La utilización de valores de resumen reemplazados significa que se están migrando las contraseñas resumidas existentes a una nueva configuración criptográfica (p.ej. nueva sal) y se desea que las contraseñas de usuario de Cúram se migren automáticamente durante un período de tiempo.
Esto se aplica a los usuarios de Cúram externos e internos, pero no se aplica a los usuarios gestionados por sistemas de seguridad de terceros como LDAP.
El proceso para hacer esto es:
- Elija un momento en el que el sistema de Cúram pueda estar parado, es decir, que el sistema Cúram no ejecute.
- Copie los nombres y valores de las propiedades de resumen existentes en CryptoConfig.properties y renombre las propiedades a los nuevos nombres de las propiedades reemplazadas.
- Modifique los nombres de propiedad de resumen existentes en CryptoConfig.properties.
- Establezca la propiedad curam.security.convertsupersededpassworddigests.enabled a 'true'.
- Defina la propiedad curam.security.crypto.upgrade.start para que le ayude a realizar un seguimiento del momento en que se introduce la configuración actualizada. Este valor puede utilizarse abajo para ayudar a gestionar las contraseñas de usuario no migradas.
- Reinicie el servidor de aplicaciones, pero tenga en cuenta lo siguiente:
Nota: Ni el usuario predeterminado de servicios web de Cúram (WEBSVCS) ni cualquier usuario no procesado vía
CuramLoginModule estarán disponibles para la migración automática de contraseñas. Dichos usuarios deberán restablecerse antes de reiniciar el servidor de aplicaciones. Para hacer esto:
- Obtenga el nuevo valor de resumen de contraseña mediante el destino Ant digest (p.ej. ant digest -Dpassword=contrasenya).
- Actualice el valor de la contraseña en la base de datos, lo que puede hacerse fácilmente mediante SQL (p.ej. UPDATE USERS SET PASSWORD='<nuevo valor de resumen>' WHERE USERNAME='WEBSVCS';).
- Ahora ya se puede iniciar el servidor de aplicaciones.
Transcurrido un período de tiempo (p.ej. semanas o meses), cuando se considere que el período de migración ha concluido, establezca la propiedad curam.security.convertsupersededpassworddigests.enabled a 'false' y desestablezca la propiedad curam.security.crypto.upgrade.start.
A aquellos usuarios que no hayan iniciado sesión durante el período de migración les fallará el inicio de sesión al no coincidir las contraseñas.
Existen dos formas de abordar el problema de las contraseñas no actualizadas durante el período de migración:
- Solicite a dichos usuarios que se pongan en contacto con el soporte interno para que se restablezcan sus contraseñas a través de la interfaz del usuario administrador.
- Identifique manualmente en la tabla USERS aquellos usuarios que no se actualizaron durante el período de migración y establezca la nueva contraseña predeterminada vía SQL (consulte el destino digest descrito en la Guía del desarrollador de Cúram Server para obtener nuevos valores de resumen de contraseña) o bien a través de las pantallas del usuario administrador. Por ejemplo, mediante la consulta siguiente:
SELECT nombreusuario FROM users WHERE lastwritten between timestamp('2013-06-01 15:00:00') AND timestamp('2013-09-01 00:00:00')
La propiedad curam.security.convertsupersededpassworddigests.enabled no debería dejarse a true indefinidamente porque:
- no tiene sentido tomarse la molestia de actualizar de la configuración 'A' a la configuración 'B' y dejar la configuración 'A' activa;
- deja en el sistema valores criptográficos potencialmente más débiles; y
- para poder utilizar esta funcionalidad en una actualización futura, p.ej. de la configuración 'B' a la 'C', habría que actualizar todas las contraseñas de 'A' a al menos 'B'.
Nota: En lo relativo a la estrategia de migración, deberán tenerse en cuenta todos los archivos que tengan resúmenes almacenados (p.ej. DMX) a fin de que reflejen los valores correctos.
Nota: Cualquier uso que se haga de Cúram Transport Manager (CTM) durante una migración deberá estudiarse a fin de garantizar las expectativas y los valores compatibles entre los sistemas origen y destino.
Temas relacionados: