlock можно найти в API документации.
Разблокировать парольную фразу#
Парольная фраза Unlock Passphrase используется для получения ключа Unlock Key, если NetHSM находится в состоянии Locked. Парольная фраза первоначально задается во время инициализации NetHSM.
Предупреждение
Парольная фраза разблокировки не может быть сброшена без знания ее текущего значения. Если парольная фраза разблокировки утеряна, ни сбросить новое значение, ни разблокировать NetHSM невозможно.
Пассфраза разблокировки может быть установлена следующим образом.
Опциональные опции
Вариант |
Описание |
---|---|
|
Новая парольная фраза для разблокировки |
|
Текущая парольная фраза для разблокировки |
|
Не запрашивайте подтверждения перед изменением парольной фразы |
Пример.
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Информацию о конечной точке /config/unlock-passphrase можно найти в API документации.
Сертификат TLS#
Сертификат TLS используется для REST API на базе HTTPS и, таким образом, также используется nitropy. Во время инициализации создается самоподписанный сертификат. Сертификат может быть заменен, например, подписанным сертификатом центра сертификации (ЦС). В этом случае необходимо сгенерировать запрос на подписание сертификата (CSR). После подписания сертификат должен быть импортирован в NetHSM.
Изменение необходимо только в том случае, если сертификат подлежит замене. Такое изменение может заключаться в замене сертификата подписанным сертификатом центра сертификации (ЦС).
Сертификат TLS можно получить следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Get the certificate for the NetHSM TLS interface |
Пример.
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Информацию о конечной точке /config/tls/cert.pem можно найти в API документации.
Сертификат TLS может быть создан следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Тип для сгенерированного ключа |
|
Длина сгенерированного ключа |
Пример.
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Информацию о конечной точке /config/tls/generate можно найти в API документации.
Запрос на подписание сертификата (CSR) для сертификата может быть создан следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Создайте CSR для сертификата TLS NetHSM |
|
Название страны |
|
Название штата или провинции |
|
Название населенного пункта |
|
Название организации |
|
Название подразделения организации |
|
Общее название |
|
Адрес электронной почты |
Пример.
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Информацию о конечной точке /config/tls/csr.pem можно найти в API документации.
Сертификат можно заменить следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Установите сертификат для интерфейса TLS NetHSM |
Аргументы
Аргумент |
Описание |
---|---|
|
Файл сертификата |
Пример.
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Информацию о конечной точке /config/tls/csr.pem можно найти в API документации.
Сеть#
Сетевая конфигурация определяет настройки, используемые для Сетевого порта.
Примечание
Эти параметры не настраивают Сетевой порт BMC.
Конфигурация сети может быть получена следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Запрос конфигурации сети |
Пример.
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Информацию о конечной точке /config/network можно найти в API документации.
Настройте конфигурацию сети следующим образом.
Примечание
NetHSM не поддерживает протокол DHCP (Dynamic Host Configuration Protocol).
Примечание
NetHSM не поддерживает IPv6 (протокол Интернета версии 6).
Требуемые параметры
Вариант |
Описание |
---|---|
|
Новый IP-адрес |
|
Новая сетевая маска |
|
Новый шлюз |
Пример.
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Информацию о конечной точке /config/network можно найти в API документации.
Время#
Конфигурация времени устанавливает системное время программного обеспечения NetHSM. Обычно не требуется устанавливать системное время, так как оно устанавливается во время инициализации.
Конфигурация времени может быть получена следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Запрос системного времени |
Пример.
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Информацию о конечной точке /config/time можно найти в API документации.
Установите время работы NetHSM.
Важно
Обязательно передайте время в часовом поясе UTC.
Аргументы
Аргумент |
Описание |
---|---|
|
Системное время для установки (Формат: YYYY-MM-DDTHH:MM:SSZ) |
Пример.
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Информацию о конечной точке /config/time можно найти в API документации.
Метрика#
NetHSM регистрирует метрики системных параметров. Подробнее о каждой метрике см. в разделе Метрики.
Метрики могут быть получены следующим образом.
Требуемая роль
Для выполнения этой операции требуется аутентификация с ролью Metrics.
Пример.
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Информацию о конечной точке /metrics можно найти в API документации.
Ведение журнала#
NetHSM может регистрировать системные события на последовательном порту или на сервере syslog в сети.
Важно
При любом производственном развертывании журнал NetHSM должен постоянно отслеживаться для немедленного уведомления о любых потенциальных проблемах безопасности.
Конфигурация сервера syslog может быть получена следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Запрос конфигурации протоколирования |
Пример.
