Le mot de passe PRECO pour CloudHSM échoue avec l'erreur « Deletion or Changing password of a logged in User is denied. » (La suppression ou la modification du mot de passe d'un utilisateur connecté a été rejetée). Comment modifier mon mot de passe PRECO ?
Dernière mise à jour : 14/01/2021
Après la connexion initiale à AWS CloudHSM pour modifier le mot de passe du responsable du pré-chiffrement (PRECO), je reçois une erreur similaire à la suivante :
aws-cloudhsm>changePswd PRECO admin test1234 *************************MISE EN GARDE************************* C'est une opération CRITIQUE, qui doit être effectuée sur tous les nœuds du cluster. Le serveur Cav ne synchronise PAS ces changements avec les nœuds sur lesquels cette opération n'est pas exécutée ou a échoué, veuillez vous assurer que cette opération est exécutée sur tous les nœuds du cluster. **************************************************************** Voulez-vous continuer (o/n) ? o Modification du mot de passe pour admin (PRECO) sur 2 nœuds ChangePSWD a échoué : Erreur HSM : la suppression ou la modification du mot de passe d'un utilisateur connecté est refusée Échec de la modification du mot de passe sur le nœud 0 (172.31.3.131)
Brève description
Cette erreur peut se produire avec :
- les nouveaux clusters CloudHSM, car vous ne pouvez pas créer d'utilisateurs supplémentaires ou réinitialiser votre mot de passe ;
- des données HSM mal configurées après utilisation de l'outil Configure (cloudhsm_mgmt_util.cfg).
Remarque : si l'instance a été précédemment configurée avec un cluster CloudHSM, un fichier cloudhsm_mgmt_util.cfg file peut être déjà installé.
L'exécution de la commande /opt/cloudhsm/bin/configure -a IP_address ajoute l'adresse IP dans le répertoire de fichiers au lieu de supprimer les entrées plus anciennes. Cela signifie que le fichier de configuration a une adresse IP dupliquée et que la commande cloudhsm_mgmt_util crée deux sessions sur le même CloudHSM.
Dans cet exemple, notez l'entrée dupliquée d'un fichier cloudhsm_mgmt_util.cfg mal configuré.
{
"scard": {
"certificate": "cert-sc",
"enable": "no",
"pkey": "pkey-sc",
"port": 2225
},
"servers": [
{
"CAfile": "",
"CApath": "/opt/cloudhsm/etc/certs",
"certificate": "/opt/cloudhsm/etc/client.crt",
"e2e_encryption": {
"enable": "yes",
"owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
},
"enable": "yes",
"hostname": "172.31.3.131",
"name": "172.31.3.131",
"pkey": "/opt/cloudhsm/etc/client.key",
"port": 2225,
"server_ssl": "yes",
"ssl_ciphers": ""
},
{
"CAfile": "",
"CApath": "/opt/cloudhsm/etc/certs",
"certificate": "/opt/cloudhsm/etc/client.crt",
"e2e_encryption": {
"enable": "yes",
"owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
},
"enable": "yes",
"hostname": "172.31.3.131",
"name": "172.31.3.131",
"pkey": "/opt/cloudhsm/etc/client.key",
"port": 2225,
"server_ssl": "yes",
"ssl_ciphers": ""
}
]
}
Remarque : les nouvelles instances n'auront pas de problèmes avec le fichier cloudhsm_mgmt_util.cfg.
Résolution
Pour résoudre l'erreur, supprimez l'entrée en trop dans le fichier cloudhsm_mgmt_util.cfg. Ensuite, reconnectez-vous au cluster CloudHSM et modifiez le mot de passe PRECO.
Informations connexes
Cet article vous a-t-il été utile ?
Besoin d'aide pour une question technique ou de facturation ?