비밀번호 인코딩의 목적은 서버 구성 및 특성 파일에서 비밀번호의
우발적인 관찰을 막는 것입니다.
시작하기 전에
관리 콘솔 내의 모든 서버 인스턴스가 동일한 IBM® i 시스템에
상주하는지 확인하십시오.
이 태스크 정보
기본적으로 비밀번호는 WebSphere® Application Server에 대한 다양한 ASCII
구성 파일에서 단순 마스킹 알고리즘을 사용하여 자동으로 인코드됩니다.
Java™ 클라이언트 및 Application Server 관리 명령에 의해 사용되는 특성
파일에서 수동으로 비밀번호를 인코드할 수 있습니다.
OS/400 인코딩 알고리즘의
설명에 대해서는 비밀번호 인코딩 및 암호화의 내용을 참조하십시오. WebSphere Application Server
프로파일에 대해 OS400 비밀번호 인코딩 알고리즘을 사용하려면 다음 단계를 완료하십시오.
프로시저
- os400.security.password 특성을 설정하여 OS400 비밀번호
인코딩 알고리즘을 켜고 사용할 유효성 검증 목록 오브젝트를 지정하십시오.
모든 WebSphere Application Server 프로파일에
대해 동일한 유효성 검증 목록 오브젝트를 사용하십시오. 그러나 모든 프로파일에 대해
동시에 오브젝트 및 데이터를 백업하지 않는 경우에는 권장되지 않습니다. 각 WebSphere Application Server 프로파일에 대해 사용할 유효성 검증 목록 오브젝트를
결정할 때 백업 및 복원 정책을 고려하십시오.
특성을 설정하려면
다음 단계 중 하나를 완료하십시오.
- manageprofiles -create 유틸리티에 대해 -os400passwords 및
-validationlist 옵션을 사용하여 프로파일을 작성할 때
특성을 설정하십시오. 이 유틸리티는 app_server_root/bin 디렉토리에 있습니다. prod라는
WebSphere Application Server
프로파일을 작성하고 /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL 유효성 검증
목록 오브젝트를 사용하여 OS400 인코딩 알고리즘에 대해 해당 프로파일을
사용 가능하게 하기 위해 다음 단계를 완료할 수 있습니다.
- IBM i
명령행에서 STRQSH(Qshell 시작) 명령을 실행하십시오.
- Qshell에서, 다음 명령을 실행하십시오.
app_server_root/bin/manageprofiles
-create -profileName prod -startingPort 10150
-templatePath default -os400passwords
-validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL
이전 명령은
설명 목적을 위해서만 다중 행으로 되어 있습니다.
- WebSphere Application Server 프로파일의 setupCmdLine Qshell 스크립트에
Java 시스템 특성을 설정하십시오. OS400 비밀번호 인코딩 알고리즘을 사용하려면
다음 단계를 사용하여 profile_root/bin/setupCmdLine
스크립트를 편집하십시오.
- os400.security.password.encoding.algorithm 특성을 OS400으로 설정하십시오.
기본 설정은 XOR입니다.
- os400.security.password.validation.list.object 특성을 사용자가 사용해야
하는 유효성 검증 목록의 절대 이름으로 설정하십시오. 기본 설정은 /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL입니다.
- 파일을 저장하십시오.
- QEJB 사용자 프로파일에 유효성 검증 목록이 들어있는 라이브러리에 대한 실행 권한(*X)을 부여하십시오. QEJB에 이미 라이브러리에
액세스하기 위한 최소 필수 권한(*X)이 있는 경우 다음 단계를 계속하십시오.
- DSPAUT(권한 표시)를 사용하여 유효성 검증 목록이 /QSYS.LIB/WSADMIN.LIB
파일에 작성되는 경우 최소 필수 권한을 확인하십시오.
예를 들어, 다음과 같습니다.
DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
- CHGAUT(권한 변경) 명령을 사용하여 QEJB 프로파일이 아직 이 권한을
갖지 않는 경우에만 QEJB 프로파일에 실행 권한을 부여하십시오.
예를 들어, 다음과 같습니다.
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
- 기본 유효성 검증 목록 오브젝트(*VLDL)를 작성하십시오. 이 단계는 서버 프로파일에 대해
선택적입니다. 유효성 검증 목록 오브젝트는 서버가
시작될 때 작성됩니다. 원격 프로파일의 경우, 유효성 검증 목록이 아직
원격 프로파일을 호스트하는 시스템에 존재하지 않는 경우 유효성 검증
목록을 작성하십시오. 또한 각 원격 프로파일에 사용할 유효성 검증 목록
오브젝트를 결정할 때 백업 및 복원 정책을 고려하십시오.
주의: OS400
비밀번호 인코딩 알고리즘을 사용할 때, Java 클라이언트가 해당 클라이언트가
액세스하는 WebSphere Application Server 프로파일과 동일한 IBM i 시스템에
상주할 필요는 없습니다.
유효성 검증 목록 오브젝트를 작성하려면 *ALLOBJ
특수 권한을 갖는 IBM i 사용자 프로파일을 사용하여 다음 단계를 수행하십시오.
- *ALLOBJ 특수 권한을 갖는 사용자 프로파일을 사용하여
서버에 사인온하십시오.
- CRTVLDL(유효성 검증 작성) 명령을 사용하여 유효성 검증 목록 오브젝트를 작성하십시오.
예를 들어 WSADMIN.LIB 라이브러리에
WSVLIST 유효성 검증 목록 오브젝트를 작성하려면 다음 명령을 사용하십시오.
CRTVLDL VLDL(WSADMIN/WSVLIST)
- QEJB 사용자 프로파일 *RWX 권한을 유효성 검증 목록 오브젝트에
부여하십시오. 예를 들어, WSADMIN 라이브러리의 WSVLIST 유효성 검증 목록 오브젝트에
*RWX 권한을 부여하려면 다음 명령을 사용하십시오.
CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
- CHGSYSVAL(시스템 값 변경) 명령을 사용하여 QRETSVRSEC 시스템 값을 1로 설정하십시오. 예를 들어, 다음과 같습니다.
CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
- 서버 프로파일의 경우, 서버를 시작 또는 다시 시작하고 프로파일에
속하는 특성 파일에 수동으로 비밀번호를 인코드하려 시도하기 전에 서버가 서비스할
준비가 될 때까지 기다리십시오.
결과
OS400 비밀번호 인코딩 알고리즘을 사용 가능하게 했습니다.
다음에 수행할 작업
이전 단계를 완료하고 서버를 다시 시작한 후
수동으로 특성 파일의 비밀번호를 인코드할 수 있습니다. 자세한 정보는
특성 파일에서 수동으로 비밀번호 인코딩의 내용을 참조하십시오.