WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

ファイル内のパスワードのエンコード

パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルに 保管されているパスワードをエンコードします。WebSphere Application Server では、パスワードをデコードするための ユーティリティーは提供されません。パスワードを完全に保護するには、 エンコードだけでは不十分です。固有のセキュリティーは、 WebSphere Application Server の構成およびプロパティー・ファイルで使用するパスワードを保護するための 主要なメカニズムです。

このタスクについて

WebSphere Application Server には、暗号化されていないファイルに、エンコードされた複数の パスワードが含まれています。WebSphere Application Server では、パスワードのエンコードに使用できる、 PropFilePasswordEncoder ユーティリティーが用意されています。パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーは、XML ファイルや XMI ファイルに含まれているパスワードは エンコードしません。その代わりに、WebSphere Application Server では、 これらのファイルで自動的にパスワードをエンコードします。エンコードされたパスワードを 含む XML および XMI ファイルには、以下のものがあります。
表 1. エンコードされたパスワードを含む XML および XMI ファイル
ファイル名 追加情報
profile_root/config/cells/cell_name
/security.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • LTPA パスワード
  • JAAS 認証データ
  • ユーザー・レジストリー・サーバー・パスワード
  • LDAP ユーザー・レジストリー・バインド・パスワード
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
war/WEB-INF/ibm_web_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
client jar/META-INF/ibm-appclient_bnd.xml
Java 暗号方式アーキテクチャーでの場合を除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。
ear/META-INF/ibm_application_bnd.xml
すべての記述子内の run as バインディングのデフォルトの基本認証用パスワードを指定します。
profile_root/config/cells/cell_name
/nodes/node_name/servers/security.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
  • セッション・パーシスタンス・パスワード
  • DRS クライアント・データ複製パスワード
profile_root/config/cells/cell_name
/nodes/node_name/servers/server1/resources.xml 
以下のフィールドには、エンコードされたパスワードが入っています。
  • WAS40Datasource パスワード
  • mailTransport パスワード
  • mailStore パスワード
  • MQQueue queue mgr パスワード
profile_root/config/cells/cell_name
/ws-security.xml 
 
ibm-webservices-bnd.xmi
 
ibm-webservicesclient-bnd.xmi
 

PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルで パスワードをエンコードします。該当ファイルには、次のものがあります。

表 2. PropFilePasswordEncoder ユーティリティー - ファイル・リスト (一部)
ファイル名 追加情報
profile_root/properties/sas.client.props 
以下のファイルにパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root/properties/soap.client.props
次のパスワードを指定します。
  • com.ibm.SOAP.loginPassword
profile_root/properties/ssl.client.props
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/properties/sas.tools.properties 
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root/properties/sas.stdclient.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
profile_root/properties/wsserver.key
 
profile_root/profiles/AppSrvXX/properties/sib.client.ssl.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/UDDIReg/scripts/UDDIUtilityTools.properties
次のパスワードを指定します。
  • trustStore.password
これらのファイルのいずれかのパスワードを再度エンコードするには、 以下のステップを完了してください。

プロシージャー

  1. テキスト・エディターを使用してファイルにアクセスし、 エンコードされたパスワードを上書きします。 表示された新しいパスワードはエンコードされていないので、再度エンコードする必要があります。
  2. profile_root/bin/ ディレクトリーで PropFilePasswordEncode スクリプトを使用し、パスワードを再度エンコードします。

    [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] SAS プロパティー・ファイルを再エンコードする場合は、 PropFilePasswordEncoder "file_name" -sas と入力します。これにより、PropFilePasswordEncoder ファイルが既知の SAS プロパティーをエンコードします。

    SAS プロパティー・ファイルではないファイルをエンコードする場合は、PropFilePasswordEncoder "file_name" password_properties_list と入力します。

    "file_name" は SAS プロパティー・ファイルの名前で、password_properties_list はファイル内でエンコードするプロパティーの名前です。
    注: PropFilePasswordEncoder ツールを使用して、このファイルでパスワードのみをエンコードする必要があります。

    PropFilePasswordEncoder ツールを使用して、WebSphere Application Server パスワード・ファイルのみをエンコードします。 ユーティリティーは、 XML ファイルまたは、オープンおよびクローズ・タグを含む他のファイルに含まれるパスワードをエンコードできません。

    以下に、 PropFilePasswordEncoder ツールの使用方法の例を示します。
    PropFilePasswordEncoder C:¥WASV6¥WebSphere¥AppServer¥profiles¥AppSrv¥properties
    ¥sas.client.props com.ibm.ssl.keyStorePassword.com.ibm.ssl.trustStorePassword

    各部の意味は、次のとおりです。

    PropFilePasswordEncoder は、 profile_root/profiles/profile_name/bin ディレクトリーから実行するユーティリティーの名前です。

    C:¥WASV6¥WebSphere¥AppServer¥profiles¥AppSrv¥properties¥sas.client.props は、 エンコードするパスワードが含まれているファイルの名前です。

    com.ibm.ssl.keyStorePassword は、 ファイル内のエンコードするパスワードです。

    com.ibm.ssl.trustStorePassword は、 ファイル内のエンコードする第 2 パスワードです。

結果

反映されたファイルを再オープンすると、パスワードはエンコードされています。WebSphere Application Server では、パスワードをデコードするための ユーティリティーは提供されません。



サブトピック
プロパティー・ファイルでの手動によるパスワードのエンコード
PropFilePasswordEncoder コマンド解説書
非デフォルトの OS/400 パスワード・エンコード・アルゴリズムの使用可能化
デフォルトでない OS/400 パスワード・エンコード・アルゴリズムの使用
損傷した妥当性検査リスト・オブジェクトの復元または置換
関連タスク
ファイル内のパスワードの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/tsec_protplaintxt.html