Cifrado de contraseñas en archivos

El objetivo del cifrado de contraseñas es impedir la observación fortuita de contraseñas en los archivos de propiedades y configuración del servidor. Utilice el programa de utilidad PropFilePasswordEncoder para cifrar las contraseñas en los archivos de propiedades. WebSphere Application Server no facilita un programa de utilidad para decodificar las contraseñas. La codificación no es suficiente para proteger las contraseñas por completo. La seguridad nativa es el mecanismo principal para la protección de contraseñas que se utiliza en los archivos de configuración y propiedades de WebSphere Application Server.

Acerca de esta tarea

WebSphere Application Server contiene varias contraseñas codificadas en archivos que no están cifrados. WebSphere Application Server proporciona el programa de utilidad PropFilePasswordEncoder, que se puede utilizar para codificar contraseñas. El objetivo del cifrado de contraseñas es impedir la observación fortuita de contraseñas en los archivos de propiedades y configuración del servidor. El programa de utilidad PropFilePasswordEncoder no codifica las contraseñas contenidas en los archivo XML o XMI.
Importante: El programa de utilidad PropFilePasswordEncoder solo actualiza archivos XML y de propiedades existentes. Si posteriormente se añaden archivos, como puede suceder después de instalar una aplicación nueva, este procedimiento debería volver a ejecutarse para dichos nuevos archivos.
Tabla 1. Archivos XML y XMI que contienen contraseñas cifradas. En su lugar, WebSphere Application Server codifica automáticamente las contraseñas en estos archivos. Los archivos XML y XMI que contienen contraseñas cifradas son los siguientes:
Nombre de archivo Información adicional Navegación
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil/config/cells/nombre_célula/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña LTPA
  • Datos de autenticación de JAAS
  • Contraseña de servidor del registro de usuario
  • Contraseña de enlace de registro de usuarios LDAP
  • Contraseña de almacén de claves
  • Contraseña de almacén de confianza
  • [AIX Solaris HP-UX Linux Windows]Contraseña de dispositivo de símbolos criptográficos
[AIX Solaris HP-UX Linux Windows][z/OS]seguridad > Seguridad global > Aplicar.
[IBM i]
raíz_perfil/config/cells/nombre_célula
/security.xml
[IBM i]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña LTPA
  • Datos de autenticación de JAAS
  • Contraseña de servidor del registro de usuario
  • Contraseña de enlace de registro de usuarios LDAP
  • Contraseña de almacén de claves
  • Contraseña de almacén de confianza
  • Contraseña de dispositivo de símbolos criptográficos
[IBM i]seguridad > Seguridad global > Aplicar.
war/WEB-INF/ibm_web_bnd.xml
Especifica las contraseñas para la autenticación básica por omisión de los enlaces resource-ref contenidos en todos los descriptores, excepto en JCA (Java™ Cryptography Architecture)  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Especifica las contraseñas para la autenticación básica por omisión de los enlaces resource-ref contenidos en todos los descriptores, excepto en JCA (Java Cryptography Architecture)  
client jar/META-INF/ibm-appclient_bnd.xml
Especifica las contraseñas para la autenticación básica por omisión de los enlaces resource-ref contenidos en todos los descriptores, excepto en JCA (Java Cryptography Architecture)  
ear/META-INF/ibm_application_bnd.xml
Especifica las contraseñas para la autenticación básica predeterminada para la ejecución como enlaces dentro de todos los descriptores  
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil/config/cells/nombre_célula
/nodes/nombre_nodo/servers/
nombre_servidor/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña de almacén de claves
  • Contraseña de almacén de confianza
  • [AIX Solaris HP-UX Linux Windows]Contraseña de dispositivo de símbolos criptográficos
  • Contraseña de persistencia de sesión
  • Contraseña de duplicación de datos de cliente DRS
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
raíz_perfil/config/cells/nombre_célula
/nodes/nombre_nodo/servers/security.xml
[IBM i]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña de almacén de claves
  • Contraseña de almacén de confianza
  • Contraseña de dispositivo de símbolos criptográficos
  • Contraseña de persistencia de sesión
  • Contraseña de duplicación de datos de cliente DRS
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil/config/cells/nombre_célula
/nodes/nombre_nodo/servers/
nombre_servidor/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña WAS40Datasource
  • Contraseña mailTransport
  • Contraseña mailStore
  • Contraseña de Queue Manager MQQueue
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
raíz_perfil/config/cells/nombre_célula
/nodes/nombre_nodo/servers/server1/resources.xml 
[IBM i]
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña WAS40Datasource
  • Contraseña mailTransport
  • Contraseña mailStore
  • Contraseña de Queue Manager MQQueue
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
raíz_perfil/config/cells/nombre_célula/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]servidores >tipos de servidores > servidores de aplicaciones websphere > nombre_servidor >Tiempo de ejecución de seguridad JAX-WS y JAX-RPC > Aplicar.
[IBM i]
raíz_perfil/config/cells/nombre_célula
/ws-security.xml 
[IBM i]  [IBM i]servidores >tipos de servidores > servidores de aplicaciones websphere > nombre_servidor >Tiempo de ejecución de seguridad JAX-WS y JAX-RPC > Aplicar.
ibm-webservices-bnd.xmi
Este es un descriptor de despliegue incluido con las aplicaciones del proveedor JAX-RPC. Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
Aplicaciones > Aplicaciones empresariales > nombre_aplicación > Gestionar módulos > nombre_módulo > Servicios web: enlaces del seguridad de servidor (bajo Propiedades de Web Services Security) > Editar personalizado.
ibm-webservicesclient-bnd.xmi
Este es un descriptor de despliegue incluido con las aplicaciones del cliente JAX-RPC. Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
  • Contraseñas de Señal de nombre de usuario
Aplicaciones > Aplicaciones empresariales > nombre_aplicación > Gestionar módulos > nombre_módulo > Servicios web: enlaces del seguridad de cliente (bajo Propiedades de Web Services Security) > Editar personalizado.
raíz_perfil/config/cells/nombre_célula/PolicyTyper/WSSecurity/bindings.xml
Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
  • Contraseñas de Señal de nombre de usuario
Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas predeterminados > Enlaces de conjunto de políticas predeterminados Versión 6.1 > WS-Security > Propiedades personalizadas > Aplicar.
raíz_perfil/config/cells/nombre_célula/nodes/node_name/servers/server_name/server.xml
Los campos siguientes contienen contraseñas codificadas:
  • Contraseña de administrador de base de datos
servidores > tipos de servidores > servidores de aplicaciones websphere > nombre_servidor > gestión de sesiones > entorno distribuido > base de datos > Aceptar.
Nota: Si no utiliza una base de datos, seleccione: ninguno.
raíz_perfil/config/cells/nombre_célula/applications/(appName/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml es un archivo de enlaces de políticas WS-Security de JAX-WS. Cuando se encuentra en la vía de acceso de nombre_célula/aplications, forma parte de un enlace específico de la aplicación.

Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
  • Contraseñas de Señal de nombre de usuario
Servicios > proveedores de servicio o > clientes de servicio > nombre_recurso > nombre_enlace > WS-Security > Propiedades personalizadas > Aplicar.
raíz_perfil/config/cells/nombre_célula/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
  • Contraseñas de Señal de nombre de usuario
Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas del proveedor general > nombre_enlace > WS-Security > Propiedades personalizadas > Aplicar.
raíz_perfil/config/cells/nombre_célula/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
Los campos siguientes contienen contraseñas codificadas:
  • Contraseñas del almacén de claves
  • Contraseñas clave
  • Contraseñas de Señal de nombre de usuario
Servicios > Servicio de confianza >Conexiones de servicio de confianza > bindingName > WS-Security > Propiedades personalizadas > Aplicar.
Tabla 2. El programa de utilidad PropFilePasswordEncoder - Lista de archivos parcial. Utilice el programa de utilidad PropFilePasswordEncoder para cifrar las contraseñas en los archivos de propiedades. Estos archivos son:
Nombre de archivo Información adicional
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica las contraseñas para los archivos siguientes:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
raíz_perfil/properties/sas.client.props 
[IBM i]
Especifica las contraseñas para los archivos siguientes:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica las contraseñas de:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
raíz_perfil/properties/sas.tools.properties 
[IBM i]
Especifica las contraseñas de:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica las contraseñas de:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
raíz_perfil/properties/sas.stdclient.properties
[IBM i]
Especifica las contraseñas de:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
raíz_perfil
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
raíz_perfil/properties/wsserver.key
[IBM i] 
raíz_perfil/profiles/AppSrvXX/properties/sib.client.ssl.properties
Especifica las contraseñas de:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
raíz_perfil/UDDIReg/scripts/UDDIUtilityTools.properties
Especifica las contraseñas de:
  • trustStore.password
raíz_perfil/config/cells/nombre_célula/sts/SAMLIssuerConfig.properties
Los campos siguientes contienen contraseñas codificadas:
  • KeystorePassword
  • KeyPasswords
  • Contraseña de almacén de confianza
Para volver a codificar una contraseña en uno de los archivos anteriores, complete los pasos siguientes:

Procedimiento

  1. Acceda al archivo utilizando un editor de texto y sobrescriba la contraseña cifrada. La nueva contraseña que se muestra ya no está codificada y debe volver a cifrarse.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Utilice el archivo PropFilePasswordEncoder.bat o PropFilePasswordEncode.sh del directorio raíz_perfil/bin para volver a codificar la contraseña.

