[IBM i]

Activation de l'algorithme de codage de mot de passe OS/400 autre que par défaut

L'objectif du codage de mot de passe consiste à empêcher l'observation des mots de passe dans les fichiers de configuration et de propriétés de serveur.

Avant de commencer

Assurez-vous que tous les profils de serveur au sein de la console d'administration résident sur le même système IBM® i.

Pourquoi et quand exécuter cette tâche

Par défaut, les mots de passe sont automatiquement codés avec un simple algorithme de masquage dans plusieurs fichiers de configuration ASCII pour WebSphere Application Server. Vous pouvez coder manuellement les mots de passe dans les fichiers de propriétés utilisés par les clients Java™ et par les commandes d'administration Application Server.

Pour une description de l'algorithme de codage OS400, voir Codage et chiffrement des mots de passe. Pour activer l'algorithme de codage de mots de passe 0S400 pour un profil WebSphere Application Server, procédez comme suit :

Procédure

  1. Définissez les propriétés os400.security.password de façon à activer l'algorithme de codage de mot de passe OS400 et à spécifier l'objet de liste de validation à utiliser.

    Utilisez le même objet de liste de validation pour tous les profils WebSphere Application Server. Cela n'est toutefois pas recommandé si vous ne sauvegardez pas les objets et les données de tous les profils simultanément. Tenez compte de votre règle de sauvegarde et de restauration lorsque vous décidez de l'objet de liste de validation à utiliser pour chaque profil WebSphere Application Server.

    Pour définir les propriétés, utilisez l'une des méthodes suivantes :
    • Utilisez les options -os400passwords et -validationlist de l'utilitaire manageprofiles -create, situé dans le répertoire racine_serveur_app/bin pour définir les propriétés lors de la création du profil. Pour créer un profil WebSphere Application Server nommé prod et l'activer pour l'algorithme de codage OS400 à l'aide de l'objet de liste de validation /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL, vous pouvez procéder comme suit :
      1. Exécutez la commande Start Qshell (STRQSH) sur la ligne de commande IBM i.
      2. Dans Qshell, exécutez la commande suivante :
        app_server_root/bin/manageprofiles 
        -create -profileName prod -startingPort 10150 
        -templatePath default -os400passwords 
        -validationlist  /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL

        La commande précédente est répartie sur plusieurs lignes à des fins d'illustration uniquement.

    • Définissez les propriétés système Java du script setupCmdLine Qshell du profil WebSphere Application Server. Pour activer l'algorithme de codage de mot de passe OS400, modifiez le script racine_profil/bin/setupCmdLine en procédant comme suit :
      1. Attribuez la valeur OS400 à la propriété os400.security.password.encoding.algorithm. Le paramètre par défaut est XOR.
      2. Définissez la propriété os400.security.password.validation.list.object en utilisant le nom absolu de la liste de validation à utiliser. La valeur par défaut est /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL.
      3. Enregistrez le fichier.
  2. Accordez le droit d'exécution de profil utilisateur QEJB (*X) à la bibliothèque contenant la liste de validation. Si QEJB dispose déjà du droit minimum requis (*X) pour accéder à la bibliothèque, passez à l'étape suivante.
    1. Utilisez la commande DSPAUT (Display Authority) pour vérifier l'existence du droit minimum requis si la liste de validation est créée dans le fichier /QSYS.LIB/WSADMIN.LIB.
      Exemple :
      DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
    2. Utilisez la commande CHGAUT (Change Authority) pour accorder le droit d'exécution au profil QEJB uniquement s'il n'en dispose pas déjà.
      Exemple :
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
  3. Créez un objet de liste de validation native (*VLDL). Cette étape est facultative pour les profils de serveur. L'objet de liste de validation est créé au démarrage du serveur. Pour les profils distants, créez la liste de validation si celle-ci n'existe pas déjà sur le système hébergeant le profil distant. De plus, tenez compte de votre règle de sauvegarde et de restauration lorsque vous décidez de l'objet de liste de validation à utiliser avec chaque profil distant.
    Avertissement : Lorsque vous utilisez l'algorithme de codage de mot de passe OS400, le client Java ne doit pas nécessairement résider sur le même système IBM i que celui du profil WebSphere Application Server auquel le client accède.

    Pour créer un objet de liste de validation, suivez la procédure suivante en utilisant un profil utilisateur IBM i disposant d'un droit spécial *ALLOBJ :

    1. Ouvrez une session sur le serveur avec un profil utilisateur doté du droit spécial *ALLOBJ.
    2. Utilisez la commande CRTVLDL (Create Validation List) pour créer l'objet de liste de validation.
      Par exemple, pour créer l'objet de liste de validation WSVLIST dans la bibliothèque WSADMIN.LIB, utilisez la commande suivante :
      CRTVLDL VLDL(WSADMIN/WSVLIST)
    3. Accordez le droit *RWX de profil utilisateur QEJB à l'objet de liste de validation. Par exemple, pour accorder le droit *RWX à l'objet de liste de validation WSVLIST dans la bibliothèque WSADMIN, utilisez la commande suivante :
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
  4. Utilisez la commande CHGSYSVAL (Change System Value) pour attribuer la valeur 1 comme valeur système QRETSVRSEC. Exemple :
    CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
  5. Pour le profil serveur, démarrez ou redémarrez le serveur et attendez qu'il soit prêt avant de tenter de coder manuellement les mots de passe dans les fichiers de propriétés faisant partie du profil.

Résultats

Vous avez activé l'algorithme de codage de mot de passe OS400.

Que faire ensuite

Une fois la procédure achevée et le serveur redémarré, vous pouvez coder manuellement les mots de passe dans les fichiers de propriétés. Pour plus d'informations, voir Codage manuel des mots de passe dans les fichiers de propriétés.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enos400encode
Nom du fichier : tsec_enos400encode.html