Das Verwenden der ersetzten Digest-Einstellungen bedeutet, dass Sie Ihre vorhandenen mittels Digest verschlüsselten Kennwörter auf eine neue Verschlüsselungskonfiguration (z. B. neuer Salt) migrieren und Ihre Cúram-Benutzerkennwörter für einen Zeitraum lang automatisch migriert werden sollen. Dies gilt für interne und externe Cúram-Benutzer, allerdings nicht für Benutzer, die durch Drittanbieter-Sicherheitssysteme wie LDAP verwaltet werden.
Der Prozess lautet wie folgt:
- Wählen Sie einen Zeitraum aus, in dem Ihr Cúram-System inaktiv sein kann und nicht ausgeführt wird.
- Kopieren Sie die vorhandenen Digest-Eigenschaftsnamen und Werte aus CryptoConfig.properties und geben Sie den Eigenschaften die neuen ersetzten Eigenschaftsnamen.
- Modifizieren Sie die vorhandenen Digest-Eigenschaftsnamen in CryptoConfig.properties.
- Legen Sie die Eigenschaft curam.security.convertsupersededpassworddigests.enabled auf "true" fest.
- Legen Sie die Eigenschaft curam.security.crypto.upgrade.start fest, um nachverfolgen zu können, wann Sie die aktualisierte Konfiguration eingeführt haben. Dieser Wert kann wie unten dargestellt verwendet werden, um nicht migrierte Benutzerkennwörter zu verwalten.
- Starten Sie den Anwendungsserver neu, aber beachten Sie dabei Folgendes:
Anmerkung: Der Cúram-Standard-Web-Services-Benutzer (WEBSVCS) oder jeder Benutzer, der nicht über
CuramLoginModule verarbeitet wird, steht für die automatische Kennwortmigration nicht zur Verfügung. Sie müssen diese Benutzer zurücksetzen, bevor Sie den Anwendungsserver neu starten. Dabei gehen Sie folgendermaßen vor:
- Rufen Sie den neuen Digest-Kennwortwert über das Ant-Digest-Ziel (z. B. ant digest -Dpassword=password) ab.
- Aktualisieren Sie den Kennwortwert in der Datenbank. Dies können Sie ganz einfach mit einer SQL-Anweisung durchführen (z. B. UPDATE USERS SET PASSWORD="<new digest value>' WHERE USERNAME='WEBSVCS';).
- Jetzt können Sie den Anwendungsserver neu starten.
Legen Sie nach Ablauf der Migrationsphase (beispielsweise nach einigen Wochen oder Monaten) die Eigenschaft curam.security.convertsupersededpassworddigests.enabled auf "false" fest und deaktivieren Sie curam.security.crypto.upgrade.start property.
Benutzer, die sich während der Migrationsphase nicht angemeldet haben, können sich nicht mehr anmelden, da die Kennwörter nicht mehr übereinstimmen. Sie haben zwei Möglichkeiten, das Problem nicht aktualisierter Kennwörter zu lösen:
- Fordern Sie diese Benutzer auf, Kontakt mit dem internen Support aufzunehmen, um ihre Kennwörter über die Admin-Benutzer-Schnittstelle zurücksetzen zu lassen.
- Identifizieren Sie manuell in der Cúram-Tabelle "USERS" die Benutzer, die während der Migrationsphase aktualisiert wurden, und legen Sie ein neues Standardkennwort entweder über SQL (siehe digest-Ziel wie im Handbuch Cúram Server Developer zum Abrufen neuer Digest-Kennwortwerte beschrieben) oder über die Admin-Benutzer-Bildschirme manuell fest. Verwenden Sie beispielsweise die folgende Abfrage:
SELECT username FROM users WHERE lastwritten between timestamp('2013-06-01 15:00:00') AND timestamp('2013-09-01 00:00:00')
Die Eigenschaft curam.security.convertsupersededpassworddigests.enabled darf aus folgenden Gründen nicht unbegrenzt auf "true" festgelegt werden:
- Es ergibt wenig Sinn, die Konfiguration "A" auf Konfiguration "B" zu aktualisieren, während die ursprüngliche Konfiguration "A" aktiv bleibt;
- Potenziell schwächere Verschlüsselungseigenschaften bleiben im System aktiv; und
- Um diese Funktion für zukünftige Aktualisierungen verwenden zu können (z. B. von Konfiguration "B" zu "C"), müssen alle Kennwörter "A" mindestens auf "B" aktualisiert worden sein.
Anmerkung: Alle Dateien, z. B. DMX, mit gespeicherten Digests müssen in Hinblick auf Ihre Migrationsstrategie berücksichtigt werden, sodass die korrekten Werte wiedergegeben werden.
Anmerkung: Die Verwendung von Cúram Transport Manager (CTM) während der Migration muss in Hinblick auf die Sicherstellung kompatibler Einstellungen und Erwartungen zwischen den Quell- und Zielsystemen berücksichtigt werden.
Zugehörige Themen: