[IBM i]

Kodowanie i szyfrowanie haseł

Kodowanie hasła odstraszy obserwację swobodną haseł w plikach konfiguracyjnych i właściwości serwera.

Domyślnie hasła są automatycznie kodowane przy użyciu prostego algorytmu maskowania w różnych plikach konfiguracyjnych ASCII serwera WebSphere® Application Server . Ponadto można ręcznie zakodować hasła w plikach właściwości, które są używane przez klienty Java™ i przez komendy administracyjne dla serwera WebSphere Application Server.

Domyślny algorytm kodowania jest określany jako XOR. Alternatywny algorytm kodowania OS400 może być używany razem z produktem WebSphere Application Server for IBM® i , który wykorzystuje tylko obiekty z listy weryfikacji rodzimej (*VLDL). Za pomocą algorytmu OS400 hasła są zapisywane w postaci zaszyfrowanej w obrębie listy sprawdzania. Pliki konfiguracyjne zawierają indeksy do zapisanych haseł, a nie maskowane hasła, tak jak to robi się z algorytmem XOR.

Zakodowane hasła używają następującej składni:
{algorithm}encoded_password
gdzie {algorytm} to znacznik określający algorytm używany do kodowania hasła, które jest albo XOR, albo OS400. Zmienna zakodowane_hasło jest zakodowaną wartością hasła. Gdy serwer lub klient musi zdekodować hasło, używa on znacznika w celu określenia algorytmu, który ma zostać użyty, a następnie używa tego algorytmu do dekodowania zakodowanego hasła.

Klienty Java używają haseł z pliku sas.client.props , który znajduje się w katalogu katalog_główny_profilu/properties .

Aby można było używać kodowania haseł z klientami Java, hasła muszą być ręcznie zakodowane w pliku sas.client.props przy użyciu narzędzia PropFilePasswordEncoder .

Komendy administracyjne dla serwera WebSphere Application Server używają haseł z pliku soap.client.props , który znajduje się również w katalogu katalog_główny_profilu/properties, dla połączeń SOAP. Niektóre komendy administracyjne mogą opcjonalnie używać haseł z pliku sas.client.props w katalogu katalog_główny_profilu/properties dla połączeń RMI (Remote Method Invocation). Aby użyć kodowania haseł za pomocą komend administracyjnych, należy ręcznie zakodować hasła w plikach soap.client.props i sas.client.props przy użyciu narzędzia PropFilePasswordEncoder .

Uwaga: Niezależnie od tego, czy wybrano użycie algorytmu kodowania OS400 , czy domyślnego algorytmu kodowania, kodowanie nie jest wystarczające, aby w pełni chronić hasła. Zabezpieczenia rodzime są podstawowym mechanizmem zabezpieczania haseł, które są używane w plikach konfiguracyjnych i plikach właściwości dla serwera WebSphere Application Server.

Zagadnienia, które należy wziąć pod uwagę podczas korzystania z algorytmu kodowania haseł OS400

Przed podjęciem decyzji o użyciu algorytmu kodowania haseł OS400 należy wziąć pod uwagę następujące kwestie:
  • Wartość systemowa QRETSVRSEC musi być ustawiona na 1 , aby była używana w systemie, w którym znajduje się aplikacja kliencka Java lub serwer WebSphere Application Server. To ustawienie powoduje, że serwer WebSphere Application Server może pobierać zaszyfrowane hasła z listy sprawdzania.
    Uwaga: Wartość systemowa QRETSVRSEC ma wpływ na dostęp do zaszyfrowanych danych we wszystkich listach weryfikacji w systemie operacyjnym. Jeśli to ustawienie nie jest zgodne ze strategią bezpieczeństwa systemu operacyjnego, nie należy używać algorytmu kodowania haseł OS400 .
  • Za pomocą algorytmu OS400 można użyć instancji serwera tylko wtedy, gdy wszystkie instancje serwera w domenie administracyjnej serwera WebSphere Application Server znajdują się w tym samym systemie IBM i . Należy wziąć pod uwagę następujące zagadnienia związane z:
    • Domeny administracyjne serwera WebSphere Application Server mogą być rozszerzone w wielu systemach IBM i . Algorytmu haseł OS400 można używać tylko wtedy, gdy wszystkie serwery w domenie administracyjnej znajdują się w tym samym systemie IBM i .
    • Pliki XML konfiguracji serwera zawierają zakodowane hasła. Jeśli hasła zawarte w plikach XML są kodowane za pomocą algorytmu kodowania OS400 , to kodowania te są poprawne tylko dla profili serwera aplikacji w tym samym systemie IBM i , w którym hasła były kodowane. Kopie plików konfiguracyjnych, które zawierają hasła zakodowane przy użyciu algorytmu kodowania OS400 , nie mogą być używane do konfigurowania serwerów w innych systemach IBM i .
    • Wszystkie instancje serwera w domenie administracyjnej muszą być skonfigurowane tak, aby korzystały z tego samego obiektu rodzimej listy weryfikacji (*VLDL).
  • W przypadku klientów Java można użyć algorytmu haseł OS400 w dowolnym systemie IBM i . Jednak opcja 1 musi być zainstalowana w systemie, który udostępnia klienta Java.
  • Jeśli wystąpi błąd podczas kodowania hasła przy użyciu algorytmu kodowania OS400 , algorytm kodowania XOR jest używany do kodowania hasła. Może wystąpić błąd, jeśli administrator ręcznie utworzy obiekt listy sprawdzania i nadaje niewystarczające uprawnienia do obiektu listy sprawdzania poprawności dla profilu użytkownika QEJB produktu IBM i .