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Информацию о конечной точке /config/logging можно найти в API документации.
Конфигурация сервера syslog может быть настроена следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
IP-адрес нового места назначения регистрации |
|
Порт нового места назначения регистрации |
|
Новый уровень журнала |
Пример.
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Информацию о конечной точке /config/logging можно найти в API документации.
Последовательная консоль работает с самого начала работы оборудования NetHSM. Она включает события из микропрограммы NetHSM и программного обеспечения NetHSM.
Настройки подключения последовательной консоли следующие.
Настройка |
Значение |
---|---|
Скорость передачи данных |
115200 |
Биты данных |
8 |
Стоповые биты |
1 |
Паритет |
Нет |
Управление потоком |
Нет |
Резервное копирование#
NetHSM Данные пользователя можно сохранить в файл резервной копии. Этот резервный файл содержит все Данные пользователя, а именно Хранилище конфигурации, Хранилище аутентификации, Хранилище доменных ключей и Хранилище ключей.
Важно
Системное программное обеспечение NetHSM в режиме Unattended Boot потребует ввода пароля Unlock Passphrase при восстановлении на другом оборудовании NetHSM. Подробнее см. в главе Разблокировка парольной фразы.
Важно
NetHSM в режиме Unattended Boot будет находиться в том же режиме после восстановления.
Перед началом резервного копирования необходимо задать Парольную фразу резервного копирования. Пароль Backup Passphrase используется для шифрования данных в файле резервной копии.
Предупреждение
Парольная фраза резервного копирования не может быть сброшена без знания ее текущего значения. Если парольная фраза резервного копирования утеряна, невозможно ни сбросить ее значение, ни восстановить созданные резервные копии.
Резервная парольная фраза может быть установлена следующим образом.
Опциональные опции
Вариант |
Описание |
---|---|
|
Новая парольная фраза для резервного копирования |
|
Текущая парольная фраза резервного копирования (или пустая строка, если она не задана). |
|
Не запрашивайте подтверждения перед изменением парольной фразы |
Пример.
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Информацию о конечной точке /config/backup-passphrase можно найти в API документации.
Резервное копирование может быть выполнено следующим образом.
Требуемая роль
Для выполнения этой операции требуется аутентификация с ролью Backup.
Аргументы
Аргумент |
Описание |
---|---|
|
Резервный файл |
Пример.
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Информацию о конечной точке /system/backup можно найти в API документации.
Восстановить#
NetHSM можно восстановить из файла резервной копии.
Если NetHSM является Unprovisioned, он восстановит все пользовательские данные, включая конфигурацию системы, и перезагрузится. Поэтому после этого система может получить другие сетевые настройки, сертификат TLS и Unlock Passphrase.
Если NetHSM находится по адресу Provisioned, то будут восстановлены пользователи и ключи пользователей, но не конфигурация системы. В этом случае все ранее существовавшие пользователи и ключи пользователей будут удалены. NetHSM завершается в состоянии Operational.
Восстановление может быть применено следующим образом.
Дополнительные опции
Вариант |
Описание |
---|---|
|
Парольная фраза резервного копирования. |
|
Системное время для установки (Формат: |
Важно
Убедитесь, что время на локальном компьютере установлено правильно. Чтобы установить другое время, укажите его вручную.
Аргументы
Аргумент |
Описание |
|
---|---|---|
|
Пример.
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Информацию о конечной точке /system/restore можно найти в API документации.
Кластеризация#
NetHSM не имеет статусов, что позволяет использовать несколько устройств NetHSM для обработки данных с чрезвычайно высокой пропускной способностью и обеспечения высокой доступности. Модуль PKCS#11 поддерживает круговое расписание для кластера экземпляров NetHSM. Несколько экземпляров NetHSM можно синхронизировать с помощью зашифрованных резервных копий. Для этого отдельная система загружает и выгружает файлы резервных копий между экземплярами. Эта отдельная система не имеет доступа к данным резервного копирования в открытом виде, поскольку файлы резервных копий зашифрованы. Синхронизацию можно легко заскриптовать, используя pynitrokey, как показано в этом примере.
Обновление программного обеспечения#
Установка обновлений программного обеспечения может быть выполнена в два этапа. Сначала образ обновления должен быть загружен на Provisioned NetHSM. NetHSM проверяет подлинность, целостность и номер версии образа. При необходимости NetHSM отображает информацию о выпуске, если таковая имеется.
Предупреждение
Потеря данных может произойти из-за установки бета-версии обновления! Стабильные версии не должны вызывать потерю данных. Однако перед обновлением рекомендуется создать резервную копию.
