[IBM i]

Nicht standardmäßigen OS/400-Algorithmus für Kennwortcodierung aktivieren

Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und Eigenschaftendateien verhindert.

Vorbereitende Schritte

Stellen Sie sicher, dass sich alle Serverprofile in der Administrationskonsole auf demselben System IBM® i befinden.

Informationen zu diesem Vorgang

Standardmäßig werden Kennwörter in verschiedenen ASCII-Konfigurationsdateien von WebSphere Application Server automatisch mit einem einfachen Maskierungsalgorithmus codiert. Sie können Kennwörter in Eigenschaftendateien, die von Java-Clients und von Verwaltungsbefehlen für WebSphere Application Server verwendet werden, zusätzlich manuell codieren.

Eine Beschreibung des OS400-Codierungsalgorithmus finden Sie im Artikel Kennwortcodierung und -verschlüsselung. Führen Sie die folgenden Schritte aus, um den OS400-Algorithmus für Kennwortcodierung für ein WAS-Profil zu aktivieren:

Vorgehensweise

  1. Setzen Sie die Eigenschaften "os400.security.password", um den OS400-Algorithmus für Kennwortcodierung zu aktivieren und das zu verwendende Prüflistenobjekt anzugeben.

    Verwenden Sie für alle Profile von WebSphere Application Server dasselbe Prüflistenobjekt. Dies ist jedoch nur zu empfehlen, wenn Sie die Objekt- und Datensicherung für alle Profile gleichzeitig durchführen. Berücksichtigen Sie Ihre Richtlinie für Sicherung und Wiederherstellung, wenn Sie entscheiden, welches Prüflistenobjekt für die einzelnen WAS-Profile verwendet werden soll.

    Führen Sie einen der folgenden Schritte aus, um die Eigenschaften festzulegen:
    • Verwenden Sie die Optionen -os400passwords und -validationlist für das Dienstprogramm "manageprofiles -create" im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, um beim Erstellen des Profils die Eigenschaften zu definieren. Wenn Sie für ein WAS-Profil "prod" den OS400-Codierungsalgorithmus mit dem Prüflistenobjekt /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL aktivieren möchten, müssen Sie wie folgt vorgehen:
      1. Führen Sie den Befehl "Start Qshell (STRQSH)" in der Befehlszeile von IBM i aus.
      2. Führen Sie in der Qshell den folgenden Befehl aus:
        Profilstammverzeichnis/bin/manageprofiles -create -profileName prod -startingPort 10150 
        -templatePath default -os400passwords 
        -validationlist  /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL

        Der obige Befehl wurde nur zur besseren Lesbarkeit auf mehrere Zeilen verteilt.

    • Definieren Sie die Java-Systemeigenschaften im Qshell-Script setupCmdLine des Profils von WebSphere Application Server. Bearbeiten Sie wie folgt das Script Profilstammverzeichnis/bin/setupCmdLine, um den OS400-Algorithmus für Kennwortcodierung zu aktivieren:
      1. Setzen Sie die Eigenschaft "os400.security.password.encoding.algorithm" auf OS400. Die Standardeinstellung ist XOR.
      2. Setzen Sie die Eigenschaft "os400.security.password.validation.list.object" auf den absoluten Namen der zu verwendenden Prüfliste. Die Standardeinstellung ist /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
      3. Speichern Sie die Datei.
  2. Erteilen Sie dem Benutzerprofil QEJB die Ausführungsberechtigung (*X) für die Bibliothek, die die Prüfliste enthält. Falls QEJB bereits die für den Zugriff auf die Bibliothek erforderliche Mindestberechtigung (*X) hat, fahren Sie mit dem nächsten Schritt fort.
    1. Überprüfen Sie mit DSPAUT (Display Authority) die erforderliche Mindestberechtigung, falls die Prüfliste in der Datei /QSYS.LIB/WSADMIN.LIB erstellt wurde.
      Beispiel:
      DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
    2. Erteilen Sie dem Profil QEJB mit dem Befehl CHGAUT (Change Authority) die Ausführungsberechtigung. Dies gilt jedoch nur, wenn das Profil diese Berechtigung noch nicht hat.
      Beispiel:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
  3. Erstellen Sie ein natives Prüflistenobjekt (*VLDL). Dieser Schritt ist für Serverprofile optional. Das Prüflistenobjekt wird erstellt, wenn der Server gestartet wird. Erstellen Sie für ferne Profile die Prüfliste, falls auf dem System mit dem fernen Profil noch keine Prüfliste vorhanden ist. Berücksichtigen Sie Ihre Richtlinie für Sicherung und Wiederherstellung, wenn Sie entscheiden, welches Prüflistenobjekt für die einzelnen fernen Profile verwendet werden soll.
    Achtung: Wenn Sie den OS400-Algorithmus für Kennwortcodierung verwenden, muss sich der Java-Client nicht auf demselben System IBM i befinden wie das WAS-Profil, auf das der Client zugreift.

    Führen Sie die folgenden Schritte mit einem IBM i-Benutzerprofil mit der Sonderberechtigung *ALLOBJ aus, um ein Prüflistenobjekt zu erstellen:

    1. Melden Sie sich beim Server mit einem Benutzerprofil an, das die Sonderberechtigung *ALLOBJ hat.
    2. Verwenden Sie den Befehl CRTVLDL (Create Validation List), um das Prüflistenobjekt zu erstellen.
      Zum Erstellen des Prüflistenobjekts WSVLIST in der Bibliothek WSADMIN.LIB müssten Sie beispielsweise den folgenden Befehl eingeben:
      CRTVLDL VLDL(WSADMIN/WSVLIST)
    3. Erteilen Sie dem Benutzerprofil QEJB die Berechtigung *RWX für das Prüflistenobjekt. Wenn Sie beispielsweise dem Prüflistenobjekt WSVLIST in der Bibliothek WSADMIN die Berechtigung *RWX erteilen möchten, geben Sie den folgenden Befehl ein:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
  4. Verwenden Sie den Befehl CHGSYSVAL (Change System Value), um den Systemwert QRETSVRSEC auf 1 zu setzen. Beispiel:
    CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
  5. Für ein Serverprofil müssen Sie den Server starten oder neu starten und warten, bis der Server in Servicebereitschaft ist. Versuchen Sie erst dann, Kennwörter in Eigenschaftsdateien des Profils manuell zu codieren.

Ergebnisse

Sie haben den OS400-Algorithmus für Kennwortcodierung aktiviert.

Nächste Schritte

Nach Ausführung der oben beschriebenen Schritte und einem Neustart des Servers können Sie Kennwörter in Eigenschaftendateien manuell codieren. Nähere Informationen enthält der Artikel Kennwörter in Eigenschaftendateien manuell codieren.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enos400encode
Dateiname:tsec_enos400encode.html