![[IBM i]](../images/iseries.gif)
Codage et chiffrement des mots de passe
Le codage des mots de passe permet de les garder secrets dans la configuration des serveurs et des fichiers de propriétés.
Par défaut, les mots de passe sont automatiquement codés grâce à un algorithme de masquage simple dans les différents fichiers de configuration ASCII de WebSphere Application Server. Vous pouvez également coder manuellement les mots de passe dans les fichiers de propriétés utilisés par les clients Java™ et les commandes d'administration pour WebSphere Application Server.
L'algorithme de codage par défaut est désigné sous le nom XOR. Un autre algorithme de codage, OS400, peut être utilisé avec WebSphere Application Server pour IBM® i. Il tire parti uniquement des objets de liste de validation native (*VLDL). Avec cet algorithme, les mots de passe sont enregistrés dans un formulaire chiffré placé dans une liste de validation. Les fichiers de configuration contiennent des index désignant les mots de passe enregistrés et non pas les mots de passe masqués comme dans le cas de l'algorithme XOR.
{algorithm}encoded_password
où {algorithme} est une balise indiquant l'algorithme utilisé pour chiffrer le mot de passe, c'est-à-dire XOR ou OS400. La variable mot_de_passe_codé correspond à la valeur codée du mot de passe. Lorsqu'un serveur ou un client doit décoder un mot de passe, il consulte la balise pour déterminer l'algorithme utilisé et emploie ce dernier pour décoder le mot de passe.Les clients Java utilisent les mots de passe contenus dans le fichier sas.client.props qui se trouve dans le répertoire racine_profil/properties.
Pour utiliser le codage de mots de passe avec les clients Java, les mots de passe doivent être codés manuellement dans le fichier sas.client.props à l'aide de l'outil PropFilePasswordEncoder.
Les commandes d'administration de WebSphere Application Server utilisent les mots de passe contenus dans le fichier soap.client.props qui se trouve dans le répertoire profile_root/properties, pour les connexions SOAP. Certaines commandes d'administration utilisent en option des mots de passe issus du fichier sas.client.props dans le répertoire profile_root/properties pour les connexions RMI (RemoteMethod Invocation). Pour utiliser le codage de mots de passe avec les commandes d'administration, vous devez coder manuellement les mots de passe contenus dans les fichiers soap.client.props et sas.client.props à l'aide de l'outil PropFilePasswordEncoder.
Eléments à prendre en compte lors de l'utilisation de l'algorithme de codage des mots de passe OS400
- Vous devez définir la variable de système d'exploitation QRETSVRSEC à la valeur
1. Celle-ci est utilisée sur le système qui héberge l'application
client Java ou le composant WebSphere Application Server. Avec ce paramètre, WebSphere Application Server peut extraire les mots de passe codés
de la liste de validation. Avertissement : La valeur système QRETSVRSEC affecte l'accès aux données chiffrées dans toutes les listes de validation du système d'exploitation. N'utilisez pas l'algorithme de codage des mots de passe OS400 si ce paramètre n'est pas adapté aux règles de sécurité définies dans votre système d'exploitation.
- Vous ne pouvez utiliser l'algorithme OS400 avec les instances de serveur que si
toutes celles qui se trouvent dans le domaine d'administration WebSphere Application
Server résident sur le même système IBM i. Prenez en compte les remarques ci-dessous.
- Les domaines d'administration de WebSphere Application Server peuvent s'étendre sur plusieurs systèmes IBM i. Vous ne pouvez utiliser l'algorithme de codage des mots de passe OS400 que si tous les serveurs qui se trouvent dans le domaine d'administration sont installés sur le même système IBM i.
- Les fichiers XML de configuration des serveurs contiennent des mots de passe codés. Si les mots de passe contenus dans les fichiers XML sont codés à l'aide de l'algorithme de codage OS400, ces codages sont valides uniquement pour les profils de serveur d'applications installés sur le même système IBM i que celui à partir duquel les mots de passe ont été initialement codés. Les copies des fichiers de configuration qui contiennent les mots de passe codés à l'aide de l'algorithme de codage OS400 ne peuvent pas être utilisées pour configurer des serveurs installés sur d'autres systèmes IBM i.
- Toutes les instances de serveur contenues dans un domaine d'administration doivent être configurées pour utiliser le même objet de liste de validation native (*VLDL).
- Pour les clients Java, vous pouvez utiliser l'algorithme de codage des mots de passe OS400 sur un système IBM iquelconque. Toutefois, l'option 1 doit être installée sur le système qui héberge le client Java.
- Si une erreur se produit lorsqu'un mot de passe est codé à l'aide de l'algorithme de codage OS400, l'algorithme de codage XOR est utilisé pour coder le mot de passe. Un incident risque de survenir si un administrateur crée manuellement l'objet de liste de validation et lui accorde des droits d'accès insuffisants pour le profil utilisateur IBM i QEJB.