Lo strumento della linea di comando cloudhsm_mgmt_util del cluster AWS CloudHSM ha restituito l'errore “RET_MXN_AUTH_FAILED”.
Breve descrizione
L'errore RET\ _MXN\ _AUTH\ _FAILED si verifica quando non si fornisce l'autenticazione del quorum, nota anche come controllo di accesso M di N. Almeno due utenti devono firmare un token per eseguire un comando con autenticazione quorum. In questo modo, si garantisce che un singolo utente non possa causare attività errate sul cluster CloudHSM.
In questo esempio, l'output del comando listUsers mostra che il valore MofnPubKey è impostato su NO:
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
Quando il valore MofnPubKey è impostato su NO, gli utenti non dispongono di una chiave pubblica in grado di firmare i token del quorum. Gli utenti crypto officer (CO) devono registrare la chiave pubblica utilizzando il comando registerMofnPubKey per il cluster CloudHSM.
Risoluzione
Esegui il comando getMValue sul cluster CloudHSM. Utilizza il parametro 3 per indicare il valore per i comandi del servizio 3. Questa operazione utilizza createuser, deleteUser e changePswd:
aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
Nell’esempio precedente, il valore per i server HSM del cluster è 2. Questo valore non può essere ridotto a meno di 2, ma può essere aumentato. Se si attiva involontariamente questo valore, è possibile ripristinarlo da un backup del cluster CloudHSM.
Per risolvere questo problema, crea e registra una chiave asimmetrica con il numero di utenti specificato in getMValue. Quindi, ottieni il token del quorum e chiedi agli utenti specificati in getMValue di firmare il token. Per istruzioni, consulta Using quorum authentication for crypto officers: first-time setup.