Creación

Opción del menú principal: Cree

Crea nuevos usuarios en HSM. Los usuarios pueden ser de dos tipos, según los permisos que reciban: Usuario y Operador. El tipo Operador tiene todos los permisos del sistema. El tipo Usuario sólo tiene los permisos del sistema que se le han concedido.

La creación de un nuevo usuario implica la creación de la partición correspondiente (referenciada por el propio nombre del usuario).

Los atributos necesarios para crear un nuevo usuario son:

  1. Tipo: Usuario (usuario normal) u Operador (administrador de HSM).

  2. Nombre (ID de usuario): identifica de forma única y global al usuario en el HSMTambién es el nombre que identifica la partición de este usuario ante otros usuarios; puede tener hasta 16 caracteres y sólo se pueden utilizar caracteres alfanuméricos (set a-zA-Z0-9). Los caracteres subrayados (_) y guión (-) no pueden utilizarse. Esta identificación de usuarios distingue entre mayúsculas y minúsculas (distingue entre mayúsculas y minúsculas), es decir, existe una diferenciación entre mayúsculas y minúsculas.

  3. Contraseña: contraseña para la autenticación del HSM; debe tener al menos 08 caracteres.

  4. Autorización por esquema M de N: configura la partición para que requiera autorización mediante tarjetas del esquema M de N. La asociación de la partición a un determinado conjunto de tarjetas y la autorización de uso de las claves de la partición se realiza a través de la consola local del HSM, mediante el lector de tarjetas del HSM. El uso y la gestión de las claves (creación, exportación, bloqueo, destrucción) dependerán del estado de la partición y de los permisos habilitados en la consola de gestión local del HSM.

  5. Permisos: define los permisos de sistema del usuario.

Los permisos de usuario sobre la propia partición son implícitos y no revocables, por lo que no es necesario establecerlos. Cuando se crea la partición, no se conceden permisos sobre la partición a otro usuario o administrador del HSM. Estos deben ser otorgados explícitamente y por el propio usuario.

Creación de usuarios
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Users - Create

Type:
 1 - User
 2 - Operator (all permissions enabled)
Option : 1

User ID: keyadm
Password: ********
Confirm password: ********

Require Authorization on Local Console with M of N Scheme (y/[n]):

Authorization on Local Console with M of N Scheme disabled.

Require Two Factor Authentication (y/[n]):

Require User to Change Password at Next LogOn (y/[n]):

System permissions:
Create/Remove Users (y/[n]):
List Users (y/[n]):
Monitor Remote Log (y/[n]):
Backup/Restore (y/[n]):
Firmware Update (y/[n]):


User 'keyadm' successfully created.

Press ENTER key to continue...

Al crear un usuario Operador, se le asignan todos los permisos.

Creación de un usuario operador
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Users - Create

Type:
 1 - User
 2 - Operator (all permissions enabled)
Option : 2

User ID: keyop
Password: ********
Confirm password: ********

Require Authorization on Local Console with M of N Scheme (y/[n]):

Authorization on Local Console with M of N Scheme disabled.

Require Two Factor Authentication (y/[n]):

Require User to Change Password at Next LogOn (y/[n]):


User 'keyop' successfully created.

Press ENTER key to continue...

Partición con autorización de esquema M de N

Pasos para crear un usuario particionado

  1. Crear un usuario/partición habilitando la bandera de autorización de partición a través de M de N;

  2. Abrir una sesión con el usuario y crear las claves en la partición. Las claves pueden crearse pero aún no utilizarse antes de la autorización;

  3. Cree un conjunto de M de N tarjetas para la autorización de particiones. Es necesario definir el tamaño del conjunto (N) y el número de tarjetas necesarias del conjunto para la autorización (M), como 2 de 2, 2 de 4, 3 de 5, 4 de 12, etc. Esta etapa se realiza en la consola local.

  4. Asociar el conjunto al usuario/partición creado. Este paso se realiza en la consola local.

  5. Autorizar el uso de las claves para las operaciones de cifrado en la partición del usuario utilizando el conjunto de tarjetas M de N. Este paso se realiza en la consola local.

  6. Abra una sesión con el usuario y pruebe la utilización de las claves existentes (por ejemplo, con la opción de prueba de la consola remota). Se pueden utilizar las claves existentes y no se pueden crear nuevas claves mientras la partición esté en estado autorizado (consola remotaI).