[IBM i]

비밀번호 인코딩 및 암호화

비밀번호 인코딩은 서버 구성과 특성 파일에서 비밀번호를 임의로 볼 수 없게 합니다.

기본적으로, 비밀번호는 여러 WebSphere® Application Server ASCII 구성 파일에서 단순 마스킹 알고리즘으로 인코딩됩니다. 또한 Java™ 클라이언트 및 WebSphere Application Server용 관리 명령에서 사용된 특성 파일에서 수동으로 비밀번호를 인코딩할 수 있습니다.

기본 인코딩 알고리즘은 XOR이라고 합니다. 대체 OS400 인코딩 알고리즘은 기본 유효성 검증 목록(*VLDL) 오브젝트만 이용하는 WebSphere Application Server for IBM® i와 함께 사용될 수 있습니다. OS400 알고리즘에서는 비밀번호가 유효성 검증 목록에서 암호화 양식으로 저장됩니다. 구성 파일에는 마스크된 비밀번호 대신 저장된 비밀번호에 대한 색인이 XOR 알고리즘에서 수행된 상태 그대로 포함됩니다.

인코드된 비밀번호는 다음 구문을 사용합니다.
{algorithm}encoded_password
여기서 {algorithm}은 비밀번호를 인코드하기 위해 사용하는 알고리즘(XOR 또는 OS400)을 지정하는 태그입니다.encoded_password 변수는 비밀번호의 인코드된 값입니다. 서버 또는 클라이언트가 비밀번호를 디코드해야 하는 경우, 태그를 사용하여 사용할 알고리즘을 판별한 후 그 알고리즘을 사용하여 인코드된 비밀번호를 디코드합니다.

Java 클라이언트는 sas.client.props 파일의 비밀번호를 사용하며, 이는 profile_root/properties 디렉토리에 있습니다.

Java 클라이언트와 비밀번호 인코딩을 사용하려면, 비밀번호는 PropFilePasswordEncoder 도구를 사용하여 sas.client.props 파일에서 수동으로 인코딩해야 합니다.

WebSphere Application Server용 관리 명령은 soap.client.props 파일의 비밀번호를 사용하며, 이는 SOAP 연결을 위한 profile_root/properties 디렉토리에도 있습니다. 일부 관리 명령은 선택적으로 RMI(Remote Method Invocation) 연결을 위한 profile_root/properties의 sas.client.props 파일에서 비밀번호를 사용합니다. 관리 명령으로 비밀번호 인코딩을 사용하려면 PropFilePasswordEncoder 도구를 사용하여 soap.client.propssas.client.props 파일에서 수동으로 비밀번호를 인코딩해야 합니다.

주의: OS400 인코딩 알고리즘 또는 기본 인코딩 알고리즘 사용 여부에 관계없이 인코딩은 완전히 비밀번호를 보호하기에 충분하지 않습니다. 기본 보안은 WebSphere Application Server용 구성 및 특성 파일에 사용되는 비밀번호를 보호하기 위한 기본 메커니즘입니다.

OS400 비밀번호 인코딩 알고리즘을 사용할 경우 고려할 사항

다음은 OS400 비밀번호 인코딩 알고리즘을 사용할 것을 결정하기 전에 고려할 중요한 사항입니다.
  • QRETSVRSEC 운영 체제 값을 1로 설정해야 Java 클라이언트 애플리케이션 또는 WebSphere Application Server를 호스트하는 시스템에서 사용할 수 있습니다. 이 설정으로 WebSphere Application Server는 유효성 검증 목록에서 암호화된 비밀번호를 검색할 수 있습니다.
    주의: QRETSVRSEC 시스템값은 사용자 운영 체제에 있는 모든 유효성 검증 목록에 있는 암호화된 데이터에 대한 액세스에 영향을 줍니다. 이 설정이 사용자 운영 체제의 보안 정책과 일치하지 않으면 OS400 비밀번호 인코딩 알고리즘을 사용하지 마십시오.
  • WebSphere Application Server용 관리 도메인 내 모든 서버 인스턴스가 동일한 IBM i 시스템에 있을 때만 OS400 알고리즘을 서버 인스턴스와 사용할 수 있습니다. 다음 관련된 문제를 고려하십시오.
    • WebSphere Application Server용 관리 도메인은 다중 IBM i 시스템의 전반으로 확장할 수 있습니다. 관리 도메인 내의 모든 서버가 동일한 IBM i 시스템에 있는 경우에만 OS400 비밀번호 알고리즘을 사용할 수 있습니다.
    • 서버 구성 XML 파일은 인코드된 비밀번호를 포함합니다. XML 파일에 포함되는 비밀번호가 OS400 인코딩 알고리즘을 사용하여 인코딩되면, 해당 인코딩은 비밀번호가 원래 인코딩된 동일 IBM i 시스템의 Application Server 프로파일에 대해서만 유효합니다. OS400 인코딩 알고리즘을 사용하여 인코딩된 비밀번호를 포함하는 구성 파일의 사본은 다른 IBM i 시스템에 서버를 구성하는데 사용될 수 없습니다.
    • 관리 도메인 내의 모든 서버 인스턴스는 동일한 기본 유효성 검증 목록(*VLDL) 오브젝트를 사용하도록 구성해야 합니다.
  • Java 클라이언트의 경우, IBM i 시스템에서 OS400 비밀번호 알고리즘을 사용할 수 있습니다. 그러나 옵션 1은 Java 클라이언트를 호스트하는 시스템에 설치해야 합니다.
  • OS400 인코딩 알고리즘을 사용하여 비밀번호를 인코딩하는 동안 오류가 발생하면 XOR 인코딩 알고리즘을 사용하여 비밀번호를 인코딩합니다. 관리자가 수동으로 유효성 검증 목록 오브젝트를 작성하고, 불충분한 권한을 IBM i QEJB 사용자 프로파일을 위한 유효성 검증 목록 오브젝트에 부여하면 오류가 발생할 수 있습니다.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_pwdencode
파일 이름:csec_pwdencode.html