    [AIX Solaris HP-UX Linux Windows]Si está cifrando archivos que no son archivos de propiedades SAS, escriba PropFilePasswordEncoder "nombre_archivo" lista_propiedades_contraseña

    [z/OS]Si está cifrando archivos que no son archivos de propiedades z/SAS, escriba PropFilePasswordEncoder "nombre_archivo" lista_propiedades_contraseña

    Importante: Al utilizar el programa de utilidad PropFilePasswordEncoder, aparece un indicador con la pregunta de si es necesaria una versión de copia de seguridad del archivo original. Si es necesaria una versión de copia de seguridad, se crea un archivo de copia de seguridad (.bak) con la contraseña de texto no cifrado. Examine los resultados y, a continuación, suprima el archivo de copia de seguridad. Contiene la contraseña no cifrada. Si no desea ver este indicador, edite el programa de utilidad PropFilePasswordEncoder y añada la siguiente propiedad del sistema Java como parámetro: -Dcom.ibm.websphere.security.util.createBackup=true o -Dcom.ibm.websphere.security.util.createBackup=false

    Un valor true para la propiedad del sistema Java crea un archivo de copia de seguridad y un valor false inhabilita el archivo de copia de seguridad.

    donde:

    "nombre_archivo" es el nombre del archivo de propiedades z/SAS y lista_propiedades_contraseña es el nombre de las propiedades que se van a cifrar en el archivo.
    Nota: Sólo debe codificar la contraseña en este archivo con la herramienta PropFilePasswordEncoder.

    Utilice el programa de utilidad PropFilePasswordEncoder para codificar sólo los archivos de contraseña de WebSphere Application Server. El programa de utilidad no puede codificar contraseñas que aparezcan en los archivos XML u otros archivos que contengan distintivos abiertos o cerrados. Para cambiar las contraseñas en estos archivos, utilice la consola administrativa o una herramienta de ensamblaje, como Rational Application Developer.

  3. [IBM i]Utilice el script PropFilePasswordEncode del directorio raíz_perfil/bin/ para volver a cifrar la contraseña.

    Si está cifrando archivos que no son archivos de propiedades SAS, escriba PropFilePasswordEncoder "nombre_archivo" lista_propiedades_contraseña

    "nombre_archivo" es el nombre del archivo de propiedades SAS y lista_propiedades_contraseña es el nombre de las propiedades que se van a cifrar en el archivo.
    Nota: Sólo debe codificar la contraseña en este archivo con la herramienta PropFilePasswordEncoder.

    Utilice la herramienta PropFilePasswordEncoder para codificar sólo los archivos de contraseña de WebSphere Application Server. El programa de utilidad no puede codificar contraseñas que aparezcan en los archivos XML u otros archivos que contengan distintivos abiertos o cerrados. Para cambiar las contraseñas en estos archivos, utilice la consola administrativa o una herramienta de ensamblaje, como Rational Application Developer.

Resultados

Si vuelve a abrir los archivos afectados, las contraseñas se cifran. WebSphere Application Server no facilita un programa de utilidad para decodificar las contraseñas.
[z/OS]En WebSphere Application Server para z/OS se puede minimizar la dependencia de contraseñas en archivos de configuración aprovechando las características específicas de z/OS:
  • Utilice un registro SAF (System Authorization Facility) para eliminar el requisito de una contraseña de servidor del registro de usuarios.
  • Seleccione la autorización SAF y la delegación de modo que se eliminen las contraseñas de los enlaces de rol con usuario.
  • Utilice un conjunto de claves RACF para todos los repertorios SSL, con el fin de que las contraseñas de archivo de claves y de confianza ya no sean necesarias.
  • Utilice conectores nativos y configure la sincronización con la hebra para que los datos de autenticación JAAS (Java Authentication and Authorization Service) ya no sean necesarios.

Ejemplo

En el ejemplo siguiente se muestra cómo utilizar la herramienta PropFilePasswordEncoder:
PropFilePasswordEncoder C:\WASV8\WebSphere\AppServer\profiles\AppSrv\properties
\sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

donde:

PropFilePasswordEncoder es el nombre del programa de utilidad que está utilizando desde el directorio raíz_perfil/profiles/nombre_perfil/bin.

C:\WASV6\WebSphere\AppServer\profiles\AppSrv\properties\sas.client.props es el nombre del archivo que contiene las contraseñas que se van a codificar.

com.ibm.ssl.keyStorePassword es una contraseña que se debe codificar en el archivo.

com.ibm.ssl.trustStorePassword es una segunda contraseña que se ha de codificar en el archivo.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
File name: tsec_protplaintxt.html