Administratíva¶

Táto kapitola opisuje úlohy správy pre používateľov s rolou Administrator. Viac informácií o tejto role nájdete v kapitole Roles.

Dôležité

Pred začatím práce si prečítajte informácie na začiatku tohto dokumentu.

Správa systému¶

Informácie o zariadení¶

Informácie o dodávateľovi a produkte pre NetHSM možno získať takto.

Príklad

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Režim bootovania¶

NetHSM sa môže používať v režime Attended Boot a Unattended Boot.

Režim bootovania	Popis
Zúčastnil sa Boot	NetHSM sa spustí do stavu _Zamknuté_. Pri každom spustení je potrebné zadať odomykaciu frázu , ktorá sa používa na dešifrovanie používateľských údajov . Z bezpečnostných dôvodov sa tento režim odporúča a je to predvolený režim pre čerstvo zabezpečený systém.
Bezobslužné zavádzanie	Systém sa spustí bez obsluhy bez potreby zadávať Odomknutie Passphrase do stavu _Operational_. Tento režim použite, ak vaše požiadavky na dostupnosť nie je možné splniť pomocou režimu Attended Boot.

Varovanie

Bez ohľadu na režim zavádzania si odblokovacia fráza ** zachováva svoju platnosť a je potrebná na obnovenie záloh na inom hardvéri. Odomykaciu frázu Unlock Passphrase si kedykoľvek uschovajte.

Aktuálny režim zavádzania možno načítať takto.

Príklad

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Spúšťací režim môžete zmeniť takto. Pri ďalšom štarte sa NetHSM bude správať podľa toho.

Argumenty

Argument	Popis
Stav	Povolenie alebo zakázanie Unattended Boot. Môže mať hodnotu `on` alebo `off`.

Príklad

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Štát¶

Softvér NetHSM má štyri stavy: Nezariadený, Zariadený, Zamknutý a Prevádzkový.

Štát	Popis
Neprovizované	NetHSM bez konfigurácie (predvolené nastavenie z výroby)
Zabezpečené	NetHSM s konfiguráciou. Stav Provisioned znamená buď stav Operational alebo Locked.
Prevádzkové	NetHSM s konfiguráciou a pripravený na vykonávanie príkazov. Stav Operational znamená stav Provisioned.
Zamknuté	NetHSM s konfiguráciou, ale zašifrovanými a neprístupnými dátovými úložiskami. Ďalším krokom je zvyčajne odomknutie systému. Zo stavu Locked vyplýva stav Provisioned.

Aktuálny stav NetHSM možno získať takto.

Príklad

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Nový NetHSM má stav Unprovisioned a po provisioningu vstupuje do stavu Operational. Zabezpečenie NetHSM je opísané v kapitole Provisioning.

NetHSM v stave Operational je možné opäť uzamknúť a chrániť ho takto.

Príklad

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM v stave Locked možno odomknúť takto. Kým je NetHSM v stave _Locked_, nie sú možné žiadne iné operácie. Potom je NetHSM v stave _Operational_ (Prevádzkový).

Príklad

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Odomknutie prístupovej frázy¶

Fráza Unlock Passphrase sa používa na odvodenie kľúča Unlock Key, ak je NetHSM v stave Zamknuté. Heslo sa pôvodne nastaví počas poskytovania NetHSM.

Varovanie

Odomykaciu frázu nie je možné resetovať bez znalosti aktuálnej hodnoty. Ak sa odomykacia prístupová fráza stratí, nie je možné ju resetovať na novú hodnotu ani odomknúť NetHSM.

Frázu Unlock Passphrase môžete nastaviť takto.

Voliteľné možnosti

Možnosť	Popis
`-n`, `--new-passphrase` `TEXT`	Nová prístupová fráza na odomknutie
`-p`, `--current-passphrase` `TEXT`	Aktuálna prístupová fráza pre odomknutie
`-f`, `--force`	Pred zmenou prístupovej frázy nepožadujte potvrdenie

Príklad

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certifikát TLS¶

Certifikát TLS sa používa pre rozhranie API REST založené na protokole HTTPS, a preto ho používa aj nitropy. Počas provisioningu sa vytvorí certifikát podpísaný samotným používateľom. Certifikát je možné nahradiť napríklad podpísaným certifikátom od certifikačnej autority (CA). V takom prípade je potrebné vygenerovať žiadosť o podpísanie certifikátu (CSR). Po podpísaní sa certifikát musí importovať do NetHSM.

