Le mot de passe PRECO pour CloudHSM échoue avec l'erreur « Deletion or Changing password of a logged in User is denied. » (La suppression ou la modification du mot de passe d'un utilisateur connecté a été rejetée). Comment modifier mon mot de passe PRECO ?

Dernière mise à jour : 14/01/2021

Après la connexion initiale à AWS CloudHSM pour modifier le mot de passe du responsable du pré-chiffrement (PRECO), je reçois une erreur similaire à la suivante :

aws-cloudhsm>changePswd PRECO admin test1234
*************************MISE EN GARDE*************************
C'est une opération CRITIQUE, qui doit être effectuée sur tous les nœuds du
cluster. Le serveur Cav ne synchronise PAS ces changements avec les
nœuds sur lesquels cette opération n'est pas exécutée ou a échoué, veuillez
vous assurer que cette opération est exécutée sur tous les nœuds du cluster.
****************************************************************

Voulez-vous continuer (o/n) ? o
Modification du mot de passe pour admin (PRECO) sur 2 nœuds
ChangePSWD a échoué : Erreur HSM : la suppression ou la modification du mot de passe d'un utilisateur connecté est refusée
Échec de la modification du mot de passe sur le nœud 0 (172.31.3.131)

Brève description

Cette erreur peut se produire avec :

  • les nouveaux clusters CloudHSM, car vous ne pouvez pas créer d'utilisateurs supplémentaires ou réinitialiser votre mot de passe ;
  • des données HSM mal configurées après utilisation de l'outil Configure (cloudhsm_mgmt_util.cfg).

Remarque : si l'instance a été précédemment configurée avec un cluster CloudHSM, un fichier cloudhsm_mgmt_util.cfg file peut être déjà installé.

L'exécution de la commande /opt/cloudhsm/bin/configure -a IP_address ajoute l'adresse IP dans le répertoire de fichiers au lieu de supprimer les entrées plus anciennes. Cela signifie que le fichier de configuration a une adresse IP dupliquée et que la commande cloudhsm_mgmt_util crée deux sessions sur le même CloudHSM.

Dans cet exemple, notez l'entrée dupliquée d'un fichier cloudhsm_mgmt_util.cfg mal configuré. 

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

Remarque : les nouvelles instances n'auront pas de problèmes avec le fichier cloudhsm_mgmt_util.cfg.

Résolution

Pour résoudre l'erreur, supprimez l'entrée en trop dans le fichier cloudhsm_mgmt_util.cfg. Ensuite, reconnectez-vous au cluster CloudHSM et modifiez le mot de passe PRECO.

Responsable du pré-chiffrement (PRECO)

Cet article vous a-t-il été utile ?

Envoyer un commentaire

Besoin d'aide pour une question technique ou de facturation ?

Contactez AWS Support