[IBM i]

Kennwortcodierung und -verschlüsselung

Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und Eigenschaftendateien verhindert.

Standardmäßig werden Kennwörter in verschiedenen ASCII-Konfigurationsdateien von WebSphere Application Server automatisch mit einem einfachen Maskierungsalgorithmus codiert. Sie können Kennwörter in Eigenschaftendateien, die von Java™-Clients und von Verwaltungsbefehlen für WebSphere Application Server verwendet werden, zusätzlich manuell codieren.

Der Standardcodierungsalgorithmus wird als XOR bezeichnet. In WebSphere Application Server for IBM® i kann ein alternativer OS400-Codierungsalgorithmus verwendet werden, der nur native Prüflistenobjekte (*VLDL) nutzt. Beim OS400-Algorithmus werden Kennwörter in verschlüsselter Form in einer Prüfliste gespeichert. Die Konfigurationsdateien enthalten statt der (mit dem Algorithmus XOR maskierten Kennwörter) Indizes zum Speichern von Kennwörtern.

Für codierte Kennwörter gilt die folgende Syntax:
{algorithm}encoded_password
Hier ist {algorithm} ein Tag, das den für die Codierung des Kennworts verwendeten Algorithmus (XOR oder OS400) angibt. Die Variable codiertes_Kennwort steht für den codierten Wert des Kennworts. Wenn ein Server oder Client ein Kennwort decodieren muss, verwendet er das Tag zur Bestimmung des erforderlichen Algorithmus und decodiert dann mit diesem das codierte Kennwort.

Java-Clients verwenden Kennwörter aus der Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties.

Wenn Sie die Kennwortcodierung für Java-Clients verwenden möchten, müssen Sie Kennwörter in der Datei sas.client.props manuell mit dem Tool PropFilePasswordEncoder codieren.

Die Verwaltungsbefehle für WebSphere Application Server verwenden für SOAP-Verbindungen Kennwörter aus der Datei soap.client.props, die sich im Verzeichnis Profilstammverzeichnis/properties befindet. Einige Verwaltungsbefehle verwenden für RMI-Verbindungen (Remote Method Invocation) optional Kennwörter aus der Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties. Wenn Sie die Kennwortcodierung für Verwaltungsbefehle verwenden möchten, müssen Sie die Kennwörter in den Dateien soap.client.props und sas.client.props manuell mit dem Tool PropFilePasswordEncoder codieren.

Achtung: Ganz gleich, ob Sie sich für den OS400-Codierungsalgorithmus oder den Standardcodierungsalgorithmus entscheiden, die Codierung bietet keinen vollständigen Schutz für Kennwörter. Die umgebungsspezifische Sicherheit ist der primäre Mechanismus für den Schutz von Kennwörtern, die in den Konfigurations- und Eigenschaftendateien für WebSphere Application Server verwendet werden.

Hinweise zur Verwendung des OS400-Algorithmus für Kennwortcodierung

Bevor Sie sich für die Verwendung des OS400-Algorithmus für Kennwortcodierung entscheiden, beachten Sie die folgenden wichtigen Hinweise:
  • Für eine Verwendung auf einem System, das die Java-Clientanwendung oder WebSphere Application Server bereitstellt, müssen Sie den Betriebssystemwert QRETSVRSEC auf 1 setzen. Wenn diese Einstellung definiert ist, kann WebSphere Application Server die verschlüsselten Kennwörter aus der Prüfliste abrufen.
    Achtung: Der Systemwert QRETSVRSEC beeinflusst den Zugriff auf die verschlüsselten Daten in allen Prüflisten des Betriebssystems. Verwenden Sie nicht den OS400-Algorithmus für Kennwortcodierung, wenn diese Einstellung nicht mit der Sicherheitsrichtlinie des Betriebssystems konsistent ist.
  • Den OS400-Algorithmus können Sie nur mit Serverinstanzen verwenden, wenn alle diese Instanzen innerhalb der Verwaltungsdomäne von WebSphere Application Server sich auf demselben IBM i-System befinden. Prüfen Sie auch die folgenden zugehörigen Punkte:
    • Verwaltungsdomänen von WebSphere Application Server können sich über mehrere IBM i-Systeme erstrecken. Sie können den OS400-Kennwortalgorithmus nur verwenden, wenn alle Server der Verwaltungsdomäne sich auf demselben IBM i-System befinden.
    • Serverkonfigurationsdateien (XML-Dateien) enthalten codierte Kennwörter. Sind diese Kennwörter mit dem OS400-Algorithmus codiert, sind die Codierungen nur für die Application-Server-Profile auf dem IBM i-System gültig, auf dem die Kennwörtern ursprünglich codiert wurden. Kopien der Konfigurationsdateien, die mit dem OS400-Algorithmus codierte Kennwörter enthalten, können nicht zum Konfigurieren von Servern auf anderen IBM i-Systemen genutzt werden.
    • Alle Serverinstanzen innerhalb der Verwaltungsdomäne müssen mit demselben *VLDL-Objekt (native Prüfliste) konfiguriert werden.
  • Für Java-Clients können Sie den OS400-Kennwortalgorithmus auf jedem IBM i-System verwenden. Auf dem System mit dem Java-Client muss jedoch Option 1 installiert sein.
  • Falls ein Fehler auftritt, wenn ein Kennwort mit dem OS400-Algorithmus codiert ist, kann der XOR-Algorithmus zum Codieren des Kennworts genutzt werden. Ein Fehler könnte auftreten, wenn ein Administrator das Prüflistenobjekt manuell erstellt und diesem Objekt unzureichende Berechtigungen für das IBM i-QEJB-Benutzerprofil einräumt.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_pwdencode
Dateiname:csec_pwdencode.html