Uprava#

V tem poglavju so opisana upravna opravila za uporabnike z vlogo Administrator. Za več informacij o vlogi si oglejte poglavje Vloge.

Pomembno

Pred začetkom dela preberite informacije na začetku tega dokumenta.

Upravljanje sistema#

Informacije o napravi#

Informacije o prodajalcu in izdelku za NetHSM lahko pridobite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Način zagona#

NetHSM se lahko uporablja v načinu Attended Boot in Unattended Boot.

Način zagona

Opis

Udeleženi Boot

NetHSM se zažene v stanju _Locked_. Med vsakim zagonom je treba vnesti geslo Unlock Passphrase, ki se uporablja za dešifriranje uporabniških podatkov. Iz varnostnih razlogov je ta način priporočljiv in je privzeti način za sveže nameščen sistem.

Nenadzorovan zagon

Sistem se zažene brez nadzora, ne da bi bilo treba vnesti geslo Unlock Passphrase v stanje _Operational_. Ta način uporabite, če vaših zahtev glede razpoložljivosti ni mogoče izpolniti z načinom Attended Boot.

Opozorilo

Ne glede na način zagona geslo Unlock Passphrase ohrani svojo veljavnost in je potrebno za obnovitev varnostnih kopij na drugi strojni opremi. Geslo Unlock Passphrase imejte vedno na varnem.

Trenutni način zagona lahko prikličete na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Način zagona lahko spremenite na naslednji način. Pri naslednjem zagonu se bo NetHSM obnašal ustrezno.

Argumenti

Argument

Opis

Status

Omogočite ali onemogočite Neprimerno zagonsko delovanje. Lahko ima vrednost on ali off.

Primer

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Država#

Programska oprema NetHSM ima štiri stanja: Neopredeljeno, opredeljeno, zaprto in delujoče.

Država

Opis

Neprovizirano

NetHSM brez konfiguracije (tovarniške nastavitve)

Provizionirano

NetHSM s konfiguracijo. Stanje Provisioned pomeni stanje Operational ali Locked.

Operativno

NetHSM s konfiguracijo in pripravljen za izvajanje ukazov. Stanje Operational pomeni stanje Provisioned.

Zaklenjeno

NetHSM s konfiguracijo, vendar šifriranimi in nedostopnimi podatkovnimi shrambami. Običajno je naslednji korak odklepanje sistema. Stanje Locked pomeni stanje Provisioned.

Stanje in prehodi NetHSM

Stanje in prehodi NetHSM#


Trenutno stanje NetHSM lahko pridobite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Nov NetHSM ima stanje Unprovisioned in po zagotovitvi preide v stanje Operational. Zagotavljanje delovanja NetHSM je opisano v poglavju Zagotavljanje delovanja.

NetHSM v stanju Operational lahko ponovno zaklenete in ga zaščitite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM v stanju Locked lahko odklenete na naslednji način. Ko je NetHSM v stanju _Locked_, druge operacije niso mogoče. Nato je NetHSM v stanju _Operational_.

Primer

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

geslo za odklepanje#

Geslo Unlock Passphrase se uporablja za izpeljavo ključa Unlock Key, če je NetHSM v stanju Locked. Pasfraza se na začetku nastavi med zagotavljanjem NetHSM.

Opozorilo

Gesla za odklepanje ni mogoče ponastaviti, če ne poznate trenutne vrednosti. Če se geslo za odklepanje izgubi, ga ni mogoče ponastaviti na novo vrednost niti ni mogoče odkleniti naprave NetHSM.

Geslo Unlock Passphrase lahko nastavite na naslednji način.

Volitivne možnosti

Možnost

Opis

-n, --new-passphrase TEXT

Nova geslo za odklepanje

-p, --current-passphrase TEXT

Trenutna geselska fraza za odklepanje

-f, --force

Pred spreminjanjem gesla ne zahtevajte potrditve.

