Kennwörter in Dateien codieren

Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und -eigenschaftendateien verhindert. Verwenden Sie das Dienstprogramm PropFilePasswordEncoder, um die in Eigenschaftendateien gespeicherten Kennwörter zu codieren. WebSphere Application Server stellt kein Dienstprogramm für die Decodierung von Kennwörtern bereit. Codierung ist für einen vollständigen Schutz der Kennwörter nicht ausreichend. Die native Sicherheit ist der primäre Mechanismus für den Schutz von Kennwörtern, die in den Konfigurations- und Eigenschaftendateien für WebSphere Application Server verwendet werden.

Informationen zu diesem Vorgang

WebSphere Application Server enthält mehrere codierte Kennwörter in Dateien, die nicht verschlüsselt sind. WebSphere Application Server stellt das Dienstprogramm PropFilePasswordEncoder bereit, mit dem Sie Kennwörter codieren können. Durch die Kennwortcodierung wird das beiläufige Erkennen von Kennwörtern in Serverkonfigurationsdateien und Eigenschaftendateien verhindert. Das Dienstprogramm PropFilePasswordEncoder codiert jedoch keine Kennwörter, die in XML- oder XMI-Dateien enthalten sind.
Wichtig: Das Dienstprogramm PropFilePasswordEncoder aktualisiert nur vorhandene Eigenschafts- und XML-Dateien. Werden nachfolgende Dateien hinzugefügt, z. B. nach der Installation einer neuen Anwendung, sollte diese Prozedur für die neuen Dateien wiederholt werden.
Tabelle 1. XML- und XMI-Dateien, die codierte Kennwörter enthalten. Stattdessen codiert WebSphere Application Server automatisch die Kennwörter in diesen Dateien. Zu den XML- und XMI-Dateien, die codierte Kennwörter enthalten, gehören die folgenden:
Dateiname Weitere Informationen Navigation
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis/config/cells/Zellenname/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Die folgenden Felder enthalten codierte Kennwörter:
  • LTPA-Kennwort
  • JAAS-Authentifizierungsdaten
  • Kennwort für Benutzerregistry-Server
  • BIND-Kennwort für LDAP-Benutzerregistry
  • Keystore-Kennwort
  • Truststore-Kennwort
  • [AIX Solaris HP-UX Linux Windows]Kennwort für Verschlüsselungstokeneinheit
[AIX Solaris HP-UX Linux Windows][z/OS]Sicherheit > Globale Sicherheit > Anwenden.
[IBM i]
Profilstammverzeichnis/config/cells/Zellenname
/security.xml
[IBM i]
Die folgenden Felder enthalten codierte Kennwörter:
  • LTPA-Kennwort
  • JAAS-Authentifizierungsdaten
  • Kennwort für Benutzerregistry-Server
  • BIND-Kennwort für LDAP-Benutzerregistry
  • Keystore-Kennwort
  • Truststore-Kennwort
  • Kennwort für Verschlüsselungstokeneinheit
[IBM i]Sicherheit > Globale Sicherheit > Anwenden.
war/WEB-INF/ibm_web_bnd.xml
Gibt Kennwörter für die Standardbasisauthentifizierung für die resource-ref-Bindungen in allen Deskriptoren mit Ausnahme von Java Cryptography Architecture an.  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Gibt Kennwörter für die Standardbasisauthentifizierung für die resource-ref-Bindungen in allen Deskriptoren mit Ausnahme von Java Cryptography Architecture an.  
client jar/META-INF/ibm-appclient_bnd.xml
Gibt Kennwörter für die Standardbasisauthentifizierung für die resource-ref-Bindungen in allen Deskriptoren mit Ausnahme von Java Cryptography Architecture an.  
ear/META-INF/ibm_application_bnd.xml
Gibt Kennwörter für die standardmäßige Basisauthentifizierung für die RunAs-Bindungen in allen Deskriptoren an.  
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis/config/cells/Zellenname
/nodes/Knotenname/servers/
Servername/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwort
