Come posso risolvere l'errore “RET_MXN_AUTH_FAILED” che ricevo quando utilizzo il comando cloudhsm_mgmt_util per CloudHSM?

2 minuti di lettura
0

Lo strumento della linea di comando cloudhsm_mgmt_util del cluster AWS CloudHSM ha restituito l'errore “RET_MXN_AUTH_FAILED”.

Breve descrizione

L'errore RET\ _MXN\ _AUTH\ _FAILED si verifica quando non si fornisce l'autenticazione del quorum, nota anche come controllo di accesso M di N. Almeno due utenti devono firmare un token per eseguire un comando con autenticazione quorum. In questo modo, si garantisce che un singolo utente non possa causare attività errate sul cluster CloudHSM.

In questo esempio, l'output del comando listUsers mostra che il valore MofnPubKey è impostato su NO:

aws-cloudhsm>aws-cloudhsm>listUsers  
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Quando il valore MofnPubKey è impostato su NO, gli utenti non dispongono di una chiave pubblica in grado di firmare i token del quorum. Gli utenti crypto officer (CO) devono registrare la chiave pubblica utilizzando il comando registerMofnPubKey per il cluster CloudHSM.

Risoluzione

Esegui il comando getMValue sul cluster CloudHSM. Utilizza il parametro 3 per indicare il valore per i comandi del servizio 3. Questa operazione utilizza createuser, deleteUser e changePswd:

aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Nell’esempio precedente, il valore per i server HSM del cluster è 2. Questo valore non può essere ridotto a meno di 2, ma può essere aumentato. Se si attiva involontariamente questo valore, è possibile ripristinarlo da un backup del cluster CloudHSM.

Per risolvere questo problema, crea e registra una chiave asimmetrica con il numero di utenti specificato in getMValue. Quindi, ottieni il token del quorum e chiedi agli utenti specificati in getMValue di firmare il token. Per istruzioni, consulta Using quorum authentication for crypto officers: first-time setup.

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa