Criação
Opção do menu principal: Create
Cria novos usuários no HSM. Os usuários podem ser de dois tipos, de acordo com as permissões que recebem: User e Operator. O tipo Operator tem todas as permissões de sistema. O tipo User tem apenas as permissões de sistema que foram dadas.
A criação de um novo usuário implica na criação da correspondente partição (referenciado pelo próprio nome do usuário).
Os atributos solicitados para a criação de um novo usuário são:
-
Tipo: User (usuário regular) ou Operator (administrador do HSM).
-
Nome (User ID): identifica única e globalmente o usuário no HSM, é também o nome que identifica a partição deste usuário perante outros usuários; pode ter até 16 caracteres e podem ser usados exclusivamente caracteres alfanuméricos (conjunto
a-zA-Z0-9
). Os caracteres sublinhado (_
) e traço (-
) não podem ser utilizados. Esta identificação dos usuários é sensível à caixa (case-sensitive
), ou seja, há diferenciação entre caracteres maiúsculos e minúsculos. -
Senha: senha para autenticação no HSM; deve ter no mínimo 08 caracteres.
-
Autorização por esquema M de N: configura a partição para exigir autorização usando cartões em esquema M de N. A associação da partição com um conjunto específico de cartões e a autorização para uso das chaves da partição são feitas através da console local do HSM, usando a leitora de cartões do HSM. A utilização e o gerenciamento das chaves (criação, exportação, bloqueio, destruição) será conforme o estado da partição e as permissões habilitadas na console de gerência local do HSM.
-
Permissões: define as permissões de sistema do usuário.
As permissões do usuário sobre a própria partição são implícitas e não revogáveis, portanto não precisam ser definidas. Na criação da partição nenhuma permissão sobre sua partição é dada para outro usuário ou administrador do HSM. Estas devem ser dadas explicitamente e pelo próprio usuário.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Users - Create
Type:
1 - User
2 - Operator (all permissions enabled)
Option : 1
User ID: keyadm
Password: ********
Confirm password: ********
Require Authorization on Local Console with M of N Scheme (y/[n]):
Authorization on Local Console with M of N Scheme disabled.
Require Two Factor Authentication (y/[n]):
Require User to Change Password at Next LogOn (y/[n]):
System permissions:
Create/Remove Users (y/[n]):
List Users (y/[n]):
Monitor Remote Log (y/[n]):
Backup/Restore (y/[n]):
Firmware Update (y/[n]):
User 'keyadm' successfully created.
Press ENTER key to continue...
Na criação de um usuário tipo Operator, todas as permissões são atribuídas.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Users - Create
Type:
1 - User
2 - Operator (all permissions enabled)
Option : 2
User ID: keyop
Password: ********
Confirm password: ********
Require Authorization on Local Console with M of N Scheme (y/[n]):
Authorization on Local Console with M of N Scheme disabled.
Require Two Factor Authentication (y/[n]):
Require User to Change Password at Next LogOn (y/[n]):
User 'keyop' successfully created.
Press ENTER key to continue...
Partição com autorização por esquema M de N
Os passos para a criação de um usuário com partição
-
Criar um usuário/partição habilitando a flag de autorização de partição via M de N;
-
Abrir uma sessão com o usuário e criar as chaves na partição. As chaves podem ser criadas mas não poderão ser utilizadas ainda, antes da autorização;
-
Criar um conjunto de cartões M de N para autorização de partição. É preciso definir o tamanho do conjunto (N) e o número de cartões exigidos do conjunto para a autorização (M), como por exemplo 2 de 2, 2 de 4, 3 de 5, 4 de 12, etc. Este passo é realizado na console local.
-
Associar o conjunto ao usuário/partição criado. Este passo é realizado na console local.
-
Autorizar o uso das chaves para operações de criptografia da partição do usuário utilizando o conjunto de cartões M de N. Este passo é realizado na console local.
-
Abrir uma sessão com o usuário e testar a utilização das chaves existentes (por exemplo com a opção de testes da console remota). As chaves existentes podem ser utilizadas, e novas chaves não podem ser criadas enquanto a partição estiver no estado autorizado. (console remotaI).