CloudHSM에 대한 PRECO 암호가 실패하고 "로그인된 사용자의 암호 삭제 또는 변경이 거부됩니다(Deletion or Changing password of a logged in User is denied)" 오류가 발생합니다. PRECO 암호를 변경하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 1월 14일

PRECO(Precrypto Officer) 암호를 변경하기 위해 처음 AWS CloudHSM에 로그인한 후 다음과 유사한 오류가 발생합니다.

aws-cloudhsm>changePswd PRECO admin test1234
*************************주의********************************
중요한 작업이며, 클러스터의 모든 노드에서 수행해야
합니다. Cav 서버가 이러한 변경 사항을 이 작업이 실행되지
않거나 실패한 노드와 동기화하지 않습니다. 이 작업이
클러스터의 모든 노드에서 실행되는지 확인하세요.
************************************************************************

계속하시겠습니까(y/n)? y
2개의 노드에서 관리자(PRECO) 암호 변경
changePswd 실패: HSM 오류: 로그인한 사용자의 암호 삭제 또는 변경이 거부되었습니다.
노드 0(172.31.3.131)에서 암호를 변경하지 못했습니다.

간략한 설명

이 문제는 다음 경우에 발생합니다.

  • 새로운 CloudHSM 클러스터인 경우(추가 사용자를 생성하거나 암호를 재설정할 수 없기 때문입니다).
  • 구성 도구(cloudhsm_mgmt_util.cfg)를 사용한 후 HSM 데이터가 잘못 구성된 경우.

참고: 이전에 CloudHSM 클러스터를 사용하여 인스턴스를 설정한 경우 이미 cloudhsm_mgmt_util.cfg 파일이 설치되어 있을 수 있습니다.

/opt/cloudhsm/bin/configure -a IP_address 명령을 실행하면 이전 항목을 제거하는 대신 파일 디렉터리에 IP 주소가 추가됩니다. 즉, config 파일에 중복 IP 주소가 있게 되고 cloudhsm_mgmt_util 명령은 동일한 CloudHSM에 대해 두 개의 세션을 생성합니다.

이 예에서 잘못 구성된 cloudhsm_mgmt_util.cfg 파일에 중복된 항목이 있는 것을 볼 수 있습니다.

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

참고: 새 인스턴스에는 cloudhsm_mgmt_util.cfg 파일과 관련한 문제가 발생하지 않습니다.

해결 방법

이 문제를 해결하려면 cloudhsm_mgmt_util.cfg 파일에서 추가 항목을 삭제합니다. 그런 다음 CloudHSM 클러스터에 다시 연결하고 PRECO 암호를 변경합니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?