ファイル内のパスワードのエンコード

パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルに 保管されているパスワードをエンコードします。WebSphere® Application Server では、パスワードをデコードするためのユーティリティーは提供されません。 パスワードを完全に保護するには、 エンコードだけでは不十分です。固有のセキュリティーは、WebSphere Application Server の構成およびプロパティー・ファイルで使用するパスワードを保護するための主要なメカニズムです。

このタスクについて

WebSphere Application Server では、暗号化されていないファイルに、エンコードされた複数のパスワードが含まれています。 WebSphere Application Server では、パスワードのエンコードに使用できる PropFilePasswordEncoder ユーティリティーが用意されています。 パスワードのエンコードの目的は、サーバー構成およびプロパティー・ファイル内の パスワードが簡単に露呈するのを防ぐことです。 PropFilePasswordEncoder ユーティリティーは、XML ファイルや XMI ファイルに含まれているパスワードは エンコードしません。
重要: PropFilePasswordEncoder では、既存のプロパティーおよび XML ファイルのみが更新されます。後に続くファイルが追加された場合 (新規アプリケーションのインストール後など)、その新しいファイルに対してこの手順を再実行する必要があります。
表 1. エンコードされたパスワードを含む XML および XMI ファイル. 代わりに、WebSphere Application Server では、これらのファイルで自動的にパスワードをエンコードします。 エンコードされたパスワードを 含む XML および XMI ファイルには、以下のものがあります。
ファイル名 追加情報 ナビゲーション
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
以下のフィールドには、エンコードされたパスワードが入っています。
  • LTPA パスワード
  • JAAS 認証データ
  • ユーザー・レジストリー・サーバー・パスワード
  • LDAP ユーザー・レジストリー・バインド・パスワード
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • [AIX Solaris HP-UX Linux Windows]暗号トークン・デバイス・パスワード
[AIX Solaris HP-UX Linux Windows][z/OS]「セキュリティー」 > 「グローバル・セキュリティー」 > 「適用」
[IBM i]
profile_root/config/cells/cell_name
/security.xml
[IBM i]
以下のフィールドには、エンコードされたパスワードが入っています。
  • LTPA パスワード
  • JAAS 認証データ
  • ユーザー・レジストリー・サーバー・パスワード
  • LDAP ユーザー・レジストリー・バインド・パスワード
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
[IBM i]「セキュリティー」 > 「グローバル・セキュリティー」 > 「適用」
war/WEB-INF/ibm_web_bnd.xml
Java™ 暗号方式アーキテクチャーを除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Java 暗号方式アーキテクチャーを除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。  
client jar/META-INF/ibm-appclient_bnd.xml
Java 暗号方式アーキテクチャーを除く、すべての記述子内の resource-ref バインディングのデフォルトの基本認証用パスワードを指定します。  
ear/META-INF/ibm_application_bnd.xml
すべての記述子内の run as バインディングのデフォルトの基本認証用パスワードを指定します。  
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • [AIX Solaris HP-UX Linux Windows]暗号トークン・デバイス・パスワード
  • セッション・パーシスタンス・パスワード
  • DRS クライアント・データ複製パスワード
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/security.xml
[IBM i]
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • トラストストアのパスワード
  • 暗号トークン・デバイス・パスワード
  • セッション・パーシスタンス・パスワード
  • DRS クライアント・データ複製パスワード
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
以下のフィールドには、エンコードされたパスワードが入っています。
  • WAS40Datasource パスワード
  • mailTransport パスワード
  • mailStore パスワード
  • MQQueue queue mgr パスワード
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/server1/resources.xml 
[IBM i]
以下のフィールドには、エンコードされたパスワードが入っています。
  • WAS40Datasource パスワード
  • mailTransport パスワード
  • mailStore パスワード
  • MQQueue queue mgr パスワード
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
profile_root/config/cells/cell_name/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 >「serverName」> 「JAX-WS および JAX-RPC セキュリティー・ランタイム」 > 「適用」。
[IBM i]
profile_root/config/cells/cell_name
/ws-security.xml 
[IBM i]  [IBM i]サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 >「serverName」> 「JAX-WS および JAX-RPC セキュリティー・ランタイム」 > 「適用」。
ibm-webservices-bnd.xmi
これは、JAX-RPC プロバイダー・アプリケーションに含まれているデプロイメント記述子です。 以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
アプリケーション」> 「エンタープライズ・アプリケーション」>「application name」> 「モジュールの管理」>「module name」> 「Web サービス: サーバー・セキュリティー・バインディング」 (「Webサービス・セキュリティー・プロパティー」の下) > 「カスタムの編集」。
ibm-webservicesclient-bnd.xmi
これは、JAX-RPC クライアント・アプリケーションに含まれているデプロイメント記述子です。 以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
  • ユーザー名トークンのパスワード
アプリケーション」> 「エンタープライズ・アプリケーション」>「application name」> 「モジュールの管理」>「module name」> 「Web サービス: クライアント・セキュリティー・バインディング」 (「Webサービス・セキュリティー・プロパティー」の下) > 「カスタムの編集」。
profile_root/config/cells/cell_name/PolicyTyper/WSSecurity/bindings.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
  • ユーザー名トークンのパスワード
「サービス」 > 「ポリシー・セット」 > 「デフォルトのポリシー・セット・バインディング」 > 「バージョン 6.1 デフォルトのポリシー・セット・バインディング」 > 「WS-Security」 > 「カスタム・プロパティー」 > 「適用」
profile_root/config/cells/cell_name/nodes/node_name/servers/server_name/server.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • データベース管理者パスワード
サーバー」> 「サーバー・タイプ」> 「Websphere Application Server」>「serverName」> 「セッション管理」> 「分散環境」> 「データベース」> 「OK」。
注: データベースを使用していない場合、none を選択してください。
profile_root/config/cells/cell_name/applications/(appName/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml は、 JAX-WS WS-Security ポリシー・バインディング・ファイルです。これは、cell_name/applications パスに置かれている場合は、アプリケーション固有バインディングの一部です。

以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
  • ユーザー名トークンのパスワード
サービス」>「service providers」または >「service clients」>「resourceName」>「bindingName」> 「WS-Security」> 「カスタム・プロパティー」> 「適用」。
profile_root/config/cells/cell_name/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
  • ユーザー名トークンのパスワード
サービス」>「ポリシー・セット」> 「汎用プロバイダー・ポリシー・セット・バインディング」>「bindingName」> 「WS-Security」>「カスタム・プロパティー」>「適用」。
profile_root/config/cells/cell_name/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
以下のフィールドには、エンコードされたパスワードが入っています。
  • 鍵ストアのパスワード
  • 鍵のパスワード
  • ユーザー名トークンのパスワード
サービス」>「トラスト・サービス」>「トラスト・サービスの関連付け」>「bindingName」>「 WS-Security」> 「カスタム・プロパティー」>「適用」。
表 2. PropFilePasswordEncoder ユーティリティー - ファイル・リスト (一部). PropFilePasswordEncoder ユーティリティーを使用して、プロパティー・ファイルで パスワードをエンコードします。該当ファイルには、次のものがあります。
ファイル名 追加情報
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
以下のファイルにパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.client.props 
[IBM i]
以下のファイルにパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.tools.properties 
[IBM i]
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.stdclient.properties
[IBM i]
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/properties/wsserver.key
[IBM i] 
profile_root/profiles/AppSrvXX/properties/sib.client.ssl.properties
次のパスワードを指定します。
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/UDDIReg/scripts/UDDIUtilityTools.properties
次のパスワードを指定します。
  • trustStore.password
profile_root/config/cells/cell_name/sts/SAMLIssuerConfig.properties
以下のフィールドには、エンコードされたパスワードが入っています。
  • KeystorePassword
  • KeyPasswords
  • TrustStorePassword
これらのファイルのいずれかのパスワードを再度エンコードするには、 以下のステップを完了してください。

手順

  1. テキスト・エディターを使用してファイルにアクセスし、 エンコードされたパスワードを上書きします。 表示された新しいパスワードはエンコードされていないので、再度エンコードする必要があります。
  2. [AIX Solaris HP-UX Linux Windows][z/OS]profile_root/bin ディレクトリーの PropFilePasswordEncoder.bat ファイルや PropFilePasswordEncode.sh ファイルを使用して、パスワードを再エンコードします。

    [AIX Solaris HP-UX Linux Windows]SAS プロパティー・ファイルではないファイルをエンコードする場合は、PropFilePasswordEncoder "file_name" password_properties_list と入力します。

