![[IBM i]](../images/iseries.gif)
Kennwortcodierung und -verschlüsselung
Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und Eigenschaftendateien verhindert.
Standardmäßig werden Kennwörter in verschiedenen ASCII-Konfigurationsdateien von WebSphere Application Server automatisch mit einem einfachen Maskierungsalgorithmus codiert. Sie können Kennwörter in Eigenschaftendateien, die von Java™-Clients und von Verwaltungsbefehlen für WebSphere Application Server verwendet werden, zusätzlich manuell codieren.
Der Standardcodierungsalgorithmus wird als XOR bezeichnet. In WebSphere Application Server for IBM® i kann ein alternativer OS400-Codierungsalgorithmus verwendet werden, der nur native Prüflistenobjekte (*VLDL) nutzt. Beim OS400-Algorithmus werden Kennwörter in verschlüsselter Form in einer Prüfliste gespeichert. Die Konfigurationsdateien enthalten statt der (mit dem Algorithmus XOR maskierten Kennwörter) Indizes zum Speichern von Kennwörtern.
{algorithm}encoded_password
Hier ist {algorithm}
ein Tag, das den für die Codierung des Kennworts verwendeten Algorithmus (XOR oder OS400) angibt. Die Variable codiertes_Kennwort steht für den codierten Wert des Kennworts. Wenn ein Server oder Client
ein Kennwort decodieren muss, verwendet er das Tag zur Bestimmung des erforderlichen Algorithmus und decodiert dann mit diesem das codierte Kennwort. Java-Clients verwenden Kennwörter aus der Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties.
Wenn Sie die Kennwortcodierung für Java-Clients verwenden möchten, müssen Sie Kennwörter in der Datei sas.client.props manuell mit dem Tool PropFilePasswordEncoder codieren.
Die Verwaltungsbefehle für WebSphere Application Server verwenden für SOAP-Verbindungen Kennwörter aus der Datei soap.client.props, die sich im Verzeichnis Profilstammverzeichnis/properties befindet. Einige Verwaltungsbefehle verwenden für RMI-Verbindungen (Remote Method Invocation) optional Kennwörter aus der Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties. Wenn Sie die Kennwortcodierung für Verwaltungsbefehle verwenden möchten, müssen Sie die Kennwörter in den Dateien soap.client.props und sas.client.props manuell mit dem Tool PropFilePasswordEncoder codieren.
Hinweise zur Verwendung des OS400-Algorithmus für Kennwortcodierung
- Für eine Verwendung auf einem System, das die Java-Clientanwendung
oder WebSphere Application Server bereitstellt, müssen Sie
den Betriebssystemwert QRETSVRSEC auf 1 setzen. Wenn diese Einstellung definiert ist, kann
WebSphere Application Server die verschlüsselten Kennwörter aus der
Prüfliste abrufen. Achtung: Der Systemwert QRETSVRSEC beeinflusst den Zugriff auf die verschlüsselten Daten in allen Prüflisten des Betriebssystems. Verwenden Sie nicht den OS400-Algorithmus für Kennwortcodierung, wenn diese Einstellung nicht mit der Sicherheitsrichtlinie des Betriebssystems konsistent ist.
- Den OS400-Algorithmus können Sie nur mit Serverinstanzen verwenden, wenn alle diese Instanzen innerhalb der Verwaltungsdomäne von
WebSphere Application Server sich auf demselben
IBM i-System befinden. Prüfen Sie auch die folgenden zugehörigen Punkte:
- Verwaltungsdomänen von WebSphere Application Server können sich über mehrere IBM i-Systeme erstrecken. Sie können den OS400-Kennwortalgorithmus nur verwenden, wenn alle Server der Verwaltungsdomäne sich auf demselben IBM i-System befinden.
- Serverkonfigurationsdateien (XML-Dateien) enthalten codierte Kennwörter. Sind diese Kennwörter mit dem OS400-Algorithmus codiert, sind die Codierungen nur für die Application-Server-Profile auf dem IBM i-System gültig, auf dem die Kennwörtern ursprünglich codiert wurden. Kopien der Konfigurationsdateien, die mit dem OS400-Algorithmus codierte Kennwörter enthalten, können nicht zum Konfigurieren von Servern auf anderen IBM i-Systemen genutzt werden.
- Alle Serverinstanzen innerhalb der Verwaltungsdomäne müssen mit demselben *VLDL-Objekt (native Prüfliste) konfiguriert werden.
- Für Java-Clients können Sie den OS400-Kennwortalgorithmus auf jedem IBM i-System verwenden. Auf dem System mit dem Java-Client muss jedoch Option 1 installiert sein.
- Falls ein Fehler auftritt, wenn ein Kennwort mit dem OS400-Algorithmus codiert ist, kann der XOR-Algorithmus zum Codieren des Kennworts genutzt werden. Ein Fehler könnte auftreten, wenn ein Administrator das Prüflistenobjekt manuell erstellt und diesem Objekt unzureichende Berechtigungen für das IBM i-QEJB-Benutzerprofil einräumt.