파일의 비밀번호 인코딩

비밀번호 인코딩의 목적은 서버 구성 및 특성 파일에서 비밀번호의 우발적인 관찰을 막는 것입니다. PropFilePasswordEncoder 유틸리티를 사용하여 특성 파일에 저장된 비밀번호를 인코딩하십시오. WebSphere® 애플리케이션 서버는 비밀번호를 디코드하는 유틸리티를 제공하지 않습니다. 인코딩은 비밀번호를 완전히 보호하기에는 충분하지 않습니다. 기본 보안은 WebSphere 애플리케이션 서버 구성 및 특성 파일에서 사용되는 비밀번호를 보호하기 위한 1차 메커니즘입니다.

이 태스크 정보

WebSphere 애플리케이션 서버에는 암호화되지 않은 파일에 인코딩된 비밀번호가 몇 개 포함되어 있습니다. WebSphere 애플리케이션 서버는 비밀번호를 인코딩하는 데 사용할 수 있는 PropFilePasswordEncoder 유틸리티를 제공합니다. 비밀번호 인코딩의 목적은 서버 구성 및 특성 파일에서 비밀번호의 우발적인 관찰을 막는 것입니다. XML 또는 XMI 파일에 포함된 비밀번호는 PropFilePasswordEncoder 유틸리티가 인코딩하지 않습니다.
중요사항: PropFilePasswordEncoder는 기존 특성 및 XML 파일만 업데이트합니다. 후속 파일이 추가된 경우(새 애플리케이션 설치 후 발생할 수 있음) 이 프로시저를 새 파일에 대해 다시 실행해야 합니다.
표 1. 인코딩된 비밀번호가 포함된 XML 및 XMI 파일. 대신, 다음 파일에서는 WebSphere 애플리케이션 서버가 자동으로 비밀번호를 인코딩합니다. 인코딩된 비밀번호가 포함된 XML 및 XMI 파일은 다음을 포함합니다.
파일 이름 추가 정보 탐색
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • LTPA 비밀번호
  • JAAS 인증 데이터
  • 사용자 레지스트리 서버 비밀번호
  • LDAP 사용자 레지스트리 바인드 비밀번호
  • 키 스토어 비밀번호
  • 신용 저장 비밀번호
  • [AIX Solaris HP-UX Linux Windows]암호화 토큰 장치 비밀번호
[AIX Solaris HP-UX Linux Windows][z/OS]보안 > 글로벌 보안 > 적용.
[IBM i]
profile_root/config/cells/cell_name
/security.xml
[IBM i]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • LTPA 비밀번호
  • JAAS 인증 데이터
  • 사용자 레지스트리 서버 비밀번호
  • LDAP 사용자 레지스트리 바인드 비밀번호
  • 키 스토어 비밀번호
  • 신용 저장 비밀번호
  • 암호화 토큰 장치 비밀번호
[IBM i]보안 > 글로벌 보안 > 적용.
war/WEB-INF/ibm_web_bnd.xml
Java™ 암호화 아키텍처의 경우를 제외한 모든 디스크립터 내의 resource-ref 바인딩에 대해 기본값인 기본 인증에 대한 비밀번호를 지정합니다.  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Java 암호화 아키텍처의 경우를 제외한 모든 디스크립터 내의 resource-ref 바인딩에 대해 기본값인 기본 인증에 대한 비밀번호를 지정합니다.  
client jar/META-INF/ibm-appclient_bnd.xml
Java 암호화 아키텍처의 경우를 제외한 모든 디스크립터 내의 resource-ref 바인딩에 대해 기본값인 기본 인증에 대한 비밀번호를 지정합니다.  
ear/META-INF/ibm_application_bnd.xml
모든 디스크립터 내의 run as 바인딩에 대해 기본값인 기본 인증에 대한 비밀번호를 지정하십시오.  
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 스토어 비밀번호
  • 신용 저장 비밀번호
  • [AIX Solaris HP-UX Linux Windows]암호화 토큰 장치 비밀번호
  • 세션 지속 비밀번호
  • DRS 클라이언트 데이터 복제 비밀번호
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/security.xml
[IBM i]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 스토어 비밀번호
  • 신용 저장 비밀번호
  • 암호화 토큰 장치 비밀번호
  • 세션 지속 비밀번호
  • DRS 클라이언트 데이터 복제 비밀번호
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • WAS40Datasource 비밀번호
  • mailTransport 비밀번호
  • mailStore 비밀번호
  • MQQueue 대기열 mgr 비밀번호
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/server1/resources.xml 
[IBM i]
다음 필드에는 인코드된 비밀번호가 있습니다.
  • WAS40Datasource 비밀번호
  • mailTransport 비밀번호
  • mailStore 비밀번호
  • MQQueue 대기열 mgr 비밀번호
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
profile_root/config/cells/cell_name/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]서버 > 서버 유형 > WebSphere Application Server > serverName >JAX-WS 및 JAX-RPC 보안 런타임 > 적용.
[IBM i]
profile_root/config/cells/cell_name
/ws-security.xml 
[IBM i]  [IBM i]서버 > 서버 유형 > WebSphere Application Server > serverName >JAX-WS 및 JAX-RPC 보안 런타임 > 적용.
ibm-webservices-bnd.xmi
이는 JAX-RPC 제공자 애플리케이션과 함께 포함된 배치 디스크립터입니다. 다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
애플리케이션 > 엔터프라이즈 애플리케이션 > application name > 모듈 관리 > module name > 웹 서비스: 서버 보안 바인딩(웹 서비스 보안 특성 아래) > 사용자 정의 편집.
ibm-webservicesclient-bnd.xmi
이는 JAX-RPC 클라이언트 애플리케이션과 함께 포함된 배치 디스크립터입니다. 다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
  • 사용자 이름 토큰 비밀번호
애플리케이션 > 엔터프라이즈 애플리케이션 > application name > 모듈 관리 > module name > 웹 서비스: 클라이언트 보안 바인딩(웹 서비스 보안 특성 아래) > 사용자 정의 편집.
profile_root/config/cells/cell_name/PolicyTyper/WSSecurity/bindings.xml
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
  • 사용자 이름 토큰 비밀번호
서비스 > 정책 세트 > 기본 정책 세트 바인딩 > 버전 6.1 기본 정책 세트 바인딩 > WS-Security > 사용자 정의 특성 > 적용.
profile_root/config/cells/cell_name/nodes/node_name/servers/server_name/server.xml
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 데이터베이스 관리자 비밀번호
서버 > 서버 유형 > WebSphere Application Server > serverName > 세션 관리 > 분산 환경 > 데이터베이스 > 확인.
참고: 데이터베이스를 사용하고 있지 않은 경우에는 없음을 선택하십시오.
profile_root/config/cells/cell_name/applications/(appName/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml은 JAX-WS WS-Security 정책 바인딩 파일입니다. 이 파일이 cell_name/applications 경로에 있으면 이 파일은 애플리케이션 특정 바인딩의 일부입니다.

다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
  • 사용자 이름 토큰 비밀번호
서비스 > service providers 또는 > service clients > resourceName > bindingName > WS-Security > 사용자 정의 특성 > 적용.
profile_root/config/cells/cell_name/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
  • 사용자 이름 토큰 비밀번호
서비스 > 정책 세트 > 일반 제공자 정책 세트 바인딩 > bindingName > WS-Security > 사용자 정의 특성 > 적용.
profile_root/config/cells/cell_name/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
다음 필드에는 인코드된 비밀번호가 있습니다.
  • 키 저장소 비밀번호
  • 키 비밀번호
  • 사용자 이름 토큰 비밀번호
서비스 > 신뢰 서비스 >신뢰 서비스 첨부 > bindingName > WS-Security > 사용자 정의 특성 > 적용.
표 2. PropFilePasswordEncoder 유틸리티 - 부분 파일 목록. PropFilePasswordEncoder 유틸리티를 사용하여 특성 파일에 비밀번호를 인코딩하십시오. 이 파일은 다음을 포함합니다.
파일 이름 추가 정보
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root 
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
다음 파일에 대한 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.client.props 
[IBM i]
다음 파일에 대한 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
다음에 대해 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.tools.properties 
[IBM i]
다음에 대해 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
다음에 대해 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.stdclient.properties
[IBM i]
다음에 대해 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root 
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/properties/wsserver.key
[IBM i] 
profile_root/profiles/AppSrvXX/properties/sib.client.ssl.properties
다음에 대해 비밀번호를 지정합니다.
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/UDDIReg/scripts/UDDIUtilityTools.properties
다음에 대해 비밀번호를 지정합니다.
  • trustStore.password
profile_root/config/cells/cell_name/sts/SAMLIssuerConfig.properties
다음 필드에는 인코드된 비밀번호가 있습니다.
  • KeystorePassword
  • KeyPasswords
  • TrustStorePassword
이전 파일 중 하나에서 비밀번호를 다시 인코드하려면 다음 단계를 완료하십시오.

프로시저

  1. 문서 편집기를 사용하여 파일에 액세스하고 인코드된 비밀번호를 입력하십시오. 새 비밀번호는 더 이상 인코딩된 상태가 아니며 새로 인코딩되어야 합니다.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]비밀번호를 다시 인코드하려면 profile_root/bin 디렉토리에서 PropFilePasswordEncoder.bat 또는 PropFilePasswordEncode.sh 파일을 사용하십시오.

    [AIX Solaris HP-UX Linux Windows]인코딩 파일이 SAS 특성 파일이 아닌 경우, PropFilePasswordEncoder "file_name" password_properties_list을 입력하십시오.

