Administration¶
I detta kapitel beskrivs administrativa uppgifter för användare med rollen Administrator. Se kapitel Roller för mer information om rollen.
Viktigt
Se till att du läser informationen i början av det här dokumentet innan du börjar arbeta.
Systemförvaltning¶
Information om enheten¶
Leverantörs- och produktinformation för en NetHSM kan hämtas på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Information om ändpunkten /info finns i API-dokumentationen.
Uppstartsläge¶
NetHSM kan användas i läget Attended Boot och Unattended Boot.
Uppstartsläge |
Beskrivning |
|---|---|
Deltog i Boot |
NetHSM startas upp i ett _Locked_-läge. Vid varje start måste Unlock Passphrase anges, vilken används för att dekryptera User Data. Av säkerhetsskäl rekommenderas detta läge och det är standardläget för ett nyinstallerat system. |
Boot utan tillsyn |
Systemet startar utan uppsikt utan att du behöver ange Unlock Passphrase i ett _Operational_-tillstånd. Använd detta läge om dina tillgänglighetskrav inte kan uppfyllas med läget Attended Boot. |
Varning
Oavsett startläge behåller Unlock Passphrase sin giltighet och krävs för återställning av säkerhetskopior på annan maskinvara. Förvara alltid Unlock Passphrase i säkert förvar.
Det aktuella startläget kan hämtas på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Information om ändpunkten /config/unattended-boot finns i API-dokumentationen.
Startläget kan ändras på följande sätt. Vid nästa start kommer NetHSM att bete sig i enlighet med detta.
Argument
Argument |
Beskrivning |
|---|---|
Status |
Aktivera eller inaktivera Unattended Boot. Kan ha värdet |
Exempel
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Information om ändpunkten /config/unattended-boot finns i API-dokumentationen.
Stat¶
NetHSM-programvaran har fyra tillstånd: Unprovisioned, Provisioned, Locked och Operational.
Stat |
Beskrivning |
|---|---|
Oförutsedd |
NetHSM utan konfiguration (fabriksinställning) |
Förutsatt |
NetHSM med konfiguration. Tillståndet Provisioned innebär antingen Operational eller Locked. |
Operational |
NetHSM med konfiguration och redo att utföra kommandon. Tillståndet Operational förutsätter tillståndet Provisioned. |
Lockad |
NetHSM med konfiguration men krypterade och oåtkomliga datalager. Nästa steg är vanligtvis att låsa upp systemet. Tillståndet Locked innebär tillståndet Provisioned. |
Tillstånd och övergångar i NetHSM¶
NetHSM:s aktuella tillstånd kan hämtas på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Information om ändpunkten /health/state finns i API-dokumentationen.
En ny NetHSM har tillståndet Unprovisioned och efter provisionering övergår den till tillståndet Operational. Provisioneringen av en NetHSM beskrivs i kapitlet Provisionering.
En NetHSM i Operational-tillstånd kan låsas igen för att skydda den på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Information om ändpunkten /lock finns i API-dokumentationen.
En NetHSM i läget Locked kan låsas upp på följande sätt. Medan NetHSM är i _Locked_-läge är inga andra åtgärder möjliga. Efteråt befinner sig NetHSM i ett _Operational_-läge.
Exempel
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Information om ändpunkten /unlock finns i API-dokumentationen.
Lås upp lösenordsfrasen¶
Passfrasen Unlock Passphrase används för att få fram en Unlock Key om NetHSM är i Locked-tillstånd. Lösenfrasen ställs in initialt under tillhandahållandet av NetHSM.
Varning
Upplåsningspassfrasen kan inte återställas utan att man känner till det aktuella värdet. Om lösenfrasen för upplåsning förloras kan den inte återställas till ett nytt värde och NetHSM kan inte låsas upp.
Unlock Passphrase kan ställas in på följande sätt.
Valfria alternativ
Alternativ |
Beskrivning |
|---|---|
|
Den nya lösenfrasen för upplåsning |
|
Den aktuella lösenfrasen för upplåsning |
|
Be inte om bekräftelse innan du ändrar lösenfrasen |
Exempel
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Information om ändpunkten /config/unlock-passphrase finns i API-dokumentationen.
