Usuários
Todo serviço remoto no HSM é provido em nome de um usuário válido e autenticado pelo HSM.
O HSM Dinamo tem dois tipos de usuário:
- User
- Operator
A diferença entre os dois está nas permissões de sistema que cada um recebe. O tipo Operator tem todas as permissões de sistema, podendo gerenciar parâmetros de operação e base de usuários do HSM. O tipo User tem apenas as permissões de sistema que lhe foram atribuídas. Um tipo User com todas as permissões terá os mesmos poderes do tipo Operator, mas caso alguma atualização de firmware traga uma permissão nova, ela será habilitada somente no tipo Operator.
Com relação às partições de usuários, o tipo Operator não tem qualquer permissão default nestas partições para ler ou utilizar objetos. O tipo Operator ou o tipo User com permissão de backup podem gerar e restaurar arquivo de backup do HSM, mas não poderão ter acesso aos objetos nas partições alheias.
Permissão de Sistema | Descrição |
---|---|
Criar e remover usuários | Gerenciar a base de usuários do HSM |
Listar usuários | Listar os usuários da base do HSM. |
Acessos aos logs | Permite exportar, acompanhar em tempo e apagar os registros de log no HSM. Permite também acompanhar estatísticas de operação e parâmetros de funcionamento do HSM. |
Criar e restaurar backups | Permite criar arquivo de backup e também fazer a restauração de um arquivo de backup no HSM. |
Atualizar firmware do HSM | Permite submeter pacotes de atualização para processamento pelo HSM. |
Os usuários podem ser bloqueados, ou seja, podem ser impedidos de autenticar e ter acesso aos serviços do HSM, conforme discrição de um administrador do HSM. O status de bloqueio de um usuário pode ser alterado a qualquer momento via console remoto.
Há um usuário especial no HSM, chamado master, que é o administrador (tipo Operator) do HSM default e pré-configurado de fábrica. O usuário master não pode ser removido do HSM, e caso seja bloqueado, poderá ser desbloqueado também pelo console local de administração do HSM.
A conta de um usuário do HSM será bloqueada se for excedido o limite de tentativas erradas de login. O limite é de 7 (sete) tentativas erradas de login.