El objetivo del cifrado de contraseñas es impedir la observación fortuita de contraseñas en los archivos de propiedades y configuración del servidor.
Antes de empezar
Asegúrese de que todos los perfiles del servidor de la consola
de administración residen en el mismo sistema
IBM® i.
Acerca de esta tarea
De manera predeterminada, las contraseñas se codifican automáticamente con
un algoritmo de máscara sencillo en varios archivos de
configuración ASCII para WebSphere Application Server. Puede codificar manualmente las contraseñas en los archivos de
propiedades utilizados por los clientes Java™ y los mandatos administrativos
del servidor de aplicaciones.
Si desea ver una descripción
del algoritmo de cifrado de OS400, consulte Codificación y cifrado de contraseñas.
Para habilitar el algoritmo de cifrado de contraseñas de OS400 para un
perfil de WebSphere Application Server, complete estos pasos:
Procedimiento
- Establezca las propiedades os400.security.password para activar el algoritmo de cifrado de contraseñas de OS400
y especificar qué objeto de la lista de validación utilizar.
Utilice el mismo objeto de la lista de validación para todos los
perfiles de WebSphere Application Server. Sin embargo, no es recomendable si no realiza simultáneamente copias de seguridad de los objetos y datos de todos los perfiles. Tenga en cuenta la política de copia de seguridad y restauración cuando
decida qué objeto de la lista de validación utilizar para cada perfil de
WebSphere
Application Server.
Para establecer las propiedades, complete uno de estos pasos:
- Utilice las opciones -os400passwords y -validationlist del programa de utilidad
manageprofiles -create, que se encuentra en el directorio raíz_servidor_apl/bin, para establecer las propiedades al crear el perfil. Para crear un perfil de
WebSphere
Application Server llamado prod y habilitar dicho perfil para el
algoritmo de cifrado de OS400 utilizando el objeto de la lista de
validación /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL, puede completar los
pasos siguientes:
- Ejecute el mandato de inicio de la Qshell (STRQSH) en la línea de
mandatos de IBM i.
- En Qshell, ejecute el mandato siguiente:
app_server_root/bin/manageprofiles
-create -profileName prod -startingPort 10150
-templatePath default -os400passwords
-validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL
El mandato anterior se
escribe en varias líneas con fines ilustrativos.
- Establezca las propiedades del sistema
Java
en el script de Qshell setupCmdLine del perfil de
WebSphere
Application Server. Para habilitar el algoritmo de cifrado de contraseñas de OS400, edite el script raíz_perfil/bin/setupCmdLine utilizando los pasos siguientes:
- Establezca la propiedad os400.security.password.encoding.algorithm en OS400.
El valor por omisión es XOR.
- Establezca la propiedad os400.security.password.validation.list.object en el nombre absoluto de la lista de validación
que necesita utilizar. El valor por omisión es /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
- Guarde el archivo.
- Otorgue la autoridad de ejecución del perfil de usuario QEJB (*X) a la biblioteca que contiene la lista de validación. Si QEJB ya tiene la autoridad mínima necesaria (*X) para acceder a la biblioteca, continúe con el paso siguiente.
- Utilice DSPAUT (Display Authority) para consultar la autoridad mínima necesaria, si la lista de validación se ha creado en el archivo /QSYS.LIB/WSADMIN.LIB.
Por ejemplo:
DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
- Utilice el mandato CHGAUT (Change Authority) para otorgar la autoridad de ejecución
al perfil QEJB sólo, si el perfil QEJB aún no tiene esta autoridad.
Por ejemplo:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
- Cree un objeto de lista de validación nativo (*VLDL). Este paso es
opcional para los perfiles de servidor. El objeto de lista de validación se crea cuando se inicia el servidor. Para los perfiles remotos, cree la lista de validación si esta lista todavía no existe en el sistema que aloja el perfil remoto. Asimismo, tenga en cuenta que la política de copia de seguridad y restauración cuando decida qué objeto de lista de validación va a utilizar con cada perfil remoto.
Atención: Cuando utilice el algoritmo de cifrado de contraseñas de OS400, no es
necesario que el cliente
Java
resida en el mismo sistema
IBM i
que el perfil de
WebSphere
Application Server al que accede el cliente.
Para crear un
objeto de lista de validación, realice los pasos siguientes con un
perfil de usuario de IBM i que tenga la autoridad especial *ALLOBJ.
- Inicie una sesión en el servidor con un perfil de usuario que tenga la autoridad especial *ALLOBJ.
- Utilice el mandato (CRTVLDL) (Create Validation List) para crear el objeto de lista de validación.
Por ejemplo, para crear el objeto de lista de validación WSVLIST en la biblioteca WSADMIN.LIB, utilice el mandato siguiente:
CRTVLDL VLDL(WSADMIN/WSVLIST)
- Otorgue la autoridad *RWX del perfil de usuario QEJB al objeto de lista de validación. Por ejemplo, para otorgar la autoridad *RWX al objeto de lista de validación WSVLIST en la biblioteca WSADMIN, utilice el mandato siguiente:
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
- Utilice el mandato (CHGSYSVAL) (Change System Value) para establecer el valor del sistema QRETSVRSEC en 1. Por ejemplo:
CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
- Para el perfil de servidor, inicie o reinicie el servidor y espere a que el servidor esté
preparado para el servicio antes de intentar codificar manualmente las contraseñas en archivos de propiedad que pertenecen al perfil.
Resultados
Ha habilitado el algoritmo de cifrado de contraseñas de OS400.
Qué hacer a continuación
Tras completar el paso anterior y reiniciar el servidor, puede codificar manualmente las contraseñas en archivos de propiedad. Para obtener más información, consulte el apartado
Cifrado manual de contraseñas en archivos de propiedad.