Verbindungspunkt für angepasste Kennwortverschlüsselung aktivieren
Der Zugriffsschutz für Kennwörter wird mit zwei Eigenschaften gesteuert. Durch die Konfiguration dieser beiden Eigenschaften können Sie einen Verbindungspunkt für angepasste Kennwortverschlüsselung aktivieren.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Vorgehensweise
Nächste Schritte
Wenn eine Verschlüsselungsoperation einer eigenen Verschlüsselungsklasse aufgerufen wird und diese eine Laufzeitausnahme oder eine definierte Ausnahme vom Typ PasswordEncryptException generiert, verwendet die Laufzeitumgebung von WebSphere Application Server den Algorithmus {xor} für die Codierung des Kennworts. Durch die Codierung wird verhindert, dass das Kennwort im Klartext gespeichert wird. Nachdem das Problem mit der angepassten Klasse gelöst wurde, verschlüsselt die Klasse das Kennwort automatisch beim nächsten Speichern des Konfigurationsdokuments.
Wenn eine RunAs-Rolle eine Benutzer-ID und ein Kennwort zugeordnet sind, wird das Kennwort mit der Codierungsfunktion von von WebSphere Application Server codiert. Nachdem der angepasste Verbindungspunkt für die Verschlüsselung der Kennwörter konfiguriert wurde, verschlüsselt er auch die Kennwörter für die RunAs-Bindungen. Falls die implementierte Anwendung in eine Zelle mit anderen Chiffrierschlüsseln oder noch nicht aktivierter eigener Verschlüsselung verschoben, kommt es zu einem Anmeldefehler, weil das Kennwort nicht gelesen werden kann.
Eine der Zuständigkeiten der Implementierung der eigenen Kennwortverschlüsselung ist die Verwaltung der Chiffrierschlüssel. Diese Klasse muss alle von ihr verschlüsselten Kennwörter entschlüsseln. Kann ein Kennwort nicht entschlüsselt werden, wird es unbrauchbar und muss in der Konfiguration geändert werden. Es müssen alle für die Entschlüsselung dort vorhanden sein, und es dürfen keine Kennwörter mehr vorhanden sein, die diese Schlüssel verwenden. Der geheime Master-Secret-Wert muss in der angepassten Kennwortverschlüsselungsklasse gespeichert werden, um die Chiffrierschlüssel zu schützen.
Sie können den geheimen Master-Secret-Wert mit einer Stash-Datei für den Keystore oder einem Kennwort-Locator verwalten, mit dem die angepasste Verschlüsselungsklasse das Kennwort finden und sperren kann.