[IBM i]

启用非缺省 OS/400® 密码编码算法

密码编码的目的是阻止偶然查看服务器配置和属性文件中的密码。

准备工作

确保管理控制台中的所有服务器概要文件都位于同一 IBM® i 系统上。

有关此任务

缺省情况下,使用 WebSphere® Application Server的各种 ASCII 配置文件中的简单屏蔽算法自动对密码进行编码。 您可以手动对 Java™ 客户机和 Application Server 管理命令所使用的属性文件中的密码进行编码。

有关 OS400 编码算法的描述,请参阅 密码编码和加密。 要对 WebSphere Application Server 概要文件启用 OS400 密码编码算法,请完成下列步骤:

过程

  1. 设置 os400.security.password 属性以打开 OS400 密码编码算法并指定要使用哪个验证列表对象。

    对所有 WebSphere Application Server 概要文件使用相同的验证列表对象。 但是,如果您未同时备份所有概要文件的对象和数据,那么建议您不要这样做。 在决定要用于每个 WebSphere Application Server 概要文件的验证列表对象时,请考虑备份和复原策略。

    要设置这些属性,请完成以下其中一个步骤:
    • -os400passwords-validationlist 选项用于 manageprofiles -create 实用程序,该实用程序位于app_server_root/bin目录,以在创建概要文件时设置属性。 创建名为 prod 的 WebSphere Application Server 概要文件,并使用以下命令对 OS400 编码算法启用该概要文件:/QSYS.LIB/QUSRSYS.LIB/WAS.VLDL验证列表对象,您可以完成以下步骤:
      1. 在 IBM i 命令行上运行 "启动 Qshell" (STRQSH) 命令。
      2. 在 Qshell 中,运行以下命令:
        app_server_root/bin/manageprofiles 
-create -profileName prod -startingPort 10150 
-templatePath default -os400passwords 
-validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL

        以上命令分成多行仅为了便于说明。

    • setupCmdLineWebSphere Application Server 配置文件的 Qshell 脚本中设置 Java 系统属性。 要启用 OS400 密码编码算法,请编辑profile_root/bin/setupCmdLine使用以下步骤的脚本:
      1. 将 os400.security.password.encoding.algorithm 属性设置为OS400. 缺省设置为 XOR。
      2. 将 os400.security.password.validation.list.object 属性设为您需要使用的验证列表的绝对名称。 缺省设置为/QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
      3. 保存该文件。
  2. 给 QEJB 用户概要文件授予对包含验证列表的库的运行权限 (*X)。
    如果 QEJB 已具有访问该库的最低必需权限 (*X),那么转至下一个步骤。
    1. 使用 "显示权限" (DSPAUT) 来检查在以下位置创建验证列表时所需的最低权限:/QSYS.LIB/WSADMIN.LIB中。
      例如:
      DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
    2. 仅当 QEJB 概要文件尚不具有运行权限时,才使用“更改权限”(CHGAUT) 命令给 QEJB 概要文件授予此权限。
      例如:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
  3. 创建本机验证列表对象 (*VLDL)。
    对于服务器概要文件,此步骤是可选的。 启动服务器时已创建该验证列表对象。 对于远程概要文件,如果该验证列表在主管远程概要文件的系统上尚不存在,请创建该验证列表。 并且,当您决定要对每个远程概要文件使用哪个验证列表对象时,请考虑备份和恢复策略。
    注意: 使用 OS400 密码编码算法时,不需要 Java 客户机与客户机访问的 WebSphere Application Server 概要文件位于同一 IBM i 系统上。

    要创建验证列表对象,请使用具有 *ALLOBJ 特权的 IBM i 用户概要文件执行以下步骤:

    1. 使用具有 *ALLOBJ 特权的用户概要文件登录服务器。
    2. 使用 "创建验证列表" (CRTVLDL) 命令来创建验证列表对象。
      例如,要在 WSADMIN.LIB 库中创建 WSVLIST 验证列表对象,请使用以下命令:
      CRTVLDL VLDL(WSADMIN/WSVLIST)
    3. 给 QEJB 用户概要文件授予对验证列表对象的 *RWX 权限。
      例如,要授予对 WSADMIN 库中 WSVLIST 验证列表对象的 *RWX 权限,请使用以下命令:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
  4. 使用 "更改系统值" (CHGSYSVAL) 命令将 QRETSVRSEC 系统值设置为 1
    例如:
    CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
  5. 对于服务器概要文件,在尝试对属于该概要文件的属性文件中的密码进行手动编码前,启动或重新启动服务器并等至服务器能够提供服务。

结果

您已启用 OS400 密码编码算法。

下一步做什么?

在完成上述步骤并重新启动服务器后,可以对属性文件中的密码进行手动编码。 请参阅 手动对属性文件中的密码进行编码 以获取更多信息。