WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

カスタム・パスワード暗号化のプラグ・ポイントの使用可能化

パスワードの保護は 2 つのプロパティーで制御されます。この 2 つのプロパティーを 構成することで、カスタム・パスワード暗号化のプラグ・ポイントを有効にすることができます。

始める前に

com.ibm.wsspi.security.crypto.CustomPasswordEncryption インターフェースを例示するコード・サンプルの表示方法については、 カスタム・パスワード暗号化のためのプラグ・ポイントを参照してください。

このタスクについて

カスタム・クラスが構成されており、カスタム暗号化が使用可能になっている場合は、パスワード処理用に暗号化メソッドが必ず呼び出されます。 暗号化解除方式は、カスタム・クラスが構成され、パスワードに {custom:alias} タグが含まれている場合に呼び出されます。 custom:alias タグは、暗号化解除の前に除去されます。

プロシージャー

  1. カスタム・パスワード暗号化を使用可能にするには、次の 2 つのプロパティーを構成する必要があります。
    • property com.ibm.wsspi.security.crypto.customPasswordEncryptionClass - com.ibm.wsspi.security.crypto.CustomPasswordEncryption パスワード暗号化インターフェースをインプリメントするカスタム・クラスを定義します。
    • com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled - デフォルトのパスワード処理にカスタム・クラスを使用する場合を定義します。 passwordEncryptionEnabled オプションが指定されていないか、または false に設定され、 さらに passwordEncryptionClass クラスが指定されている場合は、構成リポジトリーに {custom:alias} タグがまだ存在していると、必ず暗号化解除メソッドが呼び出されます。
  2. カスタム・パスワード暗号化を構成するには、security.xml ファイルでこれらのプロパティーを両方とも構成します。 カスタム暗号化クラス (com.acme.myPasswordEncryptionClass) は、すべての WebSphere Application Server プロセスの ${WAS_INSTALL_ROOT}/classes ディレクトリーにある Java アーカイブ (JAR) ファイルに入れる必要があります。 パスワードを含むすべての構成文書 (security.xml および RunAs パスワードを含むすべてのアプリケーション・バインディング) を、カスタム暗号化クラスを使用してすべてのパスワードが暗号化される前に保管する必要があります。
  3. カスタム実装クラスがデフォルトの com.ibm.wsspi.security.crypto.CustomPasswordEncryptionImpl インターフェースで、このクラスがクラスパス内に存在している場合、暗号化はデフォルトで使用可能になります。 これにより、すべてのノードの使用可能化が単純化されます。 カスタム実装に必要なもの以外のプロパティーを定義する必要はありません。 暗号化は使用不可にするが、暗号化解除にこのクラスを使用する場合は、以下のクラスを指定します。
    • com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled=false

次の作業

カスタム暗号化クラスの暗号化オペレーションが呼び出され、それによってランタイム例外または定義済みの PasswordEncryptException 例外が作成されると、WebSphere Application Server ランタイムは {xor} アルゴリズムを使用してパスワードをエンコードします。 このエンコードによって、パスワードがプレーン・テキストで保管されるのを防ぎます。 カスタム・クラスに伴う問題が解決された後、構成文書を次に保管するときに、パスワードは自動的に暗号化されます。

ユーザー ID およびパスワードに RunAs ロールが割り当てられている場合は、現在では WebSphere Application Server のエンコード機能を使用してエンコードされます。 したがって、パスワードを暗号化するようにカスタム・プラグ・ポイントを構成すると、そのパスワードは RunAs バインディング用にも暗号化されます。 デプロイされたアプリケーションが、同一の暗号鍵を持たないセルに移動された場合や、カスタム暗号化がまだ使用可能になっていない場合は、パスワードを読み取ることができないため、ログインに失敗します。

カスタム・パスワード暗号化をインプリメントする場合は、暗号鍵を管理する責任があります。このクラスは、暗号化された任意のパスワードを暗号化解除する必要があります。 パスワードの暗号化解除に失敗すると、そのパスワードは使用できなくなり、構成でパスワードを変更することが必要となります。それらの鍵を使用するパスワードがなくなるまで、すべての暗号鍵を暗号化解除に使用できる必要があります。 カスタム・パスワード暗号化クラスによってマスター秘密を保守し、暗号鍵を保護する必要があります。

マスター秘密は鍵ストアの stash ファイルを使用するか、パスワード・ロケーターを使用して管理することができます。 パスワード・ロケーターは、カスタム暗号化クラスを使用可能にしてパスワードを位置指定し、そのパスワードをロックできるようにします。




関連タスク
カスタム・パスワード暗号化の使用可能化
カスタム・パスワード暗号化の使用不可化
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_plugpoint_custpass_encrypt.html