Comment résoudre l'erreur « RET_MXN_AUTH_FAILED » avec la commande cloudhsm_mgmt_util pour CloudHSM ?

Date de la dernière mise à jour : 06/09/2019

L'outil de ligne de commande cloudhsm_mgmt_util pour le cluster AWS CloudHSM renvoie une erreur similaire à ce qui suit :

RET_MXN_AUTH_FAILED

Comment résoudre cette erreur ?

Brève description

Cette erreur signifie qu'aucune authentification M sur N n'est fournie. M sur N est une authentification par quorum, ce qui signifie qu'au moins 2 utilisateurs doivent signer un jeton pour exécuter une commande. Cela permet de garantir qu'un utilisateur ne peut pas effectuer à lui seul une opération non voulue sur le cluster CloudHSM. Pour plus d'informations, consultez la rubrique Application de l'authentification par quorum (contrôle d'accès M sur N).

La commande listUsers indique que la valeur MofnPubKey est définie sur NO.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Cela indique qu'aucun utilisateur ne dispose d'une clé publique pouvant signer des jetons de quorum. Les responsables de chiffrement doivent enregistrer la clé publique à l'aide de la commande registerMofnPubKey pour le cluster CloudHSM. Pour plus d'informations, consultez la rubrique Création et enregistrement d'une clé pour la signature.

Résolution

Exécutez la commande getMValue sur le cluster CloudHSM. Utilisez le paramètre 3 pour indiquer la valeur des commandes sous le service 3. Cette opération utilise les commandes createuser, deleteUser et changePswd.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Dans cet exemple, la valeur des serveurs HSM pour le cluster est 2. Cette valeur ne peut pas être inférieure à 2, mais elle peut être augmentée. Si cette valeur est activée par accident, vous pouvez la restaurer à partir d'une sauvegarde de cluster CloudHSM antérieure. Pour résoudre ce problème, vous devez créer et enregistrer une clé asymétrique avec le nombre d'utilisateurs spécifié dans getMValue. Vous devez ensuite récupérer et signer un jeton de quorum en fonction du nombre d'utilisateurs spécifié dans la commande getMValue. Pour obtenir des instructions, consultez la rubrique Utilisation de l'authentification par quorum pour les responsables de chiffrement : première configuration.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?