    [z/OS]인코딩 파일이 z/SAS 특성 파일이 아닌 경우, PropFilePasswordEncoder "file_name" password_properties_list을 입력하십시오.

    중요사항: PropFilePasswordEncoder 유틸리티를 사용하는 경우 원래 파일의 백업 버전이 필요한지 여부를 묻는 프롬프트가 표시됩니다. 백업 버전이 필요하면 일반 텍스트 비밀번호가 포함된 백업 파일(.bak)이 작성됩니다. 결과를 확인한 후 이 백업 파일을 삭제하십시오. 여기에는 암호화되지 않은 비밀번호가 들어 있습니다. 이 프롬프트가 표시되지 않도록 하려면 PropFilePasswordEncoder 유틸리티를 편집하고 Java 시스템 특성인 -Dcom.ibm.websphere.security.util.createBackup=true 또는 -Dcom.ibm.websphere.security.util.createBackup=false를 매개변수로 추가하십시오.

    Java 시스템 특성의 true 값은 백업 파일을 작성하고 false 값은 백업 파일을 사용하지 않습니다.

    여기서:

    "file_name"은 z/SAS 특성 파일의 이름이고, password_properties_list는 파일 내에 인코드할 특성 이름입니다.
    참고: 이 파일에서는 PropFilePasswordEncoder 도구를 사용하여 비밀번호만 인코딩해야 합니다.

    PropFilePasswordEncoder 유틸리티를 사용하여 WebSphere 애플리케이션 서버 비밀번호 파일만 인코딩하십시오. 유틸리티는 열기 및 닫기 태그를 포함하는 기타 파일 또는 XML 파일에 포함된 비밀번호를 인코딩할 수 없습니다. 이러한 파일의 비밀번호를 변경하려면 관리 콘솔 또는 어셈블리 도구(예: Rational® Application Developer)를 사용하십시오.

  3. [IBM i]비밀번호를 다시 인코딩하려면 profile_root/bin/ 디렉토리에서 PropFilePasswordEncode 스크립트를 사용하십시오.

    인코딩 파일이 SAS 특성 파일이 아닌 경우, PropFilePasswordEncoder "file_name" password_properties_list을 입력하십시오.

    "file_name"은 SAS 특성 파일의 이름이고, password_properties_list는 파일 내에 인코딩할 특성 이름입니다.
    참고: 이 파일에서는 PropFilePasswordEncoder 도구를 사용하여 비밀번호만 인코딩해야 합니다.

    PropFilePasswordEncoder 도구를 사용하여 WebSphere 애플리케이션 서버 비밀번호 파일만 인코딩하십시오. 유틸리티는 열기 및 닫기 태그를 포함하는 기타 파일 또는 XML 파일에 포함된 비밀번호를 인코딩할 수 없습니다. 이러한 파일의 비밀번호를 변경하려면 관리 콘솔 또는 어셈블리 도구(예: Rational Application Developer)를 사용하십시오.

결과

관련된 파일을 다시 열면 비밀번호가 인코드됩니다. WebSphere 애플리케이션 서버는 비밀번호를 디코드하는 유틸리티를 제공하지 않습니다.
[z/OS]z/OS 특정 기능을 사용하면 구성 파일에서 비밀번호에 대한 의존도가 WebSphere 애플리케이션 서버 for z/OS®에서 최소화될 수 있습니다.
  • SAF(System Authorization Facility) 레지스트리를 사용하여 사용자 레지스트리 서버 비밀번호에 대한 요구사항을 제거하십시오.
  • 역할 대 사용자 바인딩 비밀번호가 제거되도록 SAF 권한 및 위임을 선택하십시오.
  • 모든 SSL 레퍼토리에 RACF® 키 링을 사용하십시오. 신뢰 파일 및 키 파일 비밀번호는 더 이상 필요하지 않습니다.
  • 기본 커넥터를 사용하고 스레드 동기화(sync-to-thread)를 구성하십시오. 그러면 JAAS(Java Authentication and Authorization Service) 인증 데이터가 더 이상 필요하지 않을 수도 있습니다.

다음 예제는 PropFilePasswordEncoder 도구 사용 방법을 나타냅니다.
PropFilePasswordEncoder C:\WASV8\WebSphere\AppServer\profiles\AppSrv\properties
\sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

여기서:

PropFilePasswordEncoder은 profile_root/profiles/profile_name/bin 디렉토리에서 실행 중인 유틸리티의 이름입니다.

C:\WASV6\WebSphere\AppServer\profiles\AppSrv\properties\sas.client.props는 인코딩할 비밀번호가 들어 있는 파일 이름입니다.

com.ibm.ssl.keyStorePassword는 파일에서 인코딩할 비밀번호입니다.

com.ibm.ssl.trustStorePassword는 파일에서 인코딩할 두 번째 비밀번호입니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
파일 이름:tsec_protplaintxt.html