Codage des mots de passe dans les fichiers

L'objectif du codage de mot de passe consiste à empêcher l'observation des mots de passe dans les fichiers de configuration et de propriétés de serveur. Utilisez l'utilitaire PropFilePasswordEncoder pour coder les mots de passe stockés dans les fichiers de propriétés. WebSphere Application Server ne fournit pas d'utilitaire pour décoder les mots de passe. Le codage n'est pas suffisant pour protéger intégralement les mots de passe. La sécurité native correspond au mécanisme principal permettant de protéger les mots de passe utilisés dans les fichiers de propriétés et la configuration WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

WebSphere Application Server contient des fichiers dont plusieurs mots de passe codés ne sont pas chiffrés. WebSphere Application Server propose l'utilitaire PropFilePasswordEncoder qui permet de coder les mots de passe. L'objectif du codage de mot de passe consiste à empêcher l'observation des mots de passe dans les fichiers de configuration et de propriétés de serveur. L'utilitaire PropFilePasswordEncoder ne code pas les mots de passe se trouvant dans des fichiers XML ou XMI.
Important : PropFilePasswordEncoder ne met à jour que les fichiers de propriétés et XML existants. Si d'autres fichiers sont ajoutés ultérieurement, ce qui peut se produire après l'installation d'une nouvelle application, cette procédure doit être relancée pour ces nouveaux fichiers.
Tableau 1. Fichiers XML et XMI contenant des mots de passe codés. Par contre, WebSphere Application Server code automatiquement les mots de passe dans ces fichiers. Les fichiers XML et XMI qui contiennent des mots de passe codés incluent les éléments suivants :
Nom de fichier Informations supplémentaires Navigation
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil/config/cells/nom_cellule/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe LTPA
  • Données d'authentification JAAS
  • Mot de passe du serveur du registre d'utilisateurs
  • Mot de passe de liaison du registre d'utilisateurs LDAP
  • Mot de passe du magasin de clés
  • Mot de passe du magasin des tiers dignes de confiance
  • [AIX Solaris HP-UX Linux Windows]Mot de passe de l'unité de jeton de chiffrement
[AIX Solaris HP-UX Linux Windows][z/OS]Sécurité > Sécurité globale > Appliquer.
[IBM i]
racine_profil/config/cells/nom_cellule
/security.xml
[IBM i]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe LTPA
  • Données d'authentification JAAS
  • Mot de passe du serveur du registre d'utilisateurs
  • Mot de passe de liaison du registre d'utilisateurs LDAP
  • Mot de passe du magasin de clés
  • Mot de passe du magasin des tiers dignes de confiance
  • Mot de passe de l'unité de jeton de chiffrement
[IBM i]Sécurité > Sécurité globale > Appliquer.
war/WEB-INF/ibm_web_bnd.xml
Indique les mots de passe de l'authentification de base par défaut pour les liaisons ressource-référence de tous les descripteurs, sauf dans l'architecture de cryptographie Java™  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Indique les mots de passe de l'authentification de base par défaut pour les liaisons ressource-référence de tous les descripteurs, sauf dans l'architecture de cryptographie Java  
client jar/META-INF/ibm-appclient_bnd.xml
Indique les mots de passe de l'authentification de base par défaut pour les liaisons ressource-référence de tous les descripteurs, sauf dans l'architecture de cryptographie Java  
ear/META-INF/ibm_application_bnd.xml
Indique les mots de passe de l'authentification de base par défaut pour les liaisons Run as de tous les descripteurs  
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil/config/cells/nom_cellule
/nodes/nom_noeud/servers/
nom_serveur/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du magasin de clés
  • Mot de passe du magasin des tiers dignes de confiance
  • [AIX Solaris HP-UX Linux Windows]Mot de passe de l'unité de jeton de chiffrement
  • Mot de passe de la persistance des sessions
  • Mot de passe de réplication des données du client DRS
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
racine_profil/config/cells/nom_cellule
/nodes/nom_noeud/servers/security.xml
[IBM i]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du magasin de clés
  • Mot de passe du magasin des tiers dignes de confiance
  • Mot de passe de l'unité de jeton de chiffrement
  • Mot de passe de la persistance des sessions
  • Mot de passe de réplication des données du client DRS
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil/config/cells/nom_cellule
/nodes/nom_noeud/servers/
nom_serveur/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe WAS40Datasource
  • Mot de passe mailTransport
  • Mot de passe mailStore
  • Mot de passe du gestionnaire de files d'attente MQQueue
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
racine_profil/config/cells/nom_cellule
/nodes/nom_noeud/servers/server1/resources.xml 
[IBM i]
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe WAS40Datasource
  • Mot de passe mailTransport
  • Mot de passe mailStore
  • Mot de passe du gestionnaire de files d'attente MQQueue
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
racine_profil/config/cells/nom_cellule/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur >Modules d'exécution de sécurité JAX-WS et JAX-RPC > Appliquer.
[IBM i]
racine_profil/config/cells/nom_cellule
/ws-security.xml 
[IBM i]  [IBM i]Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur >Modules d'exécution de sécurité JAX-WS et JAX-RPC > Appliquer.
ibm-webservices-bnd.xmi
Il s'agit d'un descripteur de déploiement inclus dans les applications de fournisseur JAX-RPC. Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
Applications > Applications d'entreprise > nom_application > Gestion des modules > nom_module > Services Web : Liaisons de sécurité du serveur (sous Propriétés de sécurité des services Web) > Editer les valeurs personnalisées.
ibm-webservicesclient-bnd.xmi
Il s'agit d'un descripteur de déploiement inclus dans les applications client JAX-RPC. Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • Mot de passe du jeton de nom d'utilisateur
Applications > Applications d'entreprise > nom_application > Gestion des modules > nom_module > Services Web : Liaisons de sécurité client (sous Propriétés de sécurité des services Web) > Editer un service personnalisé.
racine_profil/config/cells/nom_cellule/PolicyTyper/WSSecurity/bindings.xml
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • Mot de passe du jeton de nom d'utilisateur
Services > Ensembles de règles > Liaisons de l'ensemble de règles par défaut > Liaisons d'ensembles de règles par défaut version 6.1 > WS-Security > Editer les valeurs personnalisées > Appliquer.
racine_profil/config/cells/nom_cellule/nodes/nom_noeud/servers/nom_serveur/server.xml
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe de l'administrateur de base de données
Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur > Gestion de session > Paramètres de l'environnement distribué > Base de données > OK.
Remarque : Si vous n'utilisez pas de base de données, choisissez la valeur none.
racine_profil/config/cells/nom_cellule/applications/(nom_app/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml est un fichier de liaison de règles de sécurité de services Web de l'API Java des services Web XML (JAX-WS). Lorsqu'il se trouve dans le chemin nom_cellule/applications, il fait partie d'une liaison propre aux applications.

Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • Mot de passe du jeton de nom d'utilisateur
Services > fournisseurs de services ou > clients de service > nom_ressource > nom_liaison > WS-Security > Propriétés personnalisées > Appliquer.
racine_profil/config/cells/nom_cellule/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • Mot de passe du jeton de nom d'utilisateur
Services > Ensembles de règles > Liaisons générales de l'ensemble de règles du fournisseur > nom_liaison > WS-Security > Propriétés personnalisées > Appliquer.
racine_profil/config/cells/nom_cellule/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • Mot de passe du jeton de nom d'utilisateur
Services > Service d'accréditation >Associations de service d'accréditation > bindingName > WS-Security > Propriétés personnalisées > Appliquer.
Tableau 2. Utilitaire PropFilePasswordEncoder - Liste de fichiers partielle. L'utilitaire PropFilePasswordEncoder permet de coder les mots de passe dans les fichiers de propriétés. Ces fichiers incluent :
Nom de fichier Informations supplémentaires
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
Indique les mots de passe des fichiers suivants :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
racine_profil/properties/sas.client.props 
[IBM i]
Indique les mots de passe des fichiers suivants :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Définit les mots de passe pour :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
racine_profil/properties/sas.tools.properties 
[IBM i]
Définit les mots de passe pour :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Définit les mots de passe pour :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
racine_profil/properties/sas.stdclient.properties
[IBM i]
Définit les mots de passe pour :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
racine_profil
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
racine_profil/properties/wsserver.key
[IBM i] 
racine_profil/profiles/AppSrvXX/properties/sib.client.ssl.properties
Définit les mots de passe pour :
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
racine_profil/UDDIReg/scripts/UDDIUtilityTools.properties
Définit les mots de passe pour :
  • trustStore.password
racine_profil/config/cells/nom_cellule/sts/SAMLIssuerConfig.properties
Les zones suivantes contiennent des mots de passe codés :
  • Mot de passe du fichier de clés
  • Mot de passe de clé
  • TrustStorePassword
Pour coder à nouveau un mot de passe dans l'un des fichiers indiqués, effectuez les opérations suivantes :

Procédure

  1. Accédez au fichier à l'aide d'un éditeur de texte et tapez le mot de passe codé. Le nouveau mot de passe affiché n'est plus encodé et doit être recodé.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Utilisez le fichier PropFilePasswordEncoder.bat ou PropFilePasswordEncode.sh du répertoire racine_profil/bin pour coder à nouveau le mot de passe.