Zmena je potrebná len vtedy, keď sa má certifikát vymeniť. Takouto zmenou môže byť jeho nahradenie podpísaným certifikátom od certifikačnej autority (CA).

Certifikát TLS môžete získať takto.

Vyžadované možnosti

Možnosť	Popis
`-a`, `--api`	Get the certificate for the NetHSM TLS interface

Príklad

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

Certifikát TLS možno vygenerovať takto.

Vyžadované možnosti

Možnosť	Popis
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Typ generovaného kľúča
`-l`, `--length` `INTEGER`	Dĺžka vygenerovaného kľúča

Príklad

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Žiadosť o podpis certifikátu (CSR) pre certifikát možno vygenerovať takto.

Vyžadované možnosti

Možnosť	Popis
`-a`, `--api`	Generovanie CSR pre certifikát TLS NetHSM
`--country` `TEXT`	Názov krajiny
`--state-or-province` `TEXT`	Názov štátu alebo provincie
`--locality` `TEXT`	Názov lokality
`--organization` `TEXT`	Názov organizácie
`--organizational-unit` `TEXT`	Názov organizačnej jednotky
`--common-name` `TEXT`	Spoločný názov
`--email-address` `TEXT`	E-mailová adresa

Príklad

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Certifikát je možné nahradiť takto.

Vyžadované možnosti

Možnosť	Popis
`-a`, `--api`	Nastavenie certifikátu pre rozhranie TLS NetHSM

Argumenty

Argument	Popis
`FILENAME`	Súbor s certifikátom

Príklad

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Sieť¶

Konfigurácia siete definuje nastavenia používané pre Sieťový port.

Poznámka

Týmto nastavením sa nekonfiguruje sieťový port BMC.

Konfiguráciu siete možno načítať takto.

Vyžadované možnosti

Možnosť	Popis
`--network`	Vyhľadávanie konfigurácie siete

Príklad

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Konfiguráciu siete nastavte takto.

Poznámka

NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).

Poznámka

NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).

Vyžadované možnosti

Možnosť	Popis
`-a`, `--ip-address`	Nová IP adresa
`-n`, `--netmask`	Nová sieťová maska
`-n`, `--netmask`	Nová brána

Príklad

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Čas¶

Konfigurácia času nastavuje systémový čas softvéru NetHSM. Zvyčajne nie je potrebné nastavovať systémový čas, pretože sa nastavuje počas provisioningu.

Konfiguráciu času možno načítať takto.

Vyžadované možnosti

Možnosť	Popis
`--time`	Dotaz na systémový čas

Príklad

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nastavenie času NetHSM.

Dôležité

Uistite sa, že ste zadali čas v časovom pásme UTC.

Argumenty

Argument	Popis
`time`	Systémový čas, ktorý sa má nastaviť (formát: RRRR-MM-DDTHH:MM:SSZ)

Príklad

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metriky¶

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Metriky možno získať takto.

Požadovaná úloha

This operation requires an authentication with the Metrics role.

Príklad

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Prihlasovanie¶

NetHSM môže zaznamenávať systémové udalosti na sériový port alebo na server syslog v sieti.

Dôležité

Pri každom produkčnom nasadení by sa mal protokol NetHSM nepretržite monitorovať, aby sa okamžite upozornilo na akékoľvek potenciálne bezpečnostné problémy.

Konfiguráciu servera syslog možno načítať takto.

Vyžadované možnosti

Možnosť	Popis
`--network`	Dotaz na konfiguráciu protokolovania

Príklad

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguráciu servera syslog možno nastaviť takto.

Vyžadované možnosti

Možnosť	Popis
`-p`, `--passphrase` `TEXT`	IP adresa nového cieľa protokolovania
`-p`, `--port` `INTEGER`	Port nového cieľa prihlásenia
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Nová úroveň protokolu

Príklad

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Sériová konzola funguje hneď od začiatku používania hardvéru NetHSM. Zahŕňa udalosti z firmvéru NetHSM a softvéru NetHSM.

Nastavenia sériového konzolového pripojenia sú nasledovné.

Nastavenie	Hodnota
Prenosová rýchlosť	115200
Dátové bity	8
Stop bity	1
Parita	Žiadne
Riadenie toku	Žiadne

Zálohovanie¶

NetHSM Užívateľské údaje možno uložiť do záložného súboru. Tento záložný súbor obsahuje všetky Užívateľské údaje, konkrétne Ukladisko konfigurácie, Ukladisko overovania, Ukladisko doménových kľúčov a Ukladisko kľúčov.

