[IBM i]

Habilitación del algoritmo de cifrado de contraseña OS/400 no por omisión

El objetivo del cifrado de contraseñas es impedir la observación fortuita de contraseñas en los archivos de propiedades y configuración del servidor.

Antes de empezar

Asegúrese de que todos los perfiles del servidor de la consola de administración residen en el mismo sistema IBM® i.

Acerca de esta tarea

De manera predeterminada, las contraseñas se codifican automáticamente con un algoritmo de máscara sencillo en varios archivos de configuración ASCII para WebSphere Application Server. Puede codificar manualmente las contraseñas en los archivos de propiedades utilizados por los clientes Java™ y los mandatos administrativos del servidor de aplicaciones.

Si desea ver una descripción del algoritmo de cifrado de OS400, consulte Codificación y cifrado de contraseñas. Para habilitar el algoritmo de cifrado de contraseñas de OS400 para un perfil de WebSphere Application Server, complete estos pasos:

Procedimiento

  1. Establezca las propiedades os400.security.password para activar el algoritmo de cifrado de contraseñas de OS400 y especificar qué objeto de la lista de validación utilizar.

    Utilice el mismo objeto de la lista de validación para todos los perfiles de WebSphere Application Server. Sin embargo, no es recomendable si no realiza simultáneamente copias de seguridad de los objetos y datos de todos los perfiles. Tenga en cuenta la política de copia de seguridad y restauración cuando decida qué objeto de la lista de validación utilizar para cada perfil de WebSphere Application Server.

    Para establecer las propiedades, complete uno de estos pasos:
    • Utilice las opciones -os400passwords y -validationlist del programa de utilidad manageprofiles -create, que se encuentra en el directorio raíz_servidor_apl/bin, para establecer las propiedades al crear el perfil. Para crear un perfil de WebSphere Application Server llamado prod y habilitar dicho perfil para el algoritmo de cifrado de OS400 utilizando el objeto de la lista de validación /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL, puede completar los pasos siguientes:
      1. Ejecute el mandato de inicio de la Qshell (STRQSH) en la línea de mandatos de IBM i.
      2. En Qshell, ejecute el mandato siguiente:
        app_server_root/bin/manageprofiles 
        -create -profileName prod -startingPort 10150 
        -templatePath default -os400passwords 
        -validationlist  /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL

        El mandato anterior se escribe en varias líneas con fines ilustrativos.

    • Establezca las propiedades del sistema Java en el script de Qshell setupCmdLine del perfil de WebSphere Application Server. Para habilitar el algoritmo de cifrado de contraseñas de OS400, edite el script raíz_perfil/bin/setupCmdLine utilizando los pasos siguientes:
      1. Establezca la propiedad os400.security.password.encoding.algorithm en OS400. El valor por omisión es XOR.
      2. Establezca la propiedad os400.security.password.validation.list.object en el nombre absoluto de la lista de validación que necesita utilizar. El valor por omisión es /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
      3. Guarde el archivo.
  2. Otorgue la autoridad de ejecución del perfil de usuario QEJB (*X) a la biblioteca que contiene la lista de validación. Si QEJB ya tiene la autoridad mínima necesaria (*X) para acceder a la biblioteca, continúe con el paso siguiente.
    1. Utilice DSPAUT (Display Authority) para consultar la autoridad mínima necesaria, si la lista de validación se ha creado en el archivo /QSYS.LIB/WSADMIN.LIB.
      Por ejemplo:
      DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
    2. Utilice el mandato CHGAUT (Change Authority) para otorgar la autoridad de ejecución al perfil QEJB sólo, si el perfil QEJB aún no tiene esta autoridad.
      Por ejemplo:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
  3. Cree un objeto de lista de validación nativo (*VLDL). Este paso es opcional para los perfiles de servidor. El objeto de lista de validación se crea cuando se inicia el servidor. Para los perfiles remotos, cree la lista de validación si esta lista todavía no existe en el sistema que aloja el perfil remoto. Asimismo, tenga en cuenta que la política de copia de seguridad y restauración cuando decida qué objeto de lista de validación va a utilizar con cada perfil remoto.
    Atención: Cuando utilice el algoritmo de cifrado de contraseñas de OS400, no es necesario que el cliente Java resida en el mismo sistema IBM i que el perfil de WebSphere Application Server al que accede el cliente.

    Para crear un objeto de lista de validación, realice los pasos siguientes con un perfil de usuario de IBM i que tenga la autoridad especial *ALLOBJ.

    1. Inicie una sesión en el servidor con un perfil de usuario que tenga la autoridad especial *ALLOBJ.
    2. Utilice el mandato (CRTVLDL) (Create Validation List) para crear el objeto de lista de validación.
      Por ejemplo, para crear el objeto de lista de validación WSVLIST en la biblioteca WSADMIN.LIB, utilice el mandato siguiente:
      CRTVLDL VLDL(WSADMIN/WSVLIST)
    3. Otorgue la autoridad *RWX del perfil de usuario QEJB al objeto de lista de validación. Por ejemplo, para otorgar la autoridad *RWX al objeto de lista de validación WSVLIST en la biblioteca WSADMIN, utilice el mandato siguiente:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
  4. Utilice el mandato (CHGSYSVAL) (Change System Value) para establecer el valor del sistema QRETSVRSEC en 1. Por ejemplo:
    CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
  5. Para el perfil de servidor, inicie o reinicie el servidor y espere a que el servidor esté preparado para el servicio antes de intentar codificar manualmente las contraseñas en archivos de propiedad que pertenecen al perfil.

Resultados

Ha habilitado el algoritmo de cifrado de contraseñas de OS400.

Qué hacer a continuación

Tras completar el paso anterior y reiniciar el servidor, puede codificar manualmente las contraseñas en archivos de propiedad. Para obtener más información, consulte el apartado Cifrado manual de contraseñas en archivos de propiedad.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enos400encode
File name: tsec_enos400encode.html