    [AIX Solaris HP-UX Linux Windows]Si vous encodez des fichiers qui ne sont pas des fichiers de propriétés SAS, tapezPropFilePasswordEncoder "nom_fichier" liste_propriétés_motdepasse

    [z/OS]Si vous encodez des fichiers qui ne sont pas des fichiers de propriétés z/SAS, tapezPropFilePasswordEncoder "nom_fichier" liste_propriétés_motdepasse

    Important : Lorsque vous utilisez l'utilitaire PropFilePasswordEncoder, une invite vous demande si une version de sauvegarde du fichier d'origine est requise. Si tel est le cas, un fichier de sauvegarde (.bak) est créé avec le mot de passe en texte clair. Examinez les résultats puis supprimez ce fichier de sauvegarde. Il contient le mot de passe non chiffré. Si vous ne voulez pas afficher cette invite, modifiez l'utilitaire PropFilePasswordEncoder et ajoutez la propriété système Java suivante comme paramètre : -Dcom.ibm.websphere.security.util.createBackup=true ou -Dcom.ibm.websphere.security.util.createBackup=false

    Une valeur true de la propriété système Java crée un fichier de sauvegarde, et une valeur false désactive le fichier de sauvegarde.

    où :

    "nom_fichier" correspond au nom des propriétés z/SAS et liste_propriétés_motdepasse au nom des propriétés à coder dans le fichier.
    Remarque : Seul le mot de passe doit être codé dans ce fichier à l'aide de l'outil PropFilePasswordEncoder.

    Utilisez l'utilitaire PropFilePasswordEncoder pour coder uniquement les fichiers de mot de passe WebSphere Application Server. L'utilitaire ne peut pas coder les mots de passe contenus dans les fichiers XML ou d'autres fichiers contenant des balises ouvertes et fermées. Pour modifier les mots de passe dans ces fichiers, utilisez la console d'administration ou un outil d'assemblage tel que Rational Application Developer.

  3. [IBM i]Utilisez le script PropFilePasswordEncode se trouvant dans le répertoire racine_profil/bin/ pour coder à nouveau le mot de passe.

    Si vous encodez des fichiers qui ne sont pas des fichiers de propriétés SAS, tapezPropFilePasswordEncoder "nom_fichier" liste_propriétés_mot_de_passe

    "nom_fichier" correspond au nom du fichier des propriétés SAS et liste_propriétés_mot_de_passe au nom des propriétés à coder dans le fichier.
    Remarque : Seul le mot de passe doit être codé dans ce fichier à l'aide de l'outil PropFilePasswordEncoder.

    Utilisez l'utilitaire PropFilePasswordEncoder pour coder uniquement les fichiers de mot de passeWebSphere Application Server. L'utilitaire ne peut pas coder les mots de passe contenus dans les fichiers XML ou d'autres fichiers contenant des balises ouvertes et fermées. Pour modifier les mots de passe dans ces fichiers, utilisez la console d'administration ou un outil d'assemblage tel que Rational Application Developer.

Résultats

Si vous rouvrez les fichiers affectés, les mots de passe seront encodés. WebSphere Application Server ne fournit pas d'utilitaire pour décoder les mots de passe.
[z/OS]Dans WebSphere Application Server for z/OS, il est possible de réduire la dépendance sur les mots de passe dans les fichiers de configuration en tirant parti des fonctionnalités spécifiques de z/OS présentées ci-dessous :
  • Utilisez un registre SAF (System Authorization Facility) pour ne pas à avoir à entrer un mot de passe pour le serveur du registre d'utilisateurs.
  • Sélectionnez l'authentification SAF et la délégation pour que les mots de passe de liaison entre le rôle et l'utilisateur soient supprimés.
  • Utilisez un fichier de clés RACF pour que les mots de passe de tous les répertoires SSL, des fichiers de clés et des fichiers de relations de confiance ne soient plus requis.
  • Utilisez des connecteurs natifs et configurez la synchronisation à l'unité d'exécution pour éventuellement ne plus avoir besoin des données d'authentification JAAS (Java Authentication and Authorization Service).

Exemple

L'exemple suivant illustre l'utilisation de l'outil PropFilePasswordEncoder :
PropFilePasswordEncoder C:\WASV8\WebSphere\AppServer\profiles\AppSrv\properties
\sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

où :

PropFilePasswordEncoder correspond au nom de l'utilitaire que vous exécutez à partir du répertoire racine_profil/profiles/profile_name/bin.

C:\WASV6\WebSphere\AppServer\profiles\AppSrv\properties\sas.client.props est le nom du fichier qui contient les mots de passe à coder.

com.ibm.ssl.keyStorePassword est un mot de passe à coder dans le fichier.

com.ibm.ssl.trustStorePassword est un deuxième mot de passe à coder dans le fichier.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
Nom du fichier : tsec_protplaintxt.html