Dôležité

Systémový softvér NetHSM v režime Unattended Boot bude vyžadovať Unlock Passphrase, ak sa obnoví na inom hardvéri NetHSM. Viac informácií nájdete v kapitole Unlock Passphrase.

Dôležité

Zariadenie NetHSM v režime Unattended Boot bude po obnovení v rovnakom režime.

Pred spustením zálohovania sa musí nastaviť Backup Passphrase. Fráza Backup Passphrase sa používa na šifrovanie údajov v záložnom súbore.

Varovanie

Záložnú prístupovú frázu nemožno resetovať bez znalosti aktuálnej hodnoty. Ak sa záložná prístupová fráza stratí, nie je možné ju obnoviť na novú hodnotu ani obnoviť vytvorené zálohy.

Záložnú prístupovú frázu možno nastaviť takto.

Voliteľné možnosti

Možnosť	Popis
`-n`, `--new-passphrase` `TEXT`	Nová záložná prístupová fráza
`-p`, `--current-passphrase` `TEXT`	Aktuálna záložná prístupová fráza (alebo prázdny reťazec, ak nie je nastavený)
`-f`, `--force`	Pred zmenou prístupovej frázy nepožadujte potvrdenie

Príklad

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Zálohovanie možno vykonať takto.

Požadovaná úloha

This operation requires an authentication with the Backup role.

Argumenty

Argument	Popis
`FILENAME`	Záložný súbor

Príklad

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Obnovenie¶

NetHSM možno obnoviť zo záložného súboru.

Ak je NetHSM Unprovisioned, obnoví všetky User Data vrátane konfigurácie systému a reštartuje sa. Systém preto môže následne získať iné sieťové nastavenia, certifikát TLS a odblokovaciu frázu.
Ak je NetHSM Provisioned, obnoví používateľov a používateľské kľúče, ale nie konfiguráciu systému. V tomto prípade sa vymažú všetci predtým existujúci používatelia a používateľské kľúče. NetHSM skončí v stave Operational.

Obnovu možno použiť takto.

Voliteľné možnosti

Možnosť	Popis
`-p`, `--backup-passphrase` `passphrase`	Záložná prístupová fráza
`-t`, `--system-time`	Systémový čas, ktorý sa má nastaviť (Formát: `YYYY-MM-DDTHH:MM:SSZ`)

Dôležité

Uistite sa, že je čas v miestnom počítači správne nastavený. Ak chcete nastaviť iný čas, zadajte ho manuálne.

Argumenty

Argument		Popis
`FILENAME` \| Obnoviť súbor

Príklad

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication¶

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Aktualizácia softvéru¶

Aktualizácie softvéru sa dajú nainštalovať v dvoch krokoch. Najprv je potrebné nahrať obraz aktualizácie na Provisioned NetHSM. NetHSM overí pravosť, integritu a číslo verzie obrazu. Voliteľne NetHSM zobrazí prípadné poznámky k vydaniu.

Varovanie

V dôsledku inštalácie beta aktualizácie môže dôjsť k strate údajov! Stabilné verzie by nemali spôsobiť stratu údajov. Pred aktualizáciou sa však odporúča vytvoriť zálohu.

Aktualizačný súbor môžete nahrať takto.

Argumenty

Argument	Popis
`FILENAME`	Aktualizácia súboru

Príklad

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Potom je možné aktualizáciu použiť alebo prerušiť. Pozrite si požadovanú možnosť uvedenú nižšie. Ak sa NetHSM vypne pred operáciou „commit“, aktualizačný súbor sa musí nahrať znova.

Dôležité

Ak sa nahrávanie aktualizačného obrázka skončí neúspešne s Error: NetHSM request failed: Bad request -- malformed image, postupujte podľa nasledujúcich krokov.

Skontrolujte, či máte platný aktualizačný súbor pomocou poskytnutého podpisu.
Uistite sa, že nemáte zapnutú vysokú úroveň protokolov, napríklad DEBUG. Viac informácií o konfigurácii úrovne logovania nájdete v kapitole Logovanie.
Reštartujte zariadenie, aby sa uvoľnila použitá pamäť.

Aktualizáciu je možné použiť (odovzdať) takto. Akákoľvek migrácia údajov sa vykoná až po tom, ako NetHSM úspešne zavedie novú verziu systémového softvéru.

Príklad

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Aktualizáciu je možné zrušiť nasledovne.

Príklad

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Systémové informácie¶

Informácie o systéme, ako je verzia firmvéru, verzia softvéru a verzia hardvéru, možno získať takto.

