fteObfuscate(加密機密資料)

fteObfuscate 指令可為認證檔案中的機密資料加密。 這會讓取得檔案存取權的人員無法讀取認證檔案的內容。 從 IBM® MQ 9.2.0開始,該指令提供更安全的認證保護方法來改進加密。

用途

認證檔中的使用者名稱和密碼內容可以加密。 這些內容會轉換成新的相關內容,並含有「密碼」字尾。 例如:
<!--
  MQMFTCredentials properties before
-->
<tns:logger name="logger1" user="user1" password="passw0rd" />
<tns:file path="$HOME/trust.jks" password="passw0rd" />

<!--
  MQMFTCredentials properties after
-->
<tns:logger name="logger1" userCipher="e71vKCg2pf" passwordCipher="se71vKCg" />
<tns:file path="$HOME/trust.jks" passwordCipher="e71vKCg2pf" />

<!--
  ProtocolBridgeCredentials Properties before
-->
<tns:user name="Fred" serverUserId="fred" serverPassword="passw0rd" />

<!--
  ProtocolBridgeCredentials properties after
-->
<tns:user name="Fred" serverUserIdCipher="e51vVCg2pf" serverPasswordCipher="se51vBCg" />

<!--
  ConnectDirectCredentials properties before
-->
<tns:user name="fteuser" ignorecase="true" pattern="wildcard"
          cdUserId="cdUser" cdPassword="cdPassword" pnodeUserId="pnodeUser"
          pnodePassword="pnodePassword">
  <tns:snode name="snode1" pattern="wildcard" userId="snodeUser" password="snodePassword"/>
</tns:user>

<!--
  ConnectDirectCredentials properties after
-->
<tns:user name="fteuser" ignorecase="true" pattern="wildcard"
          cdUserIdCipher="e71vKCg2pf" cdPasswordCipher="se71vKCg"
          pnodeUserIdCipher="2f1vgCg6df" pnodePasswordCipher="e71vKCg2pf">
  <tns:snode name="snode1" pattern="wildcard" userIdCipher="e51vVCg2pf" passwordCipher="se51vBCg"/>
</tns:user>
IBM MQ 9.2.0開始,偏好的格式為:
MFT

<tns:qmgr mqPasswordCipher="mqmftcred!1!kvAzYv/1aCMfSQ5igkFVmQ==!f4rX5KL7aFKHJl7Ln0X+OQ==" 
mqUserIdCipher="mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g==" 
name="MFTQM" user="JOHNDOE"/>
ProtocolBridge認證

<tns:agent name="agent3">                                        
  <tns:serverHost name="ftpsServer" 
                            keyStorePasswordCipher="mqmftcred!1!w2PQGhQcyq1NwYzGItz3VA==!Q40i2rRSEMGwrx6gnRFe8g==" 
trustStorePasswordCipher="mqmftcred!1!w2PQGhQcyq1NwYzGKtz0VA==!Q40i2rRSEMGwrx6gnRFe8g==">
   </tns:serverHost>
 </tns:agent>
ConnectDirect認證

<tns:agent name="CDAGENT01">
        <tns:pnode name="cdnode*" pattern="wildcard">
          <tns:user name="MUSR_.*"
            ignorecase="true"
            pattern="regex"
            cdUserIdCipher="mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g=="/>            cdPasswordCipher=="!mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g=="/>            pnodeUserIdipher="mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g=="/>            pnodePasswordCipher="mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g=="/>          <tns:snode name="cdnode2" pattern="wildcard" userId="sue" passwordCipher="!mqmftcred!1!w2PQGhQcyq1NwYzGItz0VA==!Q40i2rRSEMGwrx6gnRFe8g=="/>
          </tns:user>
        </tns:pnode>
      </tns:agent>

Syntax

From IBM MQ 9.2.0, the syntax is as follows:

fteObfuscate

Read syntax diagramSkip visual syntax diagramfteObfuscate-f credentials_file_name -sp 2-sp protection_mode-sfcredentials_key_file-ooutput_file_name

