Habilitación de un punto de conexión para el cifrado de contraseñas personalizado
La protección de las contraseñas está regida por dos propiedades. Al configurar estas dos propiedades, se puede habilitar un punto de conexión para el cifrado de contraseñas personalizado.
Antes de empezar
Acerca de esta tarea
Procedimiento
Qué hacer a continuación
Siempre que se llama a una operación de clase de cifrado personalizado y se crea una ejecución de tiempo de ejecución o una excepción PasswordEncryptException definida, el tiempo de ejecución de WebSphere Application Server utiliza el algoritmo {xor} para cifrar la contraseña. Este cifrado evita que se almacene la contraseña en texto plano. Una vez resuelto el problema de la clase personalizada,se codifica automáticamente la contraseña la próxima vez que se guarde el documento de la configuración.
Si se asigna un rol RunAs a un ID de usuario y una contraseña, actualmente se codifica utilizando la función de cifrado de WebSphere Application Server. Por lo tanto, después de configurar el punto de conexión personalizado para cifrar las contraseñas, codifica las contraseñas también para los enlaces de RunAs. Si la aplicación desplegada se traslada a una célula que no tiene las mismas claves de cifrado, o en la que todavía no está habilitado el cifrado personalizado, se produce un error de inicio de sesión debido a que la contraseña no es legible.
Una de las responsabilidades de la implementación del cifrado de contraseñas personalizado es gestionar las claves de cifrado. Esta clase debe descodificar las contraseñas que se hayan cifrado. Cualquier anomalía en la descodificación de una contraseña hace que la contraseña ya no se pueda volver a utilizar, y se deberá cambiar la contraseña en la configuración. Todas las claves de cifrado deben estar disponibles para la descodificación y no queda ninguna contraseña utilizando estas claves. La clase de cifrado de contraseñas personalizado debe conservar el secreto maestro para proteger las claves de cifrado.
Puede gestionar el secreto maestro utilizando un archivo stash para el almacén de clases o, bien, utilizando un localizador de contraseñas que permita a la clase de cifrado personalizado localizar la contraseña de forma que pueda cerrarse.