Príklad

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Reštart a vypnutie¶

Zariadenie NetHSM možno reštartovať a vypnúť buď na diaľku, alebo pomocou tlačidla reštartu a vypnutia na prednej strane hardvéru NetHSM.

Vzdialený reštart je možné spustiť nasledovne.

Príklad

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Vzdialené vypnutie je možné iniciovať nasledovne.

Príklad

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Obnovenie predvolených nastavení z výroby¶

Zariadenie Provisioned NetHSM možno obnoviť na predvolené výrobné nastavenia. V tomto prípade sa bezpečne vymažú všetky používateľské údaje a NetHSM sa zavedie do stavu Unprovisioned. Potom môžete chcieť provision NetHSM.

Obnovenie továrenských nastavení je možné vykonať nasledovne.

Príklad

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Správa používateľov¶

Úlohy¶

NetHSM umožňuje oddelenie povinností pomocou rôznych rolí. Každé používateľské konto nakonfigurované v NetHSM má priradenú jednu z nasledujúcich Rol.

Úloha	Popis
Administrátor	Používateľský účet s touto rolou má prístup ku všetkým operáciám poskytovaným NetHSM okrem operácií používania kľúčov, t. j. podpisovania a dešifrovania správ.
Operátor	Používateľský účet s touto rolou má prístup ku všetkým operáciám používania kľúčov, k podmnožine operácií správy kľúčov len na čítanie a k operáciám správy používateľov, ktoré umožňujú zmeny len v jeho vlastnom účte.
Metriky	Používateľské konto s touto rolou má prístup len k operáciám s metrikami určenými na čítanie.
Zálohovanie	Používateľské konto s touto rolou má prístup len k operáciám potrebným na spustenie zálohovania systému.

Podrobnejšie obmedzenia prístupu nájdete na Oblasti názvov a Značky.

Poznámka

V budúcej verzii môžu byť zavedené ďalšie Roly.

Pridať používateľa¶

Pridajte používateľské konto do NetHSM. Každý používateľský účet má rolu ** , ktorú je potrebné špecifikovať. Viac informácií o Roles nájdete v kapitole Roles .

Voliteľne môže byť používateľ priradený k *Namespace*.

Poznámka

ID používateľa musí byť alfanumerické. Ak nie je zadané žiadne, NetHSM priradí náhodné ID používateľa.

Používateľské konto môžete pridať takto.

Vyžadované možnosti

Možnosť	Popis
`-n`, `--real-name` `TEXT`	Skutočné meno nového používateľa
`-N`, `--namespace` `TEXT`	Oblasť názvov nového používateľa
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Rola nového používateľa
`-p`, `--passphrase` `TEXT`	Prístupová fráza nového používateľa

Voliteľné možnosti

Možnosť	Popis
`-u`, `--user-id` `TEXT`	ID nového používateľa

Príklad

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

V predvolenom nastavení je obor názvov zdedený od používateľa, ktorý pridáva nového používateľa. Iba používatelia bez priestoru Namespace môžu pre nových používateľov vybrať iný priestor Namespace. Oblasť názvov sa používa ako prefix pre meno používateľa, napríklad namespace~user. Preto sa to isté meno používateľa môže používať vo viacerých priestoroch Namespace.

Odstrániť používateľa¶

Odstránenie používateľského účtu z NetHSM.

Varovanie

Vymazanie je trvalé a nemožno ho vrátiť späť.

Používateľské konto možno vymazať takto.

Argumenty

Argument	Popis
`USER_ID`	Id používateľa používateľa.

Príklad

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Zoznam používateľov¶

Zoznam používateľov v systéme NetHSM.

Zoznam je možné vyhľadať takto.

Voliteľné možnosti

Možnosť	Popis
`--details`, `--no-details`	Dotaz na skutočné meno a rolu používateľa

Príklad

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Používatelia v rámci menného priestoru môžu vidieť len používateľov v tom istom mennom priestore.

Fráza používateľa¶

Prístupovú frázu používateľského konta možno resetovať. Prístupová fráza sa pôvodne nastavuje počas pridávania používateľského účtu.

Poznámka

Heslá musia mať >= 10 a <= 200 znakov.

Používateľskú prístupovú frázu možno nastaviť takto.

Vyžadované možnosti

Možnosť	Popis
`-u`, `--user-id` `TEXT`	ID používateľa
`-p`, `--passphrase` `TEXT`	Nová prístupová fráza používateľa

Príklad

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Priestory názvov¶

Oblasti názvov boli zavedené vo verzii softvéru 2.0. Pri prechode z predchádzajúcej verzie softvéru budú všetci existujúci používatelia a kľúče bez priestoru názvov.