  • Truststore-Kennwort
  • [AIX Solaris HP-UX Linux Windows]Kennwort für Verschlüsselungstokeneinheit
  • Kennwort für Sitzungspersistenz
  • Kennwort für Replikation der DRS-Clientdaten
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
Profilstammverzeichnis/config/cells/Zellenname
/nodes/Knotenname/servers/security.xml
[IBM i]
Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwort
  • Truststore-Kennwort
  • Kennwort für Verschlüsselungstokeneinheit
  • Kennwort für Sitzungspersistenz
  • Kennwort für Replikation der DRS-Clientdaten
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis/config/cells/Zellenname
/nodes/Knotenname/servers/
Servername/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Die folgenden Felder enthalten codierte Kennwörter:
  • Kennwort für WAS40Datasource
  • Kennwort für mailTransport
  • Kennwort für mailStore
  • Kennwort für MQQueue-Warteschlangenmanager
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
Profilstammverzeichnis/config/cells/Zellenname
/nodes/Knotenname/servers/server1/resources.xml 
[IBM i]
Die folgenden Felder enthalten codierte Kennwörter:
  • Kennwort für WAS40Datasource
  • Kennwort für mailTransport
  • Kennwort für mailStore
  • Kennwort für MQQueue-Warteschlangenmanager
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
Profilstammverzeichnis/config/cells/Zellenname/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]Server > Servertypen > WebSphere-Anwendungsserver > Servername > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung > Anwenden.
[IBM i]
Profilstammverzeichnis/config/cells/Zellenname
/ws-security.xml 
[IBM i]  [IBM i]Server > Servertypen > WebSphere-Anwendungsserver > Servername > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung > Anwenden.
ibm-webservices-bnd.xmi
Dies ist ein Implementierungsdeskriptor, der Teil der JAX-RPC-Provideranwendungen ist. Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
Anwendungen > Unternehmensanwendungen > Anwendungsname > Module verwalten > Modulname > Web-Services: Serversicherheitsbindung (unter "Eigenschaften von Web Services Security") > Angepasste Bindung bearbeiten.
ibm-webservicesclient-bnd.xmi
Dies ist ein Implementierungsdeskriptor, der Teil der JAX-RPC-Clientanwendungen ist. Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
  • Kennwörter des Benutzernamenstokens
Anwendungen > Unternehmensanwendungen > Anwendungsname > Module verwalten > Modulname > Web-Services: Clientsicherheitsbindung (unter "Eigenschaften von Web Services Security") > Angepasste Bindung bearbeiten.
Profilstammverzeichnis/config/cells/Zellenname/PolicyTyper/WSSecurity/bindings.xml
Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
  • Kennwörter des Benutzernamenstokens
Services > Richtliniensätze > Standardrichtliniensatzbindungen > Standardrichtliniensatzbindungen der Version 6.1 > WS-Security > Angepasste Eigenschaften > Anwenden.
Profilstammverzeichnis/config/cells/Zellenname/nodes/node_name/servers/server_name/server.xml
Die folgenden Felder enthalten codierte Kennwörter:
  • Kennwort des Datenbankadministrators
Servers > Servertypen > WebSphere-Anwendungsserver > Servername > Sitzungsverwaltung > Verteilte Umgebung > Datenbank > OK.
Anmerkung: Wenn Sie eine Datenbank auswählen, wählen Sie "Ohne" (none) aus.
Profilstammverzeichnis/config/cells/Zellenname/applications/(appName/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml ist eine WS-Security-Richtlinienbindungsdatei für JAX-WS. Wenn sie sich im Pfad Zellenname/applications befindet, ist sie Teil einer anwendungsspezifischen Bindung.

Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
  • Kennwörter des Benutzernamenstokens
Services > Service-Provider oder > Service-Clients > Ressourcenname > Bindungsname > WS-Security > Angepasste Eigenschaften > Anwenden.
Profilstammverzeichnis/config/cells/Zellenname/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
  • Kennwörter des Benutzernamenstokens
Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen > Bindungsname > WS-Security > Angepasste Eigenschaften > Anwenden.
Profilstammverzeichnis/config/cells/Zellenname/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
Die folgenden Felder enthalten codierte Kennwörter:
  • Keystore-Kennwörter
  • Schlüsselkennwörter
  • Kennwörter des Benutzernamenstokens
Services > Trust-Service >Trust-Service-Zuordnung > bindingName > WS-Security > Angepasste Eigenschaften > Anwenden.
Tabelle 2. Dienstprogramm PropFilePasswordEncoder - Unvollständige Dateiliste. Sie verwenden das Dienstprogramm PropFilePasswordEncoder, um die Kennwörter in Eigenschaftendateien zu codieren. Zu diesen Dateien gehören:
Dateiname Weitere Informationen
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
Enthält die Kennwörter für die folgenden Dateien:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
Profilstammverzeichnis/properties/sas.client.props 
[IBM i]
Enthält die Kennwörter für die folgenden Dateien:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Enthält die Kennwörter für:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
Profilstammverzeichnis/properties/sas.tools.properties 
[IBM i]
Enthält die Kennwörter für:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Enthält die Kennwörter für:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
Profilstammverzeichnis/properties/sas.stdclient.properties
[IBM i]
Enthält die Kennwörter für:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
Profilstammverzeichnis
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
Profilstammverzeichnis/properties/wsserver.key 
[IBM i] 
Profilstammverzeichnis/profiles/AppSrvXX/properties/sib.client.ssl.properties
Enthält die Kennwörter für:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
Profilstammverzeichnis/UDDIReg/scripts/UDDIUtilityTools.properties
Enthält die Kennwörter für:
  • trustStore.password
Profilstammverzeichnis/config/cells/Zellenname/sts/SAMLIssuerConfig.properties
Die folgenden Felder enthalten codierte Kennwörter:
  • KeystorePassword
  • KeyPasswords
  • TrustStorePassword
Für eine Neucodierung eines Kennworts in einer der vorgenannten Dateien müssen Sie die folgenden Schritte ausführen:

Vorgehensweise

  1. Öffnen Sie die Datei mit einem Texteditor und überschreiben Sie das codierte Kennwort. Das neue Kennwort ist nicht mehr codiert und muss erneut codiert werden.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Verwenden Sie die Datei PropFilePasswordEncoder.bat bzw. PropFilePasswordEncode.sh im Verzeichnis Profilstammverzeichnis/bin, um das Kennwort erneut zu codieren.

    [AIX Solaris HP-UX Linux Windows]Wenn Sie Dateien codieren möchten, die keine SAS-Eigenschaftendateien sind, geben Sie PropFilePasswordEncoder "Dateiname" Liste_der_Kennworteigenschaften ein.

    [z/OS]Wenn Sie Dateien codieren möchten, die keine z/SAS-Eigenschaftendateien sind, geben Sie PropFilePasswordEncoder "Dateiname" Liste_der_Kennworteigenschaften ein.

    Wichtig: Wenn Sie das Dienstprogramm PropFilePasswordEncoder verwenden, werden Sie über eine Eingabeaufforderung gefragt, ob eine Sicherungsversion der ursprünglichen Datei erforderlich ist. Wenn eine Sicherungsversion erforderlich ist, wird eine Sicherungsdatei mit der Dateierweiterung ".bak" erstellt, die das Kennwort in Klartext enthält. Überprüfen Sie die Ergebnisse und löschen Sie anschließend diese Sicherungsdatei. Sie enthält das unverschlüsselte Kennwort. Wenn Sie diese Anfrage des Systems nicht anzeigen möchten, bearbeiten Sie das Dienstprogramm PropFilePasswordEncoder. Fügen Sie die folgende Java-Systemeigenschaft als Parameter hinzu: -Dcom.ibm.websphere.security.util.createBackup=true oder -Dcom.ibm.websphere.security.util.createBackup=false.

    Der Wert true für die Java™-Systemeigenschaft bewirkt, dass eine Sicherungsdatei erstellt wird. Der Wert false bewirkt, dass die Sicherungsdatei inaktiviert wird.