TLS-certifikat¶
TLS-certifikatet används för det HTTPS-baserade REST API:et och används därför även av nitropy. Under tillhandahållandet skapas ett självsignerat certifikat. Certifikatet kan ersättas, till exempel med ett signerat certifikat från en certifikatutfärdare (CA). I detta fall måste en Certificate Signing Request (CSR) genereras. Efter signering måste certifikatet importeras till NetHSM.
En ändring är endast nödvändig när certifikatet ska ersättas. En sådan ändring kan vara att ersätta det med ett signerat certifikat från en certifikatutfärdare (CA).
TLS-certifikatet kan hämtas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Exempel
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Information om ändpunkten /config/tls/cert.pem finns i API-dokumentationen.
TLS-certifikatet kan skapas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Typ för den genererade nyckeln |
|
Längden på den genererade nyckeln |
Exempel
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Information om ändpunkten /config/tls/generate finns i API-dokumentationen.
Certificate Signing Request (CSR) för certifikatet kan genereras på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Generera en CSR för NetHSM TLS-certifikatet |
|
Landets namn |
|
Namnet på delstaten eller provinsen |
|
Namnet på orten |
|
Organisationens namn |
|
Namnet på organisationsenheten |
|
Det gemensamma namnet |
|
E-postadressen |
Exempel
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Information om slutpunkten /config/tls/csr.pem finns i API-dokumentationen.
Certifikatet kan ersättas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Ange certifikatet för NetHSM TLS-gränssnittet |
Argument
Argument |
Beskrivning |
|---|---|
|
Certifikatfil |
Exempel
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Information om slutpunkten /config/tls/csr.pem finns i API-dokumentationen.
Nätverk¶
Nätverkskonfigurationen definierar de inställningar som används för Network Port.
Observera
This settings do not configure the BMC Network Port on the NetHSM 1.
Nätverkskonfigurationen kan hämtas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Fråga efter nätverkskonfigurationen |
Exempel
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Information om ändpunkten /config/network finns i API-dokumentationen.
Ställ in nätverkskonfigurationen på följande sätt.
Observera
NetHSM stöder inte DHCP (Dynamic Host Configuration Protocol).
Observera
NetHSM stöder inte IPv6 (Internet Protocol version 6).
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Den nya IP-adressen |
|
Den nya nätmasken |
|
Den nya gatewayen |
Exempel
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Information om ändpunkten /config/network finns i API-dokumentationen.
Tid¶
Tidskonfigurationen ställer in systemtiden för NetHSM-programvaran. Det är vanligtvis inte nödvändigt att ställa in systemtiden, eftersom den ställs in under tillhandahållandet.
Tidskonfigurationen kan hämtas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Fråga efter systemtiden |
Exempel
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Information om ändpunkten /config/time finns i API-dokumentationen.
Ställ in tiden för NetHSM.
Viktigt
Se till att du anger tiden i UTC-tidszon.
Argument
Argument |
Beskrivning |
|---|---|
|
Systemtiden som ska ställas in (Format: YYYYYY-MM-DDTHH:MM:SSZ) |
Exempel
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Information om ändpunkten /config/time finns i API-dokumentationen.
Mätvärden¶
NetHSM loggar mätvärden för systemparametrar. Se Mätvärden för mer information om varje mätvärde.
Mätvärdena kan hämtas på följande sätt.
Obligatorisk roll
Denna åtgärd kräver autentisering med rollen Metrics.
Exempel
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Information om ändpunkten /metrics finns i API-dokumentationen.
Loggning¶
NetHSM kan logga systemhändelser till den seriella porten eller till en syslog-server i nätverket.
Viktigt
För alla produktionsinstallationer bör NetHSM-loggen övervakas kontinuerligt för att ge omedelbar information om eventuella säkerhetsproblem.
Konfigurationen av syslog-servern kan hämtas på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Fråga efter loggningskonfigurationen |
Exempel
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Information om ändpunkten /config/logging finns i API-dokumentationen.
Konfigurationen av syslog-servern kan ställas in på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
IP-adressen för den nya loggningsdestinationen |
|
Port för den nya loggningsdestinationen |
|
Den nya loggningsnivån |
Exempel
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Information om ändpunkten /config/logging finns i API-dokumentationen.