    [z/OS]z/SAS プロパティー・ファイルではないファイルをエンコードする場合は、PropFilePasswordEncoder "file_name" password_properties_list と入力します。

    重要: PropFilePasswordEncoder ユーティリティーを使用する場合、オリジナル・ファイルのバックアップ・バージョンが必要かどうかをたずねるプロンプトが出されます。 バックアップ・バージョンが必要な場合は、平文のパスワードが付いたバックアップ・ファイル (.bak) が作成されます。 結果を調べてから、このバックアップ・ファイルを削除します。 このファイルには暗号化されていないパスワードが含まれています。このプロンプトを表示させない場合は、 PropFilePasswordEncoder ユーティリティーを編集し、パラメーターとして Java システム・プロパティー -Dcom.ibm.websphere.security.util.createBackup=true または -Dcom.ibm.websphere.security.util.createBackup=false を追加してください。

    Java システム・プロパティーの値を true にするとバックアップ・ファイルを作成し、値を false にするとバックアップ・ファイルの作成を無効にします。

    各部の意味は、次のとおりです。

    "file_name" は z/SAS プロパティー・ファイルの名前で、password_properties_list はファイル内でエンコードするプロパティーの名前です。
    注: PropFilePasswordEncoder ツールを使用して、このファイルでパスワードのみをエンコードする必要があります。

    PropFilePasswordEncoder ユーティリティーを使用して、WebSphere Application Server パスワード・ファイルのみをエンコードします。 ユーティリティーは、 XML ファイルまたは、オープンおよびクローズ・タグを含む他のファイルに含まれるパスワードをエンコードできません。 これらのファイル内のパスワードを変更するには、管理コンソール または Rational® Application Developer などの アセンブリー・ツールを使用します。

  3. [IBM i]profile_root/bin/ ディレクトリーで PropFilePasswordEncode スクリプトを使用し、パスワードを再度エンコードします。

    SAS プロパティー・ファイルではないファイルをエンコードする場合は、PropFilePasswordEncoder "file_name" password_properties_list と入力します。

    "file_name" は SAS プロパティー・ファイルの名前で、password_properties_list はファイル内でエンコードするプロパティーの名前です。
    注: PropFilePasswordEncoder ツールを使用して、このファイルでパスワードのみをエンコードする必要があります。

    PropFilePasswordEncoder ツールを使用して、WebSphere Application Server パスワード・ファイルのみをエンコードします。 ユーティリティーは、 XML ファイルまたは、オープンおよびクローズ・タグを含む他のファイルに含まれるパスワードをエンコードできません。 これらのファイル内のパスワードを変更するには、管理コンソール または Rational Application Developer などの アセンブリー・ツールを使用します。

タスクの結果

反映されたファイルを再オープンすると、パスワードはエンコードされています。WebSphere Application Server では、パスワードをデコードするためのユーティリティーは提供されません。
[z/OS]構成ファイル内のパスワードへの依存は、次のような z/OS 固有のフィーチャーを利用することで、WebSphere Application Server for z/OS® 上で最小化できます。
  • System Authorization Facility (SAF) レジストリーを使用して、ユーザー・レジストリー・サーバー・パスワードの要件を除去します。
  • SAF 権限および代行を選択して、role-to-user バインディング・パスワードを除去します。
  • すべての SSL レパートリーに対して RACF® 鍵リングを使用すれば、トラスト・パスワードと鍵ファイル・パスワードは必要なくなります。
  • ネイティブ・コネクターの使用と sync-to-thread の構成により、Java Authentication and Authorization Service (JAAS) 認証データの必要性をできる限り除去します。

次の例は、PropFilePasswordEncoder ツールの使用方法を示しています。
PropFilePasswordEncoder C:¥WASV8¥WebSphere¥AppServer¥profiles¥AppSrv¥properties
¥sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

各部の意味は、次のとおりです。

PropFilePasswordEncoder は、 profile_root/profiles/profile_name/bin ディレクトリーから実行するユーティリティーの名前です。

C:¥WASV6¥WebSphere¥AppServer¥profiles¥AppSrv¥properties¥sas.client.propsは、 エンコードするパスワードが含まれているファイルの名前です。

com.ibm.ssl.keyStorePassword は、 エンコードする、ファイル内のパスワードです。

com.ibm.ssl.trustStorePassword は、 ファイル内のエンコードする第 2 パスワードです。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
ファイル名:tsec_protplaintxt.html