![[IBM i]](../images/iseries.gif)
Codificación y cifrado de contraseñas
La codificación de contraseñas impide la observación casual de las contraseñas de los archivos de configuración y de propiedades.
De forma predeterminada, las contraseñas se codifican automáticamente con un algoritmo de máscara sencillo en varios archivos de configuración ASCII WebSphere Application Server. Adicionalmente, puede codificar las contraseñas manualmente en archivos de propiedades que utilizan los clientes Java™ y los mandatos administrativos de WebSphere Application Server.
El algoritmo de codificación por omisión se denomina XOR. Se puede utilizar un algoritmo de codificación OS400 alternativo con WebSphere Application Server para IBM® i que sólo aprovecha objetos de lista de validación (*VLDL) nativos. Con el algoritmo OS400, las contraseñas se almacenan en formato cifrado en la lista de validación. Los archivos de configuración contienen índices con las contraseñas almacenadas en lugar de contraseñas con máscara como en el caso del algoritmo XOR.
{algoritmo}contraseña_codificada
donde {algoritmo} es un distintivo que especifica el
algoritmo que se utiliza para codificar la contraseña, que es XOR o OS400. La
variable contraseña_codificada es el valor
codificado de la contraseña. Cuando un servidor o cliente necesita
codificar una contraseña, utiliza el distintivo para determina el
algoritmo que se va a utilizar y, a continuación, utiliza ese algoritmo
para decodificar la contraseña codificada.Los clientes Java utilizan contraseñas del archivo sas.client.props, que se encuentra en el directorio raíz_perfil/properties.
Para utilizar la codificación de contraseñas con los clientes Java, las contraseñas deben codificarse manualmente en el archivo sas.client.props mediante la herramientas PropFilePasswordEncoder.
Los mandatos administrativos de WebSphere Application Server utilizan contraseñas del archivo soap.client.props, que también se encuentra en el directorio raíz_perfil/properties para las conexiones SOAP. Algunos mandatos administrativos utilizan opcionalmente las contraseñas del archivo sas.client.props del directorio raíz_perfil/properties para las conexiones RMI (Remote Method Invocation). Para utilizar la codificación de contraseñas con los mandatos administrativos, debe codificar manualmente las contraseñas en los archivos soap.client.props y sas.client.props utilizando la herramienta PropFilePasswordEncoder.
Consideraciones al utilizar el algoritmo de codificación de contraseñas OS400
- Debe establecer el valor de sistema operativo QRETSVRSEC en
1 para utilizarlo en el sistema que alberga la
aplicación cliente Java o WebSphere Application Server. Con este valor, WebSphere Application Server puede recuperar las contraseñas cifradas de la lista de validación. Atención: El valor de sistema QRETSVRSEC afecta al acceso a los datos cifrados de todas las listas de validación el sistemas operativo. No utilice el algoritmo de codificación de contraseñas OS400 si este valor no es coherente con la política de seguridad de su sistema operativo.
- Puede utilizar el algoritmo OS400 con instancias de servidor sólo
cuando todas las instancias de servidor del dominio administrativo para
WebSphere
Application Server residen en el mismo sistema
IBMi. Tenga en
cuenta las siguientes consideraciones:
- Los dominios administrativos para WebSphere Application Server se pueden extender en varios sistemas IBM i. Sólo puede utilizar el algoritmo de contraseña OS400 cuando todos los servidores del dominio administrativo residen en el mismo sistema IBM i.
- Los archivos XML de configuración de servidor contienen contraseñas codificadas. Si las contraseñas contenidas en los archivos XML se codifican utilizando el algoritmo de codificación OS400, esas codificaciones sólo son válidas para los perfiles de Application Server en el mismo sistema IBM i donde se han codificado originalmente las contraseñas. No se pueden utilizar copias de archivos de configuración que contienen contraseñas codificadas mediante el algoritmo de codificación OS400 para configurar servidores de otros sistemas IBM i.
- Todas las instancias de un dominio administrativo deben configurarse para utilizar el mismo objeto de lista de validación (*VLDL) nativo.
- Para los clientes Java, puede utilizar el algoritmo de contraseña OS400 en cualquier sistema IBM i. No obstante, la opción 1 debe instalarse en el sistema que alberga al cliente Java.
- Si se genera un error durante la codificación de una contraseña utilizando el algoritmo de codificación OS400, el algoritmo de codificación XOR se utiliza para codificar la contraseña. Es posible que se produzca un error si un administrador crea el objeto de lista de validación manualmente y no otorga a dicho objeto suficiente autorización para el perfil de usuario QEJB de IBM i.