사용자 정의 비밀번호 암호화 사용

WebSphere® Application Server 구성에 포함되는 비밀번호를 보호해야 합니다. 서버 프로파일을 작성한 후, 비밀번호를 암호화하기 위한 사용자 정의 클래스를 작성하여 보호를 추가할 수 있습니다.

시작하기 전에

비밀번호 암호화를 위한 사용자 정의 클래스를 작성하십시오. 자세한 정보는 사용자 정의 비밀번호 암호화의 플러그 지점의 내용을 참조하십시오.

이 태스크 정보

다음 단계를 완료하여 사용자 정의 비밀번호 암호화를 사용 가능하게 하십시오. 암호화된 비밀번호와 해당 탐색 경로를 포함하는 애플리케이션 서버 프로파일의 파일의 목록의 경우, 파일의 비밀번호 인코딩의 내용을 참조하십시오.

프로시저

  1. 모든 서버 및 클라이언트 프로세스에 대해 다음 시스템 특성을 추가하십시오. 서버 프로세스의 경우 각 프로세스에 대한 server.xml 파일을 업데이트하십시오. 이들 특성을 -D 접두부가 앞에 오는 genericJvmArgument 인수로서 추가하십시오.
    com.ibm.wsspi.security.crypto.customPasswordEncryptionClass=
           com.acme.myPasswordEncryptionClass
    com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled=true
    중요사항: wsadmin 클라이언트에 관하여, 접속 모드에서 wsadmin을 사용하면, 이 특성은 AdminTask.setJVMSystemProperties 명령을 사용하여 또는 콘솔을 통하여 연결된 배치 관리자 또는 서버에 설정되어야 합니다. 로컬 모드(conntype=NONE)에서 wsadmin을 사용하면, 여기에서 보여진 것처럼, javaoption 명령 옵션을 가진 특성을 설정할 수 있습니다.
    wsadmin -conntype none -lang jython -javaoption
    -Dcom.ibm.wsspi.security.crypto.customPasswordEncryptionClass=<encryptionClassToUse>
    팁: 사용자 정의 암호화 클래스 이름이 com.ibm.wsspi.security.crypto.CustomPasswordEncryptionImpl인 경우, 이 클래스가 클래스 경로에 존재할 때 자동으로 사용 가능하게 됩니다. 사용자 정의 구현이 이 패키지 및 클래스 이름을 가질 때 이전에 나열되는 시스템 특성을 정의하지 마십시오. 이 클래스에 대한 암호화를 사용 불가능하게 하려면 com.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled=false를 시스템 특성으로 지정해야 합니다.
  2. WebSphere Application Server 런타임을 구성하기 위한 다음 메소드 중 하나를 선택하여 사용자 정의 암호화 구현 클래스를 로딩합니다.
    • 사용자가 작성한 ${WAS_INSTALL_ROOT}/classes 디렉토리에 상주하는 JAR(Java™ archive) 파일에 사용자 정의 암호화 클래스를 배치하십시오.
      문제점 방지 문제점 방지: WebSphere Application Server${WAS_INSTALL_ROOT}/classes 디렉토리를 작성하지 않습니다. 클래스 디렉토리에 대한 자세한 정보는 "사용자 정의 클래스를 위한 프로파일에서 클래스 서브디렉토리 작성" 주제의 내용을 참조하십시오. gotcha
    • ${WAS_HOME}/lib/ext 디렉토리에 상주하는 JAR(Java archive) 파일에 사용자 정의 암호화 클래스를 배치하십시오.
  3. 모든 서버 프로세스를 다시 시작하십시오.
  4. 비밀번호를 포함하는 각 구성 문서를 편집하고 구성을 저장하십시오. 그런 다음, 모든 비밀번호 필드가 WSEncoderDecoder 유틸리티를 통해 실행되며, 이는 사용 가능할 때 플러그 포인트를 호출합니다. {custom:alias} 태그가 구성 문서에 표시됩니다. 비밀번호는 암호화되는 경우에도 여전히 Base64 인코드됩니다. 다른 태그를 제외하고, 인코딩된 비밀번호와 유사한 것처럼 보입니다.