Primer

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Potrdilo TLS#

Potrdilo TLS se uporablja za API REST, ki temelji na protokolu HTTPS, zato ga uporablja tudi nitropy. Med zagotavljanjem se ustvari samopodpisano potrdilo. Potrdilo lahko nadomestite, na primer s podpisanim potrdilom organa za izdajo potrdil (CA). V tem primeru je treba ustvariti zahtevek za podpis potrdila (CSR). Po podpisu je treba potrdilo uvoziti v sistem NetHSM.

Sprememba je potrebna le, če je treba potrdilo zamenjati. Takšna sprememba je lahko zamenjava s podpisanim potrdilom organa za izdajo potrdil (CA).

Potrdilo TLS lahko pridobite na naslednji način.

Potrebne možnosti

Možnost

Opis

-a, --api

Nastavitev potrdila za vmesnik TLS NetHSM

Primer

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Potrdilo TLS lahko ustvarite na naslednji način.

Potrebne možnosti

Možnost

Opis

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Vrsta ustvarjenega ključa

-l, --length INTEGER

Dolžina generiranega ključa

Primer

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Zahtevo za podpis potrdila (CSR) za potrdilo lahko ustvarite na naslednji način.

Potrebne možnosti

Možnost

Opis

-a, --api

Ustvarjanje potrdila CSR za potrdilo TLS NetHSM

--country TEXT

Ime države

--state-or-province TEXT

Ime države ali pokrajine

--locality TEXT

Ime kraja

--organization TEXT

Ime organizacije

--organizational-unit TEXT

Ime organizacijske enote

--common-name TEXT

Splošno ime

--email-address TEXT

E-poštni naslov

Primer

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Potrdilo lahko zamenjate na naslednji način.

Potrebne možnosti

Možnost

Opis

-a, --api

Nastavitev potrdila za vmesnik TLS NetHSM

Argumenti

Argument

Opis

FILENAME

Datoteka s potrdilom

Primer

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Omrežje#

Konfiguracija omrežja določa nastavitve, ki se uporabljajo za omrežna vrata.

Opomba

Ta nastavitev ne konfigurira omrežnih vrat BMC.

Konfiguracijo omrežja lahko pridobite na naslednji način.

Potrebne možnosti

Možnost

Opis

--network

Poizvedovanje po konfiguraciji omrežja

Primer

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nastavite omrežno konfiguracijo, kot sledi.

Opomba

NetHSM ne podpira protokola DHCP (Dynamic Host Configuration Protocol).

Opomba

NetHSM ne podpira protokola IPv6 (Internet Protocol version 6).

Potrebne možnosti

Možnost

Opis

-a, --ip-address

Novi naslov IP

-n, --netmask

Nova omrežna maska

-n, --netmask

Nova vrata

Primer

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Čas#

Konfiguracija časa določa sistemski čas programske opreme NetHSM. Sistemskega časa običajno ni treba nastavljati, saj je nastavljen med zagotavljanjem.

Konfiguracijo časa lahko prikličete na naslednji način.

Potrebne možnosti

Možnost

Opis

--time

Poizvedba po sistemskem času

Primer

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nastavite čas NetHSM.

Pomembno

Poskrbite, da bo čas posredovan v časovnem pasu UTC.

Argumenti

Argument

Opis

time

Sistemski čas, ki ga želite nastaviti (Oblika: YYYYY-MM-DDTHH:MM:SSZ)

Primer

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metrike#

NetHSM beleži metrike sistemskih parametrov.

Opomba

Ta ukaz zahteva avtentikacijo uporabnika z vlogo Metrics. Za več informacij o vlogi si oglejte poglavje Vloge.

Za več informacij o posamezni metriki glejte Metrike.

Metrike lahko pridobite na naslednji način.

Primer

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Prijava#

NetHSM lahko beleži sistemske dogodke v serijska vrata ali v strežnik syslog v omrežju.

