Creación

Opción del menú principal: 17 - Crear

Crea nuevos usuarios en HSM. Los usuarios pueden ser de dos tipos, según los permisos que reciban: Usuario y Operador. El tipo Operador tiene todos los permisos del sistema. El tipo Usuario sólo tiene los permisos del sistema que se le han concedido.

La creación de un nuevo usuario implica la creación de la partición correspondiente (referenciada por el propio nombre del usuario).

Los atributos necesarios para crear un nuevo usuario son:

  1. Tipo: Usuario (usuario normal) u Operador (administrador de HSM).

  2. Nombre (User ID): identifica de forma única y global al usuario en el HSM, también es el nombre que identifica la partición de este usuario ante otros usuarios; puede tener hasta 16 caracteres y sólo se pueden utilizar caracteres alfanuméricos (set a-zA-Z0-9). Los caracteres subrayados (_) y guión (-) no pueden utilizarse. Esta identificación de usuarios distingue entre mayúsculas y minúsculas (distingue entre mayúsculas y minúsculas), es decir, existe una diferenciación entre mayúsculas y minúsculas.

  3. Contraseña: contraseña para la autenticación del HSM; debe tener al menos 08 caracteres.

  4. Autorización por esquema M de N: configura la partición para que requiera autorización mediante tarjetas del esquema M de N. La asociación de la partición a un determinado conjunto de tarjetas y la autorización de uso de las claves de la partición se realiza a través de la consola local del HSM, mediante el lector de tarjetas del HSM. El uso y la gestión de las claves (creación, exportación, bloqueo, destrucción) dependerán del estado de la partición y de los permisos habilitados en la consola de gestión local del HSM.

  5. Permisos: define los permisos de sistema del usuario.

Los permisos de usuario sobre la propia partición son implícitos y no revocables, por lo que no es necesario establecerlos. Cuando se crea la partición, no se conceden permisos sobre la partición a otro usuario o administrador del HSM. Estos deben ser otorgados explícitamente y por el propio usuario.

Dinamo - Consola de gestión remota v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Motor 5.0.22.0 (DXP) - TCA0000000 - ID maestro

Usuarios - Crear

Tipo
 1 - Usuario
 2 - Operador (todos los permisos habilitados)
Opción : 1

ID de usuario: keyadm
Contraseña: ********
Confirmar contraseña: ********

Requerir autorización en consola local con esquema M de N (y/[n]):

Autorización en Consola Local con M de N Esquema desactivado.

Requerir autenticación de dos factores (y/[n]):

Requerir al usuario que cambie la contraseña en el siguiente inicio de sesión (y/[n]):

Permisos del sistema:
Crear/eliminar usuarios (y/[n]):
Listar usuarios (y/[n]):
Supervisar registro remoto (y/[n]):
Copia de seguridad/Restauración (y/[n]):
Actualizar firmware (y/[n]):


Usuario 'keyadm' creado con éxito.

Pulse la tecla ENTER para continuar...

Al crear un usuario Operador, se le asignan todos los permisos.

Dinamo - Consola de gestión remota v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Motor 5.0.22.0 (DXP) - TCA0000000 - ID maestro

Usuarios - Crear

Tipo
 1 - Usuario
 2 - Operador (todos los permisos habilitados)
Opción : 2

ID de usuario: keyop
Contraseña: ********
Confirmar contraseña: ********

Requerir autorización en consola local con esquema M de N (y/[n]):

Autorización en Consola Local con M de N Esquema desactivado.

Requerir autenticación de dos factores (y/[n]):

Requerir al usuario que cambie la contraseña en el siguiente inicio de sesión (y/[n]):


Usuario 'keyop' creado correctamente.

Pulse la tecla ENTER para continuar...

Partición con autorización de esquema M de N

Pasos para crear un usuario particionado

  1. Crear un usuario/partición habilitando la bandera de autorización de partición a través de M de N;

  2. Abrir una sesión con el usuario y crear las claves en la partición. Las claves pueden crearse pero aún no utilizarse antes de la autorización;

  3. Cree un conjunto de M de N tarjetas para la autorización de particiones. Es necesario definir el tamaño del conjunto (N) y el número de tarjetas necesarias del conjunto para la autorización (M), como 2 de 2, 2 de 4, 3 de 5, 4 de 12, etc. Esta etapa se realiza en la consola local.

  4. Asociar el conjunto al usuario/partición creado. Este paso se realiza en la consola local.

  5. Autorizar el uso de las claves para las operaciones de cifrado en la partición del usuario utilizando el conjunto de tarjetas M de N. Este paso se realiza en la consola local.

  6. Abra una sesión con el usuario y pruebe la utilización de las claves existentes (por ejemplo, con la opción de prueba de la consola remota). Se pueden utilizar las claves existentes y no se pueden crear nuevas claves mientras la partición esté en estado autorizado (consola remotaI).