Den seriella konsolen fungerar redan från början av NetHSM-hårdvaran. Den omfattar händelser från NetHSM:s fasta programvara och NetHSM-programvaran.
Inställningarna för den seriella konsolanslutningen är följande.
Inställning av |
Värde |
|---|---|
Baud-hastighet |
115200 |
Databitar |
8 |
Stoppbitar |
1 |
Paritet |
Ingen |
Flödeskontroll |
Ingen |
Säkerhetskopiering¶
NetHSM Användardata kan sparas i en backup-fil. Denna säkerhetskopieringsfil innehåller alla användardata, nämligen Configuration Store, Authentication Store, Domain Key Store och Key Store.
Viktigt
En NetHSM-systemprogramvara i läget Unattended Boot kommer att kräva Unlock Passphrase om den återställs på en annan NetHSM-maskinvara. Mer information finns i kapitel Unlock Passphrase.
Viktigt
En NetHSM i läget Unattended Boot kommer att vara i samma läge efter en återställning.
Innan en säkerhetskopiering kan påbörjas måste Backup Passphrase ställas in. Backup Passphrase används för att kryptera data i backup-filen.
Varning
Lösenfrasen för säkerhetskopian kan inte återställas om man inte känner till det aktuella värdet. Om lösenfrasen för säkerhetskopian förloras kan den inte återställas till ett nytt värde och de skapade säkerhetskopiorna kan inte heller återställas.
Lösenfrasen för säkerhetskopiering kan ställas in på följande sätt.
Valfria alternativ
Alternativ |
Beskrivning |
|---|---|
|
Den nya lösenfrasen för säkerhetskopiering |
|
Den aktuella lösenfrasen för säkerhetskopian (eller en tom sträng om den inte är angiven) |
|
Be inte om bekräftelse innan du ändrar lösenfrasen |
Exempel
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Information om ändpunkten /config/backup-passphrase finns i API-dokumentationen.
Säkerhetskopieringen kan utföras på följande sätt.
Obligatorisk roll
Denna åtgärd kräver en autentisering med rollen Backup.
Argument
Argument |
Beskrivning |
|---|---|
|
Säkerhetskopieringsfil |
Exempel
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Information om ändpunkten /system/backup finns i API-dokumentationen.
Återställ¶
NetHSM kan återställas från en säkerhetskopia.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Om NetHSM är Provisioned kommer den att återställa användare och användarnycklar men inte systemkonfigurationen. I detta fall raderas alla tidigare befintliga användare och användarnycklar. NetHSM avslutas i ett Operational tillstånd.
Återställandet kan göras på följande sätt.
Otillvalsmöjligheter
Alternativ |
Beskrivning |
|---|---|
|
Passfras för säkerhetskopiering |
|
Systemtid som ska ställas in (Format: |
Viktigt
Kontrollera att tiden på den lokala datorn är korrekt inställd. Om du vill ställa in en annan tid, ange den manuellt.
Argument
Argument |
Beskrivning |
|
|---|---|---|
|
||
Exempel
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Information om ändpunkten /system/restore finns i API-dokumentationen.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Uppdatering av programvara¶
Programuppdateringar kan installeras i en tvåstegsprocess. Först måste uppdateringsbilden laddas upp till en Provisioned NetHSM. NetHSM verifierar bildens äkthet, integritet och versionsnummer. Eventuellt visar NetHSM eventuella versionsanteckningar.
Varning
Dataförlust kan uppstå på grund av installation av en beta-uppdatering! Stabila versioner bör inte orsaka dataförlust. Vi rekommenderar dock att du skapar en säkerhetskopia innan du uppdaterar.
Varning
Se till att du installerar rätt uppdateringsfil för din maskinvarumodell NetHSM 1 eller NetHSM 2. Du kan kontrollera din modell i systeminformation.
Uppdateringsfilen kan laddas upp på följande sätt.
Argument
Argument |
Beskrivning |
|---|---|
|
Uppdatera filen |
Exempel
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Information om ändpunkten /system/update finns i API-dokumentationen.
Därefter kan uppdateringen tillämpas eller avbrytas. Se önskat alternativ nedan. Om NetHSM stängs av före ”commit”-operationen måste uppdateringsfilen laddas upp igen.