Pomembno

Pri vsaki produkcijski namestitvi je treba dnevnik NetHSM stalno spremljati, da se zagotovi takojšnje obveščanje o morebitnih varnostnih težavah.

Konfiguracijo strežnika syslog lahko pridobite na naslednji način.

Potrebne možnosti

Možnost

Opis

--network

Poizvedovanje po konfiguraciji beleženja

Primer

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguracijo strežnika syslog lahko nastavite na naslednji način.

Potrebne možnosti

Možnost

Opis

-p, --passphrase TEXT

Naslov IP novega namembnega kraja za beleženje

-p, --port INTEGER

Vrata novega namembnega kraja za beleženje

-l, --log-level [debug|info|warning|error]

Nova raven dnevnika

Primer

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Serijska konzola deluje že od samega začetka delovanja strojne opreme NetHSM. Vključuje dogodke iz vdelane programske opreme NetHSM in programske opreme NetHSM.

Nastavitve zaporedne konzolne povezave so naslednje.

Nastavitev

Vrednost

Hitrost Baud

115200

Podatkovni biti

8

Stop biti

1

Pariteta

Ni

Nadzor pretoka

Ni

Varnostna kopija#

NetHSM Uporabniški podatki se lahko shranijo v varnostno datoteko. Ta varnostna datoteka vsebuje vse uporabniške podatke, in sicer hrambo konfiguracije, hrambo avtentikacije, hrambo ključev domene in hrambo ključev.

Pomembno

Sistemska programska oprema NetHSM v načinu Unattended Boot bo zahtevala geslo za odklepanje Unlock Passphrase, če bo obnovljena na drugi strojni opremi NetHSM. Za več informacij glejte poglavje Unlock Passphrase.

Pomembno

NetHSM v načinu Negotovljen zagon bo v enakem načinu tudi po obnovitvi.

Pred začetkom varnostnega kopiranja je treba nastaviti geslo Backup Passphrase. Geslo Backup Passphrase se uporablja za šifriranje podatkov v datoteki varnostne kopije.

Opozorilo

Rezervne gesla ni mogoče ponastaviti, če ne poznate trenutne vrednosti. Če se geslo za varnostno kopiranje izgubi, ga ni mogoče ponastaviti na novo vrednost niti ni mogoče obnoviti ustvarjenih varnostnih kopij.

Varnostno geslo lahko nastavite na naslednji način.

Volitivne možnosti

Možnost

Opis

-n, --new-passphrase TEXT

Nova geslo za varnostno kopiranje

-p, --current-passphrase TEXT

Trenutna varnostna geselska fraza (ali prazen niz, če ni nastavljena).

-f, --force

Pred spreminjanjem gesla ne zahtevajte potrditve.

Primer

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Opomba

Ta ukaz zahteva avtentikacijo uporabnika z vlogo Backup. Za več informacij glejte poglavje Vloge.

Varnostno kopiranje lahko izvedete na naslednji način.

Argumenti

Argument

Opis

FILENAME

Varnostna datoteka

Primer

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Opomba

To varnostno datoteko je mogoče obnoviti samo na nerazporejenem primerku NetHSM.

Obnovitev#

NetHSM lahko obnovite iz varnostne kopije.

  • Če je NetHSM Unprovisioned, se obnovijo vsi uporabniški podatki, vključno s konfiguracijo sistema in ponovnim zagonom. Zato lahko sistem po tem dobi drugačne omrežne nastavitve, potrdilo TLS in frazo za odklepanje.

  • Če je NetHSM Provisioned, se obnovijo uporabniki in uporabniški ključi, ne pa tudi konfiguracija sistema. V tem primeru bodo izbrisani vsi prej obstoječi uporabniki in uporabniški ključi. NetHSM se konča v stanju Operational.

Obnovitev lahko izvedete na naslednji način.