Файл обновления можно загрузить следующим образом.
Аргументы
Аргумент |
Описание |
---|---|
|
Обновить файл |
Пример.
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Информацию о конечной точке /system/update можно найти в API документации.
После этого обновление может быть применено или отменено. Желаемый вариант указан ниже. Если питание NetHSM отключается до операции «фиксация», файл обновления необходимо загрузить заново.
Важно
Если загрузка образа обновления завершилась неудачей с сообщением Error: NetHSM request failed: Bad request -- malformed image
, выполните следующие действия.
Убедитесь, что у вас есть действительный файл обновления, проверив его по предоставленной подписи.
Убедитесь, что у вас не включен высокий уровень журнала, например
DEBUG
. Подробнее о настройке уровня журнала см. в главе Ведение журнала.Перезагрузите устройство, чтобы освободить используемую память.
Обновление может быть применено (зафиксировано) следующим образом. Любой перенос данных выполняется только после того, как NetHSM успешно загрузит новую версию системного программного обеспечения.
Пример.
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Информацию о конечной точке /system/commit-update можно найти в API документации.
Обновление можно отменить следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Информацию о конечной точке /system/cancel-update можно найти в API документации.
Информация о системе#
Информация о системе, такая как версия прошивки, версия программного обеспечения и версия оборудования, может быть получена следующим образом.
Пример.
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Информацию о конечной точке /system/info можно найти в API документации.
Перезагрузка и выключение#
NetHSM можно перезагрузить и выключить либо удаленно, либо с помощью кнопки перезагрузки и выключения питания на передней панели оборудования NetHSM.
Удаленную перезагрузку можно инициировать следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Информацию о конечной точке /system/reboot можно найти в API документации.
Удаленное отключение может быть инициировано следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Информацию о конечной точке /system/shutdown можно найти в API документации.
Сброс к заводским настройкам по умолчанию#
NetHSM Provisioned может быть сброшен к заводским настройкам по умолчанию. В этом случае все пользовательские данные безопасно удаляются, а NetHSM загружается в состояние Unprovisioned. После этого вы можете захотеть обеспечить NetHSM.
Сброс к заводским настройкам по умолчанию можно выполнить следующим образом.
Пример.
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Информацию о конечной точке /system/factory-reset можно найти в API документации.
Управление пользователями#
Роли#
NetHSM позволяет разделить обязанности с помощью различных ролей. Каждой учетной записи пользователя, настроенной на NetHSM, назначается одна из следующих ролей.
Роль |
Описание |
---|---|
Администратор |
Учетная запись пользователя с этой ролью имеет доступ ко всем операциям, предоставляемым NetHSM, за исключением операций использования ключей, т.е. подписания и расшифровки сообщений. |
Оператор |
R-Operator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям использования ключей, подмножеству операций управления ключами только для чтения и операциям управления пользователями, позволяющим вносить изменения только для своей учетной записи. |
Метрики |
Учетная запись пользователя с этой ролью имеет доступ только к операциям с метриками только для чтения. |
Бэкап |
Учетная запись пользователя с этой ролью имеет доступ только к операциям, необходимым для инициирования резервного копирования системы. |
Более точные ограничения доступа см. в разделах Пространства имен и Теги.
Примечание
В будущем выпуске могут быть введены дополнительные роли.
Добавить пользователя#
Добавьте учетную запись пользователя в NetHSM. У каждой учетной записи пользователя есть роль ** , которую необходимо указать. Обратитесь к главе Роли, чтобы узнать больше о Роли.
По желанию пользователь может быть назначен на *Пространство имен*.
Примечание
Идентификатор пользователя должен быть буквенно-цифровым. NetHSM назначает случайный идентификатор пользователя, если он не указан.
Учетную запись пользователя можно добавить следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Настоящее имя нового пользователя |
|
Пространство имен нового пользователя |
|
Роль нового пользователя |
|
Парольная фраза нового пользователя |
Опциональные опции
Вариант |
Описание |
---|---|
|
Идентификатор пользователя нового пользователя |
Пример.
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Информацию о конечной точке /users для создания пользователя без указания его ID можно найти в API документации.
Информацию о конечной точке /users/{UserID} для создания пользователя с указанием его ID можно найти в API документации.
По умолчанию Пространство имен наследуется от пользователя, добавляющего нового пользователя. Только пользователи, не имеющие пространства имен, могут выбрать другое пространство имен для новых пользователей. Пространство имен используется в качестве префикса для имени пользователя, например namespace~user. Поэтому одно и то же имя пользователя может использоваться в нескольких пространствах имен.