Viktigt
Om uppladdningen av uppdateringsbilden misslyckas med Error: NetHSM request failed: Bad request -- malformed image, följ stegen nedan.
Kontrollera att du har en giltig uppdateringsfil genom att kontrollera med den medföljande signaturen.
Se till att du inte har en hög loggnivå, t.ex.
DEBUGaktiverad. Se kapitel Loggning om du vill veta mer om konfigurationen av loggnivåer.Starta om apparaten för att frigöra använt minne.
Uppdateringen kan tillämpas (committed) på följande sätt. Eventuell datamigrering utförs först efter att NetHSM framgångsrikt har startat den nya versionen av systemprogramvaran.
Exempel
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Information om ändpunkten /system/commit-update finns i API-dokumentationen.
Uppdateringen kan avbrytas på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Information om ändpunkten /system/cancel-update finns i API-dokumentationen.
Information om systemet¶
Systeminformation som firmware-version, programvaruversion och maskinvaruversion kan hämtas på följande sätt.
Exempel
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Information om slutpunkten /system/info finns i API documentation.
En NetHSM 1 identifierar sig som hårdvaruversion prodrive-hermes-1 och en NetHSM 2 som msi-z790-1.
Omstart och avstängning¶
NetHSM kan startas om och stängas av, antingen på distans eller med omstart- och avstängningsknappen på framsidan av NetHSM-hårdvaran.
Fjärrstart kan initieras på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Information om ändpunkten /system/reboot finns i API-dokumentationen.
Fjärravstängning kan initieras på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Information om ändpunkten /system/shutdown finns i API-dokumentationen.
Återställ till fabriksinställningarna¶
En Provisioned NetHSM kan återställas till fabriksinställningarna. I detta fall raderas alla användardata på ett säkert sätt och NetHSM startar i ett Unprovisioned tillstånd. Efteråt kanske du vill provisionera NetHSM.
Återställning till fabriksinställningarna kan utföras på följande sätt.
Exempel
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Information om ändpunkten /system/factory-reset finns i API-dokumentationen.
Användarhantering¶
Roller¶
NetHSM gör det möjligt att separera arbetsuppgifter genom att använda olika roller. Varje användarkonto som konfigurerats på NetHSM har tilldelats en av följande roller.
Roll |
Beskrivning |
|---|---|
Administratör |
Ett användarkonto med den här rollen har tillgång till alla operationer som tillhandahålls av NetHSM, med undantag för nyckelanvändning, dvs. signering och dekryptering av meddelanden. |
Operator |
Ett användarkonto med den här rollen har tillgång till alla nyckelanvändningsoperationer, en delmängd av nyckelhanteringsoperationer med skrivskydd och användarhanteringsoperationer som endast tillåter ändringar för det egna kontot. |
Metriker |
Ett användarkonto med den här rollen har endast tillgång till skrivskyddade metriker. |
Backup |
Ett användarkonto med den här rollen har endast tillgång till de åtgärder som krävs för att initiera en säkerhetskopiering av systemet. |
Se Namnområden och Taggar för mer finkorniga åtkomstbegränsningar.
Observera
I en framtida version kan ytterligare Roller komma att införas.
Lägg till användare¶
Lägg till ett användarkonto i NetHSM. Varje användarkonto har en Role, som måste anges. Mer information om Roles finns i kapitlet Roles .
Optionally, a user can be assigned to a Namespace.
Observera
Användar-ID:t måste vara alfanumeriskt. Om inget användar-ID anges tilldelar NetHSM ett slumpmässigt användar-ID.
Ett användarkonto kan läggas till på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Den nya användarens riktiga namn |
|
Den nya användarens namnområde |
|
Den nya användarens roll. |
|
Den nya användarens lösenfras |
Valfria alternativ
Alternativ |
Beskrivning |
|---|---|
|
Den nya användarens användar-ID |
Exempel
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Information om ändpunkten /users, för att skapa en användare utan att ange användar-ID, finns i API-dokumentationen.
Information om ändpunkten /users/{UserID}, för att skapa en användare genom att ange användar-ID, finns i API-dokumentationen.