Volitivne možnosti

Možnost

Opis

-p, --backup-passphrase passphrase

Varnostna gesla za varnostno kopiranje

-t, --system-time

Sistemski čas za nastavitev (Format: YYYY-MM-DDTHH:MM:SSZ)

Pomembno

Prepričajte se, da je čas v lokalnem računalniku pravilno nastavljen. Če želite nastaviti drug čas, ga določite ročno.

Argumenti

Argument

Opis

FILENAME | Obnovitev datoteke

Primer

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Grozdenje#

NetHSM je brez stanja, tako da je mogoče uporabiti več naprav NetHSM za obdelavo izjemno visoke prepustnosti in zagotavljanje visoke razpoložljivosti. Modul PKCS#11 podpira krožni razpored za gručo instanc NetHSM. Več instanc NetHSM se lahko sinhronizira prek šifriranih varnostnih kopij. V ta namen ločen sistem prenaša in nalaga varnostne kopije med instancami. Ta ločeni sistem nima dostopa do podatkov varnostnih kopij v čistem besedilu, ker so varnostne kopije šifrirane. Sinhronizacijo je mogoče preprosto pripraviti v scenariju z uporabo pynitrokey, kot je prikazano v tem primeru.

Posodobitev programske opreme#

Posodobitve programske opreme lahko namestite v dveh korakih. Najprej je treba sliko posodobitve prenesti na Provisioned NetHSM. NetHSM preveri avtentičnost, celovitost in številko različice slike. Po želji NetHSM prikaže morebitne opombe o izdaji.

Opozorilo

Zaradi namestitve posodobitve beta lahko pride do izgube podatkov! Stabilne različice ne bi smele povzročiti izgube podatkov. Kljub temu priporočamo, da pred posodobitvijo ustvarite varnostno kopijo.

Datoteko za posodobitev lahko naložite na naslednji način.

Argumenti

Argument

Opis

FILENAME

Datoteka za posodobitev

Primer

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Nato lahko posodobitev uporabite ali prekinete. V nadaljevanju si oglejte želeno možnost. Če se NetHSM izklopi pred operacijo „commit“ (potrditev), je treba datoteko za posodobitev ponovno naložiti.

Pomembno

Če nalaganje posodobljene slike ne uspe s sporočilom Error: NetHSM request failed: Bad request -- malformed image, sledite spodnjim korakom.

  1. Prepričajte se, da imate veljavno datoteko posodobitve, tako da jo preverite s priloženim podpisom.

  2. Prepričajte se, da nimate omogočene visoke ravni dnevnika, kot je DEBUG. Za več informacij o konfiguraciji ravni dnevnika glejte poglavje Dnevniki.

  3. Ponovno zaženite napravo, da sprostite uporabljeni pomnilnik.

Posodobitev se lahko uporabi (izvede) na naslednji način. Prenos podatkov se izvede šele po tem, ko NetHSM uspešno zažene novo različico sistemske programske opreme.

Primer

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Posodobitev lahko prekličete na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Sistemske informacije#

Sistemske informacije, kot so različica vdelane programske opreme, različica programske opreme in različica strojne opreme, lahko pridobite na naslednji način.

Primer

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Ponovni zagon in izklop#

NetHSM je mogoče ponovno zagnati in izklopiti na daljavo ali z gumbom za ponovni zagon in izklop na sprednji strani strojne opreme NetHSM.

Oddaljeni ponovni zagon lahko sprožite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Izklop na daljavo lahko sprožite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Ponastavitev na tovarniške nastavitve#

V napravi Provisioned NetHSM lahko ponastavite tovarniške nastavitve. V tem primeru se vsi uporabniški podatki varno izbrišejo in NetHSM se zažene v Unprovisioned stanje. Nato boste morda želeli zagotoviti NetHSM.

Ponastavitev na tovarniške nastavitve lahko izvedete na naslednji način.

Primer

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Upravljanje uporabnikov#

Vloge#

NetHSM omogoča ločevanje nalog z uporabo različnih vlog. Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog.

