Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und
Eigenschaftendateien verhindert.
Vorbereitende Schritte
Stellen Sie sicher, dass sich alle Serverprofile in der Administrationskonsole
auf demselben System IBM® i befinden.
Informationen zu diesem Vorgang
Standardmäßig werden Kennwörter in verschiedenen ASCII-Konfigurationsdateien von WebSphere Application Server
automatisch mit einem einfachen Maskierungsalgorithmus codiert. Sie können Kennwörter in Eigenschaftendateien,
die von Java-Clients und von Verwaltungsbefehlen für
WebSphere Application Server verwendet werden, zusätzlich manuell codieren.
Eine Beschreibung des OS400-Codierungsalgorithmus finden Sie im Artikel Kennwortcodierung und -verschlüsselung.
Führen Sie die folgenden Schritte aus,
um den OS400-Algorithmus für Kennwortcodierung für ein WAS-Profil zu aktivieren:
Vorgehensweise
- Setzen Sie die Eigenschaften "os400.security.password", um den OS400-Algorithmus für Kennwortcodierung zu aktivieren und das zu verwendende
Prüflistenobjekt anzugeben.
Verwenden Sie für alle Profile von WebSphere Application Server dasselbe Prüflistenobjekt. Dies ist jedoch nur zu empfehlen, wenn Sie die Objekt- und Datensicherung für alle Profile
gleichzeitig durchführen. Berücksichtigen Sie Ihre Richtlinie für Sicherung und Wiederherstellung,
wenn Sie entscheiden, welches Prüflistenobjekt für die einzelnen
WAS-Profile verwendet werden soll.
Führen Sie einen der folgenden Schritte aus, um die Eigenschaften festzulegen:
- Verwenden Sie die Optionen -os400passwords und -validationlist für das Dienstprogramm
"manageprofiles -create" im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, um
beim Erstellen des Profils die Eigenschaften zu definieren. Wenn Sie für ein WAS-Profil "prod" den
OS400-Codierungsalgorithmus mit dem Prüflistenobjekt /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL aktivieren möchten,
müssen Sie
wie folgt vorgehen:
- Führen Sie den Befehl "Start Qshell (STRQSH)" in der Befehlszeile von IBM i aus.
- Führen Sie in der Qshell den folgenden Befehl aus:
Profilstammverzeichnis/bin/manageprofiles -create -profileName prod -startingPort 10150
-templatePath default -os400passwords
-validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL
Der obige Befehl wurde nur zur besseren Lesbarkeit auf mehrere Zeilen verteilt.
- Definieren Sie die Java-Systemeigenschaften im Qshell-Script setupCmdLine
des Profils von WebSphere Application Server. Bearbeiten Sie wie folgt das Script
Profilstammverzeichnis/bin/setupCmdLine, um den OS400-Algorithmus für Kennwortcodierung
zu aktivieren:
- Setzen Sie die Eigenschaft "os400.security.password.encoding.algorithm" auf OS400.
Die Standardeinstellung ist XOR.
- Setzen Sie die Eigenschaft "os400.security.password.validation.list.object" auf den absoluten Namen der zu verwendenden
Prüfliste. Die Standardeinstellung ist
/QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
- Speichern Sie die Datei.
- Erteilen Sie dem Benutzerprofil QEJB die Ausführungsberechtigung (*X) für die Bibliothek, die die Prüfliste enthält. Falls QEJB bereits die für den Zugriff auf die Bibliothek erforderliche Mindestberechtigung
(*X) hat, fahren Sie mit dem nächsten Schritt fort.
- Überprüfen Sie mit DSPAUT (Display Authority) die erforderliche Mindestberechtigung, falls die Prüfliste in der Datei
/QSYS.LIB/WSADMIN.LIB erstellt wurde.
Beispiel:
DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
- Erteilen Sie dem Profil QEJB mit dem Befehl CHGAUT (Change Authority) die Ausführungsberechtigung. Dies gilt jedoch nur, wenn das Profil diese Berechtigung noch nicht hat.
Beispiel:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
- Erstellen Sie ein natives Prüflistenobjekt (*VLDL). Dieser Schritt ist für Serverprofile optional. Das Prüflistenobjekt wird erstellt, wenn der Server gestartet wird. Erstellen Sie für ferne Profile die Prüfliste, falls auf dem System mit dem fernen Profil noch keine
Prüfliste vorhanden ist. Berücksichtigen Sie Ihre Richtlinie für Sicherung und Wiederherstellung, wenn Sie entscheiden, welches Prüflistenobjekt für die einzelnen
fernen Profile verwendet werden soll.
Achtung: Wenn Sie den
OS400-Algorithmus für Kennwortcodierung verwenden, muss sich der Java-Client nicht auf demselben
System IBM i befinden wie das WAS-Profil,
auf das der Client zugreift.
Führen Sie die folgenden Schritte mit
einem IBM i-Benutzerprofil mit der Sonderberechtigung *ALLOBJ aus, um ein Prüflistenobjekt zu erstellen:
- Melden Sie sich beim Server mit einem Benutzerprofil an, das die Sonderberechtigung *ALLOBJ
hat.
- Verwenden Sie den Befehl CRTVLDL (Create Validation List), um das Prüflistenobjekt zu erstellen.
Zum Erstellen des Prüflistenobjekts WSVLIST in der Bibliothek
WSADMIN.LIB müssten Sie beispielsweise den folgenden Befehl eingeben:
CRTVLDL VLDL(WSADMIN/WSVLIST)
- Erteilen Sie dem Benutzerprofil QEJB die Berechtigung *RWX für das Prüflistenobjekt. Wenn Sie beispielsweise dem Prüflistenobjekt WSVLIST
in der Bibliothek WSADMIN die Berechtigung *RWX erteilen möchten, geben Sie den folgenden Befehl ein:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
- Verwenden Sie den Befehl CHGSYSVAL (Change System Value), um den
Systemwert QRETSVRSEC auf 1 zu setzen. Beispiel:
CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
- Für ein Serverprofil müssen Sie den Server starten oder neu starten und warten, bis der Server in Servicebereitschaft ist. Versuchen Sie erst dann, Kennwörter in
Eigenschaftsdateien des Profils manuell zu codieren.
Ergebnisse
Sie haben den OS400-Algorithmus für Kennwortcodierung aktiviert.
Nächste Schritte
Nach Ausführung der oben beschriebenen Schritte und einem Neustart des Servers können Sie Kennwörter in
Eigenschaftendateien manuell codieren. Nähere Informationen enthält der Artikel
Kennwörter in Eigenschaftendateien manuell codieren.