WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

ファイル内のパスワードのエンコード

パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルに 保管されているパスワードをエンコードします。WebSphere Application Server では、パスワードをデコードするための ユーティリティーは提供されません。パスワードを完全に保護するには、 エンコードだけでは不十分です。固有のセキュリティーは、 WebSphere Application Server の構成およびプロパティー・ファイルで使用するパスワードを保護するための 主要なメカニズムです。

このタスクについて

WebSphere Application Server には、暗号化されていないファイルに、エンコードされた複数の パスワードが含まれています。WebSphere Application Server では、パスワードのエンコードに使用できる、 PropFilePasswordEncoder ユーティリティーが用意されています。パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーは、XML ファイルや XMI ファイルに含まれているパスワードは エンコードしません。その代わりに、WebSphere Application Server では、 これらのファイルで自動的にパスワードをエンコードします。エンコードされたパスワードを 含む XML および XMI ファイルには、以下のものがあります。
表 1. エンコードされたパスワードを含む XML および XMI ファイル
ファイル名 追加情報
profile_root/config/cells/cell_name/security.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • LTPA パスワード
  • JAAS 認証データ
  • ユーザー・レジストリー・サーバー・パスワード
  • LDAP ユーザー・レジストリー・バインド・パスワード
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
war/WEB-INF/ibm_web_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
client jar/META-INF/ibm-appclient_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
ear/META-INF/ibm_application_bnd.xml
すべての記述子内の run as バインディングのデフォルトの基本認証用パスワードを指定します。
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/security.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
  • セッション・パーシスタンス・パスワード
  • DRS クライアント・データ複製パスワード
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/resources.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • WAS40Datasource パスワード
  • mailTransport パスワード
  • mailStore パスワード
  • MQQueue queue mgr パスワード
profile_root/config/cells/cell_name/ws-security.xml
 
ibm-webservices-bnd.xmi
 
ibm-webservicesclient-bnd.xmi
 

PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルで パスワードをエンコードします。該当ファイルには、次のものがあります。

表 2. PropFilePasswordEncoder ユーティリティー - ファイル・リスト (一部)
ファイル名 追加情報
profile_root 
/properties/sas.client.props
以下のファイルにパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root 
/properties/soap.client.props
次のパスワードを指定します。
  • com.ibm.SOAP.loginPassword
profile_root 
/properties/ssl.client.props
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root 
/properties/sas.tools.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root 
/properties/sas.stdclient.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root 
/properties/wsserver.key
 
profile_root/profiles/AppSrvXX/properties/sib.client.ssl.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/UDDIReg/scripts/UDDIUtilityTools.properties
次のパスワードを指定します。
  • trustStore.password
これらのファイルのいずれかのパスワードを再度エンコードするには、 以下のステップを完了してください。

プロシージャー

  1. テキスト・エディターを使用してファイルにアクセスし、 エンコードされたパスワードを上書きします。 表示された新しいパスワードはエンコードされていないので、再度エンコードする必要があります。
  2. profile_root/profiles/profile_name/bin ディレクトリーの PropFilePasswordEncoder.bat ファイルや PropFilePasswordEncode.sh ファイルを使用して、パスワードを再エンコードします。
    [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] SAS プロパティー・ファイルを再度エンコードする場合は、PropFilePasswordEncoder "file_name" -sas を入力します。これにより、PropFilePasswordEncoder ファイルが既知の SAS プロパティーをエンコードします。
    重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。

    SAS プロパティー・ファイルではないファイルをエンコードする場合は、PropFilePasswordEncoder "file_name" password_properties_list と入力します。

    各部の意味は、次のとおりです。

    "file_name" は z/SAS プロパティー・ファイルの名前で、password_properties_list はファイル内でエンコードするプロパティーの名前です。
    注: PropFilePasswordEncoder ツールを使用して、このファイルでパスワードのみをエンコードする必要があります。

    PropFilePasswordEncoder ユーティリティーを使用して、WebSphere Application Server パスワード・ファイルのみをエンコードします。ユーティリティーは、 XML ファイルまたは、オープンおよびクローズ・タグを含む他のファイルに含まれるパスワードをエンコードできません。

結果

反映されたファイルを再オープンすると、パスワードはエンコードされています。WebSphere Application Server では、パスワードをデコードするための ユーティリティーは提供されません。



サブトピック
PropFilePasswordEncoder コマンド解説書
関連タスク
ファイル内のパスワードの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_protplaintxt.html