Som standard ärvs Namespace från den användare som lägger till den nya användaren. Endast användare utan ett Namespace kan välja ett annat Namespace för nya användare. Namespace används som prefix för användarnamnet, t.ex. namespace~user. Därför kan samma användarnamn användas i flera Namespaces.
Ta bort användare¶
Ta bort ett användarkonto från NetHSM.
Varning
Radering är permanent och kan inte återställas.
Ett användarkonto kan raderas på följande sätt.
Argument
Argument |
Beskrivning |
|---|---|
|
Användarens användar-id. |
Exempel
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Information om slutpunkten /users/{UserID} finns i API-dokumentationen.
Lista över användare¶
Lista användarna på NetHSM.
Listan kan hämtas på följande sätt.
Valfria alternativ
Alternativ |
Beskrivning |
|---|---|
|
Fråga efter användarens riktiga namn och roll |
Exempel
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Information om ändpunkten /users finns i API-dokumentationen.
Information om slutpunkten /users/{UserID} finns i API-dokumentationen.
Användare inom ett Namespace kan bara se användare i samma Namespace.
Användarens lösenfras¶
Lösenfrasen för ett användarkonto kan återställas. Lösenfrasen anges för första gången när ett användarkonto läggs till.
Observera
Lösenfraser måste ha >= 10 och <= 200 tecken.
Användarens lösenfras kan ställas in på följande sätt.
Obligatoriska alternativ
Alternativ |
Beskrivning |
|---|---|
|
Användarens användar-ID |
|
Användarens nya lösenfras |
Exempel
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Information om ändpunkten /users/{UserID}/passphrase finns i API-dokumentationen.
Namnområden¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Namespaces introducerades i programvaruversion 2.0. Vid migrering från en tidigare version av programvaran kommer alla befintliga användare och nycklar att sakna en Namespace.
Användare med Administrator Role kallas också R-Administrator om de inte finns i ett namnområde, eller N-Administrator om de finns i ett namnområde.
Särskilda regler gäller för R-Administrator användare: De kan ange Namespace för nya användare, lista alla användare och fråga efter en användares Namespace. Dessutom kan NetHSM-konfigurationen endast nås av R-Administrator användare. R-Administratörer kan inte se nycklar i ett Namespace.
För att kunna generera nycklar och användare i ett Namespace måste Namespace skapas av en R-Administrator användare. När Namespace har skapats kan R-Administrator användare inte längre skapa, ta bort eller ändra användare i Namespace. Detta gör det möjligt att skydda Namespaces nycklar som R-Administrator har åtkomst till (även indirekt genom att lägga till en ny användare för dennes räkning eller återställa en befintlig användares eller administratörs autentiseringsuppgifter). Därför är det nödvändigt att skapa en N-Administrator användare för namnområdet innan namnområdet skapas. R-Administrator användare kan också ta bort ett Namespace med alla ingående nycklar.
Lista namnområden¶
Lista namnområdena på NetHSM.
Listan kan hämtas på följande sätt.
Exempel
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Information om slutpunkten /namespaces finns i API documentation.
Lägg till namnrymd¶
Lägg till ett namnområde i NetHSM.
R-Administrator användare kan skapa nya konton i Namespace redan innan det har skapats. Efter skapandet är det endast N-Administrator användare som kan hantera användarna i Namespace. Skapande och användning av nycklar i Namespace är endast möjligt efter att det har lagts till.
Observera
Namespace ID måste vara alfanumeriskt. NetHSM tilldelar ett slumpmässigt användar-ID om inget anges.
En Namespace kan läggas till på följande sätt.
Argument
Argument |
Beskrivning |
|
|---|---|---|
|
||
Exempel
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Information om slutpunkten /namespaces/{NamespaceID} finns i API documentation.
Ta bort namnrymden¶
Ta bort ett namnområde från NetHSM.
Om du tar bort ett namnområde raderas även alla nycklar i det namnområdet. Kvarvarande användare i namnrymden kan inte lägga till nycklar förrän namnrymden har lagts till igen.
En Namespace kan tas bort på följande sätt.
Argument
Argument |
Beskrivning |
|---|---|
|
Namnrymden som ska raderas. |
Exempel
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Information om slutpunkten /namespaces/{NamespaceID} finns i API documentation.