Vloga

Opis

Administrator

Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja NetHSM, razen operacij uporabe ključev, tj. podpisovanja in dešifriranja sporočil.

Operator

Uporabniški račun s to vlogo ima dostop do vseh operacij uporabe ključev, podmnožice operacij upravljanja ključev samo za branje in operacij upravljanja uporabnikov, ki omogočajo spremembe samo v njegovem računu.

Metrika

Uporabniški račun s to vlogo ima dostop samo do operacij metrike za branje.

Zaščitna kopija

Uporabniški račun s to vlogo ima dostop samo do operacij, ki so potrebne za začetek varnostnega kopiranja sistema.

Za natančnejše omejitve dostopa glejte Prostori imen in Oznake.

Opomba

V prihodnji izdaji bodo morda uvedene dodatne vloge.

Dodajanje uporabnika#

Dodajte uporabniški račun v NetHSM. Vsak uporabniški račun ima vlogo Role, ki jo je treba določiti. Za več informacij o Vlogah si oglejte poglavje Vloge .

Po želji je lahko uporabnik dodeljen *Nazivnemu prostoru*.

Opomba

ID uporabnika mora biti alfanumeričen. NetHSM dodeli naključni ID uporabnika, če ni naveden.

Uporabniški račun lahko dodate na naslednji način.

Potrebne možnosti

Možnost

Opis

-n, --real-name TEXT

Pravo ime novega uporabnika

-N, --namespace TEXT

Imenski prostor novega uporabnika

-r, --role [Administrator|Operator|Metrics|Backup]

Vloga novega uporabnika

-p, --passphrase TEXT

Geslo novega uporabnika

Volitivne možnosti

Možnost

Opis

-u, --user-id TEXT

ID uporabnika novega uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Privzeto je imenski prostor podedovan od uporabnika, ki doda novega uporabnika. Samo uporabniki brez imenskega prostora lahko za nove uporabnike izberejo drugačen imenski prostor. Prostor imen se uporablja kot predpona za uporabniško ime, na primer namespace~user. Zato se lahko isto uporabniško ime uporablja v več imenskih prostorih.

Izbriši uporabnika#

Izbrišite uporabniški račun iz sistema NetHSM.

Opozorilo

Brisanje je trajno in ga ni mogoče povrniti.

Uporabniški račun lahko izbrišete na naslednji način.

Argumenti

Argument

Opis

USER_ID

Id uporabnika.

Primer

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Seznam uporabnikov#

Seznam uporabnikov v NetHSM.

Seznam lahko pridobite na naslednji način.

Volitivne možnosti

Možnost

Opis

--details, --no-details

poizvedba po pravem imenu in vlogi uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Uporabniki znotraj imenskega prostora lahko vidijo samo uporabnike v istem imenskem prostoru.

Uporabniška geslo#

Geslo uporabniškega računa lahko ponastavite. Geslo se prvotno nastavi med dodajanjem uporabniškega računa.

Opomba

Geslo mora imeti >= 10 in <= 200 znakov.

Uporabniško geslo lahko nastavite na naslednji način.

Potrebne možnosti

Možnost

Opis

-u, --user-id TEXT

ID uporabnika

-p, --passphrase TEXT

Nova geselska fraza uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Prostori imen#

Prostori imen so bili uvedeni v različici programske opreme 2.0. Pri prehodu s prejšnje različice programske opreme bodo vsi obstoječi uporabniki in ključi brez prostora imen.

Podobno kot koncept razdelkov tudi NetHSM podpira bolj prilagodljiv Imenski prostori, ki ključe, skrbnike in uporabnike v NetHSM združuje v ločene podskupine. Uporabniki lahko vidijo in uporabljajo samo ključe v istem prostoru imen in vidijo samo uporabnike v istem prostoru imen. Ni mogoče videti uporabnikov ter videti in uporabljati ključev drugih imenskih prostorov. Ko je ustvarjen nov uporabnik, podeduje imenski prostor uporabnika, ki ga je ustvaril. Razpoložljiva pomnilniška zmogljivost se deli med vse prostore Imen.

