Activation d'un point de connexion pour le chiffrement de mot de passe personnalisé

Deux propriétés gèrent la protection des mots de passe. En configurant ces deux propriétés, vous activez un point de connexion pour le chiffrement de mot de passe personnalisé.

Avant de commencer

Pour afficher un exemple de code illustrant l'interface com.ibm.wsspi.security.crypto.CustomPasswordEncryption, voir Point de connexion pour le chiffrement de mot de passe personnalisé.

Pourquoi et quand exécuter cette tâche

La méthode de chiffrement est appelée pour le traitement des mots de passe chaque fois que la classe personnalisée est configurée et que le chiffrement personnalisé est activé. La méthode de déchiffrement est appelée à chaque fois que la classe personnalisée est configurée et que le mot de passe contient la balise {custom:alias}. La balise custom:alias est supprimée avant le déchiffrement.

Procédure

  1. Pour activer le chiffrement de mot de passe personnalisé, vous devez configurer deux propriétés :
    • com.ibm.wsspi.security.crypto.customPasswordEncryptionClass - Définit la classe personnalisée qui implémente l'interface de chiffrement du mot de passe com.ibm.wsspi.security.crypto.CustomPasswordEncryption.
    • com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled - Définit le moment où la classe personnalisée est utilisée pour le traitement des mots de passe par défaut. Lorsque l'option passwordEncryptionEnabled n'est pas spécifiée ou que sa valeur n'est pas false, alors que la classe passwordEncryptionClass est spécifiée, la méthode de chiffrement est appelée chaque fois qu'une balise {custom:alias} existe dans le référentiel de configuration.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Pour configurer le chiffrement de mot de passe personnalisé, configurez ces deux propriétés dans le fichier server.xml. Cette configuration dépend de la structure de répertoires existante. Choisissez l'une des méthodes suivantes pour effectuer cette configuration :
    • Placez la classe de chiffrement personnalisée (com.acme.myPasswordEncryptionClass) dans un fichier JAR (archive Java) qui réside dans le répertoire${WAS_INSTALL_ROOT}/classes. Dans ce cas, vous avez créé le répertoire ${WAS_INSTALL_ROOT}/classes à cet effet.
      Remarque : WebSphere Application Server ne crée pas de répertoire ${WAS_INSTALL_ROOT}/classes.
    • Placez la classe de chiffrement personnalisée (com.acme.myPasswordEncryptionClass) dans un fichier JAR (archive Java) qui réside dans le répertoire ${WAS_HOME}/lib/ext ou un autre répertoire existant valide.
    Tous les documents de configuration contenant un mot de passe (security.xml et toutes les liaisons d'applications contenant des mots de passe RunAs) doivent être enregistrés pour que tous les mots de passe soient chiffrés avec la classe de chiffrement personnalisée.
  3. [IBM i]Pour configurer le chiffrement de mot de passe personnalisé, configurez ces deux propriétés dans le fichier security.xml. La classe de chiffrement personnalisée (com.acme.myPasswordEncryptionClass) doit être placée dans un fichier JAR (Java™ archive) dans le répertoire ${RACINE_SERVEUR_APP}/classes de tous les processus WebSphere Application Server. Tous les documents de configuration contenant un mot de passe (security.xml et toutes les liaisons d'applications contenant des mots de passe RunAs) doivent être enregistrés pour que tous les mots de passe soient chiffrés avec la classe de chiffrement personnalisée. Pour les fichiers de propriétés côté client tels que sas.client.props et soap.client.props, utilisez le script PropFilePasswordEncoder.bat ou PropFilePasswordEncode.sh pour activer le traitement personnalisé. Dans ce script, les deux propriétés doivent être configurées comme propriétés système sur la ligne de commande Java du script. Les mêmes outils que ceux utilisés pour le codage et le décodage peuvent être utilisés pour le chiffrement et le déchiffrement lorsque le chiffrement de mot de passe personnalisé est activé.
  4. Si la classe d'implémentation personnalisée utilise par défaut l'interface com.ibm.wsspi.security.crypto.CustomPasswordEncryptionImpl, et si cette classe est présente dans le chemin d'accès aux classes, le chiffrement est activé par défaut. Cela simplifie le processus d'activation pour tous les noeuds. Il n'est pas nécessaire de définir d'autres propriétés en dehors de celles requises par l'implémentation personnalisée. Pour désactiver le chiffrement tout en continuant à utiliser cette classe pour le déchiffrement, définissez la classe suivante :
    • com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled=false

Que faire ensuite

Chaque fois qu'une opération de classe de chiffrement personnalisée est appelée et qu'elle crée une exception d'exécution ou une exception PasswordEncryptException définie, l'environnement d'exécution WebSphere Application Server utilise l'algorithme {xor} pour coder le mot de passe. Ce codage empêche le stockage du mot de passe en texte seul. Une fois que le problème avec la classe personnalisée est résolu, il chiffre automatiquement le mot de passe lors du prochain enregistrement du document de configuration.

Lorsqu'un ID utilisateur et un mot de passe sont attribués au rôle RunAs, il est codé à l'aide de la fonction de codage de WebSphere Application Server. Par conséquent, une fois que le point de connexion personnalisé est configuré pour chiffrer les mots de passe, il l'est également pour les liaisons RunAs. Si l'application déployée est déplacée vers une cellule qui n'a pas les mêmes clés de chiffrement, ou si le chiffrement personnalisé n'est pas encore activé, la connexion échoue car le mot de passe n'est pas lisible.

L'un des rôles de l'implémentation du chiffrement personnalisé de mot de passe consiste à gérer les clés de chiffrement. Cette classe doit déchiffrer tous les mots de passe chiffrés. En cas d'échec de déchiffrement d'un mot de passe, ce dernier est inutilisable et doit être changé dans la configuration. Toutes les clés de chiffrement doivent être disponibles pour le déchiffrement. Aucun mot de passe ne doit continuer à utiliser ces clés. Le secret maître doit être géré par la classe de chiffrement personnalisé de mot de passe pour protéger les clés de chiffrement.

Vous pouvez gérer le secret maître en utilisant un fichier de dissimulation pour le magasin de clés ou un localisateur de mot de passe permettant à la classe de chiffrement personnalisée de trouver le mot de passe afin de le verrouiller.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_plugpoint_custpass_encrypt
Nom du fichier : tsec_plugpoint_custpass_encrypt.html