    Für diese Angaben gilt Folgendes:

    "Dateiname" steht für den Namen der z/SAS-Eigenschaftendatei und Liste_der_Kennworteigenschaften für die Namen der Eigenschaften, die in der Datei codiert werden sollen.
    Anmerkung: Mit dem Tool PropFilePasswordEncoder darf nur das Kennwort in dieser Datei codiert werden.

    Verwenden Sie das Dienstprogramm PropFilePasswordEncoder nur, um Kennwortdateien von WebSphere Application Server zu codieren. Das Dienstprogramm kann keine Kennwörter codieren, die in XML-Dateien oder anderen Dateien enthalten sind, die Anfangs- und Ende-Tags enthalten. Verwenden Sie die Administrationskonsole oder ein Assembliertool wie Rational Application Developer, um Kennwörter in diesen Dateien zu ändern.

  3. [IBM i]Verwenden Sie das Script PropFilePasswordEncode im Verzeichnis Profilstammverzeichnis/bin/, um das Kennwort erneut zu codieren.

    Wenn Sie Dateien codieren möchten, die keine SAS-Eigenschaftendateien sind, geben Sie PropFilePasswordEncoder "Dateiname" Liste_der_Kennworteigenschaften ein.

    "Dateiname" steht für den Namen der SAS-Eigenschaftendatei und Liste_der_Kennworteigenschaften für die Namen der Eigenschaften, die in der Datei codiert werden sollen.
    Anmerkung: Mit dem Tool PropFilePasswordEncoder darf nur das Kennwort in dieser Datei codiert werden.

    Verwenden Sie das Tool PropFilePasswordEncoder nur, um Kennwortdateien von WebSphere Application Server zu codieren. Das Dienstprogramm kann keine Kennwörter codieren, die in XML-Dateien oder anderen Dateien enthalten sind, die Anfangs- und Ende-Tags enthalten. Verwenden Sie die Administrationskonsole oder ein Assembliertool wie Rational Application Developer, um Kennwörter in diesen Dateien zu ändern.

Ergebnisse

Wenn die die betroffenen Dateien erneut öffnen, sind die Kennwörter codiert. WebSphere Application Server stellt kein Dienstprogramm für die Decodierung von Kennwörtern bereit.
[z/OS]Das Zurückgreifen auf Kennwörter in Konfigurationsdateien kann in WebSphere Application Server for z/OS auf ein Minimum reduziert werden. Nutzen Sie dazu folgende z/OS-spezifische Features:
  • Verwenden Sie eine SAF-Registry (System Authorization Facility), um die Anforderung für ein Kennwort für den Benutzerregistry-Server zu entfernen.
  • Wählen Sie SAF-Berechtigung und -Delegierung aus, damit die Kennwörter für die Bindung von Rollen an Benutzer entfernt werden.
  • Verwenden Sie einen RACF-Schlüsselring für alle SSL-Repertoires. Trust- und Schlüsseldateikennwörter sind nicht mehr erforderlich.
  • Verwenden Sie native Connector und konfigurieren Sie die Option "sync-to-thread", damit keine JAAS-Authentifizierungsdaten mehr erforderlich sind.

Beispiel

Das folgende Beispiel zeigt, wie Sie das Tool PropFilePasswordEncoder verwenden:
PropFilePasswordEncoder C:\WASV8\WebSphere\AppServer\profiles\AppSrv\properties
\sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

Für diese Angaben gilt Folgendes:

PropFilePasswordEncoder ist der Name des Dienstprogramms, das Sie über das Verzeichnis "Profilstammverzeichnis/profiles/Profilname/bin" ausführen.

C:\WASV6\WebSphere\AppServer\profiles\AppSrv\properties\sas.client.props ist der Name der Datei, die die zu codierenden Kennwörter enthält.

com.ibm.ssl.keyStorePassword ist ein zu codierendes Kennwort in der Datei.

com.ibm.ssl.trustStorePassword ist ein zweites zu codierendes Kennwort in der Datei.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
Dateiname:tsec_protplaintxt.html