Удалить пользователя#
Удаление учетной записи пользователя из NetHSM.
Предупреждение
Удаление является постоянным и не может быть восстановлено.
Учетную запись пользователя можно удалить следующим образом.
Аргументы
Аргумент |
Описание |
---|---|
|
Идентификатор пользователя. |
Пример.
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Информацию о конечной точке /users/{UserID} можно найти в API документации.
Список пользователей#
Составьте список пользователей NetHSM.
Список можно получить следующим образом.
Опциональные опции
Вариант |
Описание |
---|---|
|
Запрос настоящего имени и роли пользователя |
Пример.
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Информацию о конечной точке /users можно найти в API документации.
Информацию о конечной точке /users/{UserID} можно найти в API документации.
Пользователи в пространстве имен могут видеть только пользователей в том же пространстве имен.
Парольная фраза пользователя#
Парольная фраза учетной записи пользователя может быть сброшена. Парольная фраза изначально задается при добавлении учетной записи пользователя.
Примечание
Парольные фразы должны содержать >= 10 и <= 200 символов.
Парольная фраза пользователя может быть задана следующим образом.
Требуемые параметры
Вариант |
Описание |
---|---|
|
Идентификатор пользователя |
|
Новая парольная фраза пользователя |
Пример.
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Информацию о конечной точке /users/{UserID}/passphrase можно найти в API документации.
Пространства имен#
Пространства имен были введены в версии программного обеспечения 2.0. При переходе с более ранней версии программного обеспечения все существующие пользователи и ключи будут лишены пространства имен.
Аналогично концепции разделов, NetHSM поддерживает более гибкую концепцию Namespaces, которая группирует ключи, администраторов и пользователей NetHSM в отдельные подмножества. Пользователи могут видеть и использовать ключи только в том же пространстве имен и могут видеть пользователей только в том же пространстве имен. Невозможно видеть пользователей, а также видеть и использовать ключи других пространств имен. Когда создается новый пользователь, он наследует пространство имен создавшего его пользователя. Доступный объем памяти делится между всеми Пространствами имен.
Пользователи с ролью Administrator ` <administration#roles>`__ также называются R-Administrator, если они не находятся в пространстве имен, или N-Administrator, если они находятся в пространстве имен.
Особые правила действуют для пользователей R-Administrator: Они могут задавать пространство имен для новых пользователей, составлять список всех пользователей и запрашивать пространство имен пользователя. Кроме того, доступ к конфигурации NetHSM могут получить только пользователи R-Administrator. R-администраторы не могут видеть ключи в Пространстве имен.
Чтобы иметь возможность генерировать ключи и пользователей в Пространстве имен, Пространство имен должно быть создано пользователем R-Administrator. После создания Пространства имен пользователи R-Administrator больше не могут создавать, удалять или изменять пользователей в этом Пространстве имен. Это позволяет защитить ключи Пространств имен от доступа к ним со стороны R-Administrator (также косвенно, путем добавления нового пользователя от имени или сброса учетных данных существующего пользователя или администратора). Поэтому перед созданием пространства имен необходимо создать пользователя N-Administrator для пространства имен. Пользователь R-Administrator также может удалить Пространство имен со всеми содержащимися в нем ключами.
Список пространств имен#
Перечислите пространства имен на NetHSM.
Список можно получить следующим образом.
Пример.
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Информацию о конечной точке /namespaces можно найти в API документации.
Добавить пространство имен#
Добавьте пространство имен в NetHSM.
Пользователи R-Administrator могут создавать новые учетные записи в Пространстве имен еще до его создания. После создания управлять пользователями в Пространстве имен могут только пользователи N-Administrator. Создание и использование ключей в Пространстве имен возможно только после его добавления.
Примечание
Идентификатор пространства имен должен быть буквенно-цифровым. NetHSM назначает случайный идентификатор пользователя, если он не указан.
Пространство имен можно добавить следующим образом.
Аргументы
Аргумент |
Описание |
|
---|---|---|
|
Пример.
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Информацию о конечной точке /namespaces/{NamespaceID} можно найти в API документации.
Удалить пространство имен#
Удаление пространства имен из NetHSM.
При удалении пространства имен также удаляются все ключи этого пространства имен. Оставшиеся пользователи пространства имен не смогут добавлять ключи до тех пор, пока пространство имен не будет добавлено снова.
Пространство имен можно удалить следующим образом.
Аргументы
Аргумент |
Описание |
---|---|
|
Пространство имен для удаления. |
Пример.
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Информацию о конечной точке /namespaces/{NamespaceID} можно найти в API документации.