Console CLI
A operação remota se refere às funções de administração como gerência de usuários, extração de log, monitoramento de eventos em tempo real e outras.
O administrador do HSM, ou Oficial de Segurança, deve ter um perfil de operador no HSM.
O console de gerenciamento remoto do Dinamo é o aplicativo CLI (Command Line Interface) utilizado para realizar as funções administrativas do HSM, como gestão de usuários, recuperação de logs, backup e restore, testes básicos de funcionamento do HSM, estatísticas de operação e atualização de firmware entre outras.
O console é instalado juntamente com o software cliente do HSM. Consulte o tópico Software cliente para maiores detalhes sobre usos e procedimentos.
Algumas características do programa console de gerenciamento remoto:
- Interface tipo linha de comando;
- Cada sessão pode gerenciar um HSM por vez;
- A conexão não é afetada pela configuração de balanceamento de carga (o console sempre se conecta diretamente ao HSM indicado na linha de comando);
- Toda sessão deve ser autenticada, não há funcionalidade exposta para sessões anônimas;
- Os menus exibem somente as opções que o usuário logado/autenticado tem permissão de executar;
- As operações que falham indicam o código de erro e um texto explicativo sobre a causa do problema;
O programa console de gerenciamento remoto faz parte do pacote Dinamo. Para executar o programa abra uma janela de linha de comando e rode o comando hsmcon a partir do prompt. O programa funciona de modo síncrono, mostra sempre um menu de opções, e após a requisição correspondente ter sido enviada ao Dinamo, a resposta é aguardada e mostrada ao usuário. Não há um limite configurado de sessões simultâneas de cliente que podem ser abertas no Dinamo. O HSM aceitará novas sessões enquanto houver recursos físicos disponíveis.
Atenção
O HSM desconectará o cliente após 20 (vinte) minutos de inatividade. Qualquer tentativa de operação realizada após expirado o prazo de inatividade resultará em erro.
Procure usar sempre a versão da biblioteca recomendada pelo programa. Para verificar a versão da biblioteca execute o programa sem argumentos, será mostrada a versão atual da biblioteca, e se for caso, a versão mínima recomendada. Em caso de dúvida contate seu fornecedor sobre como conseguir a versão recomendada.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
Library tacndlib version 4.7.12.3. # (1)!
.
.
.
- Versão da console.
Rodando o programa sem argumentos é mostrada uma tela de ajuda:
Dinamo - Remote Management Console v. 4.13.0.156 2018 (c) Dinamo Networks
Library tacndlib version 4.13.0.156.
Usage: hsmcon [<hsm_ip_address> <id_user> | --cm <hsm_ip_address/target>] [-e/-c] [-p <port>] [-o]
<hsm_ip_address> ip address of the HSM
<id_user> name of the user to open a session to the HSM
-e open session encrypted (use TLS) - default option
-c open session in clear text (do not use TLS)
-p <port> service port of the HSM to open a session - default 4433
-o authentication with an OTP value (2nd factor)
-3 enable option to use exponent 3 for RSA keys
-l enable legacy options
-sip search for the nearby HSMs to connect
-g <cert path> get the HSM's TLS cert and write it to <cert_path>
in PEM format
-pri <key path> private key used in mutual authentication, MUST be in
PEM format. -pri_cert and -hsm_cert MUST be provided
-pri_cer <cert path> private key's certificate used in mutual
authentication, in PEM/DER format. -pri and -hsm_cert
MUST be provided
-hsm_cer <hsm path> HSM's certificate used in mutual authentication, in
PEM/DER format. -pri and -pri_cert MUST be provided
--cm <ip/target> connect to the HSM using the Windows Credential Manager
target name. Target name must be the address of the HSM
-h display this help and exit
Example:
hsmcon 10.10.1.1 master -c
hsmcon 10.10.1.1 master -e -p 4433
hsmcon --cm 10.10.1.1
hsmcon 10.10.1.1 master -o
Para conectar o console de gerenciamento remoto ao Dinamo informe o endereço IP do Dinamo e o id do usuário. A senha é pedida em seguida. Opcionalmente podem ser informados também o tipo de sessão (aberta ou cifrada) e a porta. Se estes argumentos não forem informados a sessão será cifrada e a porta será a 4433 (TCP).
C:\>hsmcon 127.0.0.1 master
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
Library tacndlib version 4.7.12.3.
HSM Dinamo IP : 127.0.0.1 # (1)!
HSM User ID : master # (2)!
HSM User Password : ************ # (3)!
- Endereço IP do HSM
- Nome do partição ou usuário
- Credential de senha
Info
Certifique-se que o serviço do Dinamo esteja iniciado para conectar o console de gerenciamento remoto, e que os parâmetros de rede estejam corretamente configurados.
Informando os argumentos corretamente, a conexão com o serviço do HSM é estabelecida e é mostrado um menu com as opções disponíveis. Nas telas de exemplo a seguir serão sempre mostrados os menus completos, para um usuário com todas as permissões. Caso a sessão seja aberta por um usuário que não tem todas as permissões, alguns menus trarão menos opções.
Menu Principal
Dinamo - Remote Management Console v. 4.7.16.15 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Main Menu
Keys/Objects Users HSM
1 - Create... 17 - Create 33 - Info
2 - Remove 18 - Remove 34 - Logs...
3 - Attributes 19 - List 35 - Backup...
4 - Import... 20 - Attributes 36 - Monitoring...
5 - Export... 21 - Trust Relations 37 - Firmware Update
6 - List 22 - Password Policy 38 - Replication...
7 - Permissions... 23 - My Password 39 - SPB...
8 - Key Backup... 40 - EFT...
41 - IP Filter...
42 - Tests...
43 - Dinamo Services...
44 - Tools...
0 - Exit
Option: #(1)!
- Indique uma das opções do menu
Na primeira linha é mostrada uma barra de título, informando a versão do programa, abaixo são mostradas informações do HSM sendo gerenciado: o endereço IP, o canal de comunicação (e para canal protegido por tls e c para canal aberto) , o modelo e versão do software do HSM, o número de série do HSM e o usuário que está mantendo a sessão e abaixo são mostrados o menu principal e submenus.
As tarefas de administração do HSM estão divididas em três grupos: Chaves e objetos, usuários e operação do HSM. Opções marcadas com ... indicam que um submenu com novas opções será mostrado para completar a tarefa.
Para sair do programa console escolha opção 0 (zero) no menu principal.
Gerenciador de Credenciais
Na versão para Windows é possível criar uma entrada no Gerenciador de Credenciais (Credential Manager) do Windows e indicar apenas o nome desta entrada para usar a console. A recuperação do nome do usuário e da senha cadastrada é feita implicitamente para a autenticação no HSM.
Para criar a entrada1 indique:
- em Endereço de rede ou na Internet o endereço IP do HSM (nome DNS ou número IP);
- em Nome de usuário o nome do usuário do HSM;
- em Senha a senha do usuário do HSM.
Para usar a entrada indique o endereço IP do HSM na linha de comando com a chave --cm. As credencias configuradas serão usadas na autenticação com o HSM.
C:\>hsmcon --cm 127.0.0.1 #(1)!
- Indique o endereço IP do HSM configurado no Gerenciador de Credenciais.
-
É possível executar o Gerenciador de Credenciais a partir do prompt com
control.exe keymgr.dllou pesquisando na caixa de busca do Windows. ↩