El objetivo del cifrado de contraseñas es impedir la observación fortuita de contraseñas en los archivos de propiedades y configuración del servidor.
Antes de comenzar
Asegúrese de que todos los perfiles de servidor de la consola de administración residan en el mismo sistema IBM® i .
Acerca de esta tarea
De forma predeterminada, las contraseñas se codifican automáticamente con un algoritmo de enmascaramiento simple en varios archivos de configuración ASCII para WebSphere® Application Server. Puede codificar manualmente las contraseñas en los archivos de propiedades que utilizan los clientes Java™ y los mandatos administrativos del servidor de aplicaciones.Para obtener una descripción del algoritmo de codificación OS400 , consulte Codificación y cifrado de contraseñas. Para habilitar el algoritmo de codificación de contraseñas OS400 para un perfil de WebSphere Application Server , siga estos pasos:
Procedimiento
- Establezca las propiedades os400.security.password para activar el algoritmo de cifrado de contraseñas de OS400 y especificar qué objeto de la lista de validación utilizar.
Utilice el mismo objeto de lista de validación para todos los perfiles de WebSphere Application Server . Sin embargo, no es recomendable si no realiza simultáneamente copias de seguridad de los objetos y datos de todos los perfiles. Tenga en cuenta la política de copia de seguridad y restauración cuando decida qué objeto de lista de validación debe utilizar para cada perfil de WebSphere Application Server .
Para establecer las propiedades, complete uno de estos pasos:
- Utilice las opciones -os400passwords y -validationlist para el programa de utilidad manageprofiles -create, que se encuentra en laapp_server_root/binpara establecer las propiedades al crear el perfil. Para crear un perfil de WebSphere Application Server denominado prod, y para habilitar dicho perfil para el algoritmo de codificación OS400 utilizando el/QSYS.LIB/QUSRSYS.LIB/WAS.VLDLobjeto de lista de validación, puede completar los pasos siguientes:
- Ejecute el mandato Iniciar Qshell (STRQSH) en la línea de mandatos de IBM i .
- En Qshell, ejecute el mandato siguiente:
app_server_root/bin/manageprofiles
-create -profileName prod -startingPort 10150
-templatePath default -os400passwords
-validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL
El mandato anterior aparece en varias líneas con fines de ilustración.
- Establezca las propiedades del sistema Java en el setupCmdLine script Qshell del WebSphere Application Server perfil. Para habilitar el algoritmo de codificación de contraseñas OS400 , edite elprofile_root/bin/setupCmdLinescript utilizando los pasos siguientes:
- Establezca la propiedad os400.security.password.encoding.algorithm enOS400. El valor predeterminado es XOR.
- Establezca la propiedad os400.security.password.validation.list.object en el nombre absoluto de la lista de validación que necesita utilizar. El valor predeterminado es/QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
- Guarde el archivo.
- Otorgue la autoridad de ejecución del perfil de usuario QEJB (*X) a la biblioteca que contiene la lista de validación.
Si QEJB ya tiene la autoridad mínima necesaria (*X) para acceder a la biblioteca, continúe con el paso siguiente.
- Utilice la autorización de visualización (DSPAUT) para comprobar la autorización mínima necesaria si se crea la lista de validación en el/QSYS.LIB/WSADMIN.LIB.xlsx
Por ejemplo:
DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
- Utilice el mandato CHGAUT (Change Authority) para otorgar la autoridad de ejecución al perfil QEJB sólo, si el perfil QEJB aún no tiene esta autoridad.
Por ejemplo:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
- Cree un objeto de lista de validación nativo (*VLDL).
Este paso es
opcional para los perfiles de servidor. El objeto de lista de validación se crea cuando se inicia el servidor. Para los perfiles remotos, cree la lista de validación si esta lista todavía no existe en el sistema que aloja el perfil remoto. Asimismo, tenga en cuenta que la política de copia de seguridad y restauración cuando decida qué objeto de lista de validación va a utilizar con cada perfil remoto.
Atención: Cuando se utiliza el algoritmo de codificación de contraseñas OS400 , no es necesario que el cliente Java resida en el mismo sistema IBM i que el perfil de WebSphere Application Server al que accede el cliente.
Para crear un objeto de lista de validación, realice los pasos siguientes con un perfil de usuario IBM i que tenga la autorización especial *ALLOBJ:
- Inicie una sesión en el servidor con un perfil de usuario que tenga la autoridad especial *ALLOBJ.
- Utilice el mandato Crear lista de validación (CRTVLDL) para crear el objeto de lista de validación.
Por ejemplo, para crear el objeto de lista de validación WSVLIST en la biblioteca WSADMIN.LIB, utilice el mandato siguiente:
CRTVLDL VLDL(WSADMIN/WSVLIST)
- Otorgue la autoridad *RWX del perfil de usuario QEJB al objeto de lista de validación.
Por ejemplo, para otorgar la autoridad *RWX al objeto de lista de validación WSVLIST en la biblioteca WSADMIN, utilice el mandato siguiente:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
- Utilice el mandato Cambiar valor del sistema (CHGSYSVAL) para establecer el valor del sistema QRETSVRSEC en 1.
Por ejemplo:
CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
- Para el perfil de servidor, inicie o reinicie el servidor y espere a que el servidor esté preparado para el servicio antes de intentar codificar manualmente las contraseñas en archivos de propiedad que pertenecen al perfil.
Resultados
Ha habilitado el algoritmo de cifrado de contraseñas de OS400.
Qué hacer a continuación
Tras completar el paso anterior y reiniciar el servidor, puede codificar manualmente las contraseñas en archivos de propiedad. Consulte Codificación manual de contraseñas en archivos de propiedades para obtener más información.
![[IBM i]](../images/ngibmi.svg)