Uporabniki z vlogo Administrator ` <administration#roles>` __ se imenujejo tudi R-Administrator, če niso v prostoru imen, ali N-Administrator, če so v prostoru imen.

Za uporabnike R-Administrator veljajo posebna pravila: Uporabniki lahko nastavijo imenski prostor za nove uporabnike, izpišejo vse uporabnike in poizvedujejo po imenskem prostoru uporabnika. Prav tako lahko do konfiguracije NetHSM dostopajo samo R-Administrator uporabniki. R-administratorji ne morejo videti ključev v prostoru imen.

Če želite ustvariti ključe in uporabnike v prostoru imen, mora prostor imen ustvariti uporabnik R-Administrator. Ko je prostor imen ustvarjen, uporabniki R-Administrator ne morejo več ustvarjati, brisati ali spreminjati uporabnikov v tem prostoru imen. To omogoča zaščito ključev prostorov imen, do katerih dostopa R-Administrator (tudi posredno z dodajanjem novega uporabnika v imenu ali ponastavitvijo poverilnic obstoječega uporabnika ali administratorja). Zato je treba pred ustvarjanjem imenskega prostora ustvariti uporabnika N-Administrator za imenski prostor. R-Administrator uporabniki lahko tudi izbrišejo imenski prostor z vsemi vsebovanimi ključi.

Seznam imenskih prostorov#

Seznam prostorov imen v NetHSM.

Seznam lahko pridobite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Dodajanje imenskega prostora#

Dodajanje imenskega prostora v NetHSM.

R-Administrator Uporabniki lahko ustvarijo nove račune v prostoru imen že pred njegovim ustvarjanjem. Po ustvarjanju lahko uporabnike v prostoru imen upravljajo le N-Administrator uporabniki. Ustvarjanje in uporaba ključev v prostoru imen je mogoča šele po tem, ko je ta dodan.

Opomba

ID imenskega prostora mora biti alfanumeričen. NetHSM dodeli naključni ID uporabnika, če ta ni naveden.

Imenski prostor lahko dodate na naslednji način.

Argumenti

Argument

Opis

NAMESPACE | Nov imenski prostor.

Primer

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Brisanje imenskega prostora#

Brisanje imenskega prostora iz NetHSM.

Brisanje imenskega prostora izbriše tudi vse ključe tega imenskega prostora. Preostali uporabniki v prostoru imen ne morejo dodajati ključev, dokler prostor imen ni ponovno dodan.

Imenski prostor lahko izbrišete na naslednji način.

Argumenti

Argument

Opis

NAMESPACE

Imenski prostor, ki ga želite izbrisati.

Primer

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Oznake za uporabnike#

Oznake se lahko uporabljajo za določanje natančnih omejitev dostopa do ključev in so neobvezna funkcija. Ena ali več oznak Tags je lahko dodeljena samo uporabniškim računom z vlogo Operator. Operaterji ** lahko vidijo vse ključe, vendar uporabljajo samo tiste z vsaj eno ustrezno oznako Tag. Ključa ne more spreminjati uporabnik Operater.

Če želite izvedeti, kako uporabljati oznake Tags na ključih, glejte Tags for Keys.

Tag lahko dodate na naslednji način.

Argumenti

Argument

Opis

USER_ID

ID uporabnika, na katerega se nastavi oznaka.

TAG

Oznaka, ki se nastavi na ID uporabnika.

Primer

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag lahko izbrišete na naslednji način.

Argumenti

Argument

Opis

USER_ID

ID uporabnika, na katerega se nastavi oznaka.

TAG

Oznaka, ki se nastavi na ID uporabnika.

Primer

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443