參數

-f credentials_file_name
必要項目。 將加密其內容的認證檔名稱。
[已淘汰]附註: 此參數會取代 IBM MQ 9.2.0中已淘汰的 -credentialsFile 參數。
-sp 保護模式
選用項目。 用於加密認證的保護模式。 值可以為:
0
使用已淘汰的認證保護方法,網址為 IBM MQ 9.2.0
1
請使用 IBM MQ 9.2.0中引進的更安全的認證保護方法。 如需相關資訊,請參閱 加密 MFT 中儲存的認證
這是 IBM MQ 9.3.0之前的預設值。
[MQ 9.3.0 Jun 2022]IBM MQ 9.3.0開始,您可以使用保護模式 1 ,以與 IBM MQ 9.3.0之前的版本相容。 不過,請考量將 保護模式 設為 2,將任何儲存的密碼移轉至所提供的加強保護。
[MQ 9.3.0 Jun 2022]2
使用 IBM MQ 9.3.0中引進的加強認證保護模式。 如需相關資訊,請參閱 加密 MFT 中儲存的認證
這是 IBM MQ 9.3.0中的預設值。
-sf credentials_key_file
選用項目。 認證金鑰所在檔案的名稱。 如果省略此參數,則指令會使用預設認證金鑰。 如需相關資訊,請參閱 在 IBM MQ 元件配置檔中保護密碼
-o output_file_name
選用項目。 用來輸出受保護認證的檔案名稱。
-? 或 -h
選用項目。 顯示指令語法。
[MQ 9.3.0 Jun 2022]

範例: 保護模式 2 (預設保護模式)

若要以最新演算法及固定金鑰使用預設保護模式 2 來加密 MQMFTCredentials.xml 檔案中的認證,並以加強格式儲存它們,請發出下列指令:
fteObfuscate -f /usr/home/MQMFTCredentials.xml
若要以最新演算法及使用者指定的金鑰使用預設保護模式 2 來加密 MQMFTCredentials.xml 檔案中的認證,並以加強格式儲存它們,請發出下列指令:
fteObfuscate -sf /var/mqmft/credKeyfile.key -f /usr/home/MQMFTCredentials.xml
若要使用具有最新演算法及使用者指定金鑰的預設保護模式 2 來加密 MQMFTCredentials.xml 檔案中的認證,並將已加密認證輸出至另一個檔案,請發出 fteObfuscate 指令:
fteObfuscate -sf /var/mqmft/credKeyfile.key -sp 2 
-f /usr/home/MQMFTCredentials.xml -o /usr/home/enccred.xml
若要使用具有最新演算法及使用者指定金鑰的預設保護模式來加密 ProtocolBridgeCredentials.xml 檔案中的認證,並以加強格式儲存它們,請發出下列指令:
fteObfuscate -sf /var/mqmft/credKeyfile.key 
-f /usr/home/ProtocolBridgeCredentials.xml

範例: 保護模式 1

若要使用最新演算法及使用者指定的金鑰來加密 MQMFTCredentials.xml 檔案中使用保護模式 1 的認證,並以 IBM MQ 9.2.0中引進的更安全格式儲存它們,請發出下列指令:
fteObfuscate -sf /var/mqmft/credKeyfile.key -sp 1 -f /usr/home/MQMFTCredentials.xml
若要使用保護模式 1 (使用最新演算法及使用者指定的金鑰) 來加密 MQMFTCredentials.xml 檔案中的認證,並將加密認證輸出至另一個檔案,請發出下列指令:
fteObfuscate -sf /var/mqmft/credKeyfile.key -sp 1 
-f /usr/home/MQMFTCredentials.xml -o /usr/home/enccred.xml

範例: 保護模式 0

若要使用已淘汰的演算法來加密 MQMFTCredentials.xml 檔案中的認證,並以已淘汰的格式儲存它們,請發出下列指令:

fteObfuscate -f /usr/home/MQMFTCredentials.xml -sp 0
[z/OS]

z/OS® 上使用資料集

將資料集加密並以 XML 檔案格式輸出:
fteObfuscate  -f "//test.creds(creds)" -o enc.xml
使用資料集中指定的金鑰來加密資料集:
/fteObfuscate -f "//test.creds(creds)" -sf "//test.creds(key)"

回覆碼

0
指令已順利完成。
1
指令未順利結束。