計画、パスワード・レベルの変更

パスワード・レベルの変更は、慎重に計画する必要があります。 パスワード・レベルの変更の計画が適切でない場合、 他のシステムでの操作が失敗したり、 ユーザーがシステムにサインオンできなくなることがあります。

QPWDLVL システム値を変更する前に、SAVSECDTA または SAVSYS コマンドを使用して、 セキュリティー・データを必ず保管してください。 現行の状態のバックアップがあれば、低位のパスワード・レベルに戻る必要がある場合でも、 すべてのユーザー・プロファイルのパスワードを再設定できます。

システム、およびそのシステムとインターフェースするクライアント上で使用する製品は、 パスワード・レベル (QPWDLVL) システム値が 2 または 3 に設定されている場合には、 問題が発生することがあります。 システムにパスワードを送信するすべての製品またはクライアントは、 ユーザーがサインオン画面で入力する平文形式ではなく、 暗号化された形式で、QPWDLVL が 2 または 3 用のパスワード暗号化規則を処理できるように アップグレードする必要があります。 暗号化されたパスワードの送信は、パスワード置換と呼ばれています。 パスワード置換は、ネットワーク上に伝送中のパスワードが読み取られるのを防ぐために 使用します。QPWDLVL 2 または 3 のアルゴリズムをサポートしていない以前のクライアントが生成するパスワード置換は、 入力された特定の文字が正しいとしても、受け入れられません。 このことは、あるシステムから別のシステムへの認証に対して暗号化された値を使用する、 IBM® i 間の対等アクセスにも適用されます。

問題は、影響を受ける製品のうちのいくつか (例えば IBM Toolbox for Java™) が、 ミドルウェアとして提供されているということにより複雑化しています。 これらの製品の以前のバージョンを組み込んでいるサード・パーティー製品は、 ミドルウェアの更新済みバージョンを使用して再作成しないと、正常に動作しません。

この問題とその他のシナリオから、QPWDLVL システム値を変更する前には 慎重な計画が必要だということを、容易に理解することができます。