Podobne ako koncept oddielov, aj NetHSM podporuje flexibilnejší Namespaces, ktorý zoskupuje kľúče, správcov a používateľov v NetHSM do samostatných podmnožín. Používatelia môžu vidieť a používať len kľúče v tom istom Mennom priestore a môžu vidieť len používateľov v tom istom Mennom priestore. Nie je možné vidieť používateľov a vidieť a používať kľúče iných Namespace. Keď sa vytvorí nový používateľ, zdedí Namespace používateľa, ktorý ho vytvoril. Dostupná kapacita úložiska sa zdieľa medzi všetkými mennými priestormi.

Používatelia s rolou Administrator ` <administration#roles>`__ sa označujú aj ako R-Administrator, ak nie sú v priestore názvov, alebo N-Administrator, ak sú v priestore názvov.

Na používateľov R-Administrator sa vzťahujú osobitné pravidlá: Môžu nastavovať menný priestor pre nových používateľov, vytvárať zoznam všetkých používateľov a vyhľadávať menný priestor používateľa. Takisto ku konfigurácii NetHSM majú prístup len používatelia R-Administrator. R-Administrátori nemôžu vidieť kľúče v priestore názvov.

Aby bolo možné generovať kľúče a používateľov v priestore názvov, musí byť tento priestor názvov vytvorený používateľom R-Administrator. Po vytvorení priestoru názvov už používatelia R-Administrator nemôžu v tomto priestore názvov vytvárať, odstraňovať ani upravovať používateľov. To umožňuje chrániť kľúče Namespace, ku ktorým má prístup R-Administrator (aj nepriamo pridaním nového používateľa v mene alebo resetovaním poverení existujúceho používateľa alebo správcu). Preto je potrebné pred vytvorením priestoru názvov vytvoriť používateľa N-Administrator pre daný priestor názvov. Používatelia R-Administrator môžu tiež odstrániť priestor názvov so všetkými obsiahnutými kľúčmi.

Zoznam menných priestorov¶

Zoznam menných priestorov v systéme NetHSM.

Zoznam je možné vyhľadať takto.

Príklad

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Pridať obor názvov¶

Pridanie oboru názvov do NetHSM.

Používatelia R-Administrator môžu vytvárať nové účty v mennom priestore už pred jeho vytvorením. Po vytvorení môžu používateľov v priestore názvov spravovať len používatelia N-Administrator. Vytváranie a používanie kľúčov v priestore názvov je možné až po jeho pridaní.

Poznámka

ID menného priestoru musí byť alfanumerické. Ak nie je zadané žiadne, NetHSM priradí náhodné ID používateľa.

Oblasť názvov možno pridať takto.

Argumenty

Argument		Popis
`NAMESPACE` \| Nový menný priestor.

Príklad

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Odstránenie menného priestoru¶

Odstránenie oboru názvov z NetHSM.

Odstránením oboru názvov sa odstránia aj všetky kľúče tohto oboru názvov. Zostávajúci používatelia v tomto Mennom priestore nemôžu pridávať kľúče, kým sa Menný priestor opäť nepridá.

Priestor názvov možno vymazať nasledujúcim spôsobom.

Argumenty

Argument	Popis
`NAMESPACE`	Oblasť názvov, ktorá sa má odstrániť.

Príklad

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Značky pre používateľov¶

Značky možno použiť na nastavenie jemných obmedzení prístupu ku kľúčom a sú voliteľnou funkciou. Jeden alebo viac Tagov možno priradiť len používateľským účtom s rolou Operátor. Operátori ** môžu vidieť všetky kľúče, ale používať len tie, ktoré majú aspoň jeden zodpovedajúci Tag. Kľúč nemôže upravovať používateľ Operator.

Informácie o tom, ako používať Tags na kľúčoch, nájdete v časti Tags for Keys.

Značku ** možno pridať takto.

Argumenty

Argument	Popis
`USER_ID`	ID používateľa, na ktorom sa má nastaviť značka.
`TAG`	Značka, ktorá sa má nastaviť na ID používateľa.

Príklad

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Značku Tag môžete vymazať takto.

Argumenty

Argument	Popis
`USER_ID`	ID používateľa, na ktorom sa má nastaviť značka.
`TAG`	Značka, ktorá sa má nastaviť na ID používateľa.

Príklad

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443