  5. PropsFilePasswordEncoder (.bat 또는.sh) 유틸리티를 사용하여 클라이언트측 특성 파일에 있는 비밀번호도 암호화하십시오. 이 유틸리티는 새 비밀번호를 인코딩하는 대신 암호화하기 위해 이전에 나열되는 특성이 스크립트에 시스템 특성으로 정의되어야 합니다. 특성을 Java 명령행에 추가하려면 스크립트를 편집해야 합니다. 예를 들어 다음과 같습니다.
    %JAVA_EXE% -Dcom.ibm.wsspi.security.crypto.customPasswordEncryptionEnabled=true 
    -Dcom.ibm.wsspi.security.crypto.customPasswordEncryptionClass=mysample.MySampleEncryption 
    -Dcmd.properties.file=%TMPJAVAPROPFILE% 
    "-Dwas.install.root=%WAS_HOME%" com.ibm.ws.bootstrap.WSLauncher com.ibm.ws.security.util.PropFilePasswordEncoder %*
    PropsFilePasswordEncoder를 통하여 실행되고 파일의 비밀번호 인코딩에서 테이블 2를 참조할 필요가 있는 파일의 목록을 위해.
  6. 클라이언트 JVM(Java Virtual Machine)으로부터 비밀번호를 복호화하려면, 각 클라이언트 유틸리티를 위한 시스템 특성으로 이전에 나열된 특성을 추가하십시오.
  7. 모든 노드가 이 기능을 사용으로 설정하기 전에 해당 클래스 경로에서 사용자 정의 암호화 클래스를 가지고 있는지 확인하십시오. 인에이블먼트가 발생하는 순서가 중요합니다. 비밀번호 암호화가 들어있는 셀에 새 노드를 추가할 때, 새 노드는 addNode 명령을 사용하기 전에 사용자 정의 암호화 클래스를 포함해야 합니다. 다음 WebSphere Application Server, Network Deployment 인에이블먼트 시나리오를 고려하십시오.
    1. StandAloneProfile 프로파일은 배치 관리자 셀에 대한 연합 전에 비밀번호를 다른 키로 암호화합니다. 이 시나리오의 경우, 구성이 addNode 명령을 실행시키기 전에 비밀번호에 선행하는 {xor} 태그를 가지고 있는지 확인하도록 사용자 정의 비밀번호 암호화를 설치 제거해야 합니다. 플러그 지점의 동일한 구현은 addNode 명령을 실행시키기 전에 /classes 디렉토리에 있어야 하고 연합이 완료한 후 새 노드가 security.xml 파일의 암호화된 비밀번호 형식을 인지할 수 있도록 적절한 구성 특성이 설정됩니다.
    2. StandAloneProfile 프로파일에는 배치 관리자 셀에 대한 연합 전에 구성된 비밀번호 암호화가 없습니다. 플러그 지점의 동일한 구현은 addNode 명령을 실행시키기 전에 /classes 디렉토리에 있어야 하고 연합이 완료한 후 새 노드가 security.xml 파일의 암호화된 비밀번호 형식을 인지할 수 있도록 적절한 구성 특성이 설정됩니다.
    3. 다중 노드로 셀에서 사용자 정의 비밀번호 암호화를 가능하게 하면 올바른 구성 특성을 업데이트하고 모든 노드에 있는 사용자 정의 비밀번호 암호화 구현 클래스를 가지고 있으십시오. 셀의 모든 프로세스를 중지한 후 배치 관리자를 시작하십시오. 관리 콘솔을 사용하여 보안 구성을 편집하고 이를 저장하십시오. security.xml 파일을 보고 비밀번호 앞에 {custom:alias} 태그가 오는지 확인하여 비밀번호가 암호화되는지 확인하십시오.
    4. 각 노드에서 syncNode 명령을 실행하고 각 노드를 개별적으로 시작하십시오. 임의의 노드가 시작하지 못하는 경우 각 security.xml 파일에서 사용자 정의 비밀번호 암호화가 제대로 사용 가능한지 및 구현 클래스가 플랫폼에 대한 적합한 /classes 디렉토리에 있는지 확인하십시오.

결과

사용자 정의 비밀번호 암호화가 사용 가능합니다.

다음에 수행할 작업

사용자 정의 비밀번호 암호화에 실패하거나 더 이상 필요없는 경우 사용자 정의 비밀번호 암호화 사용 안함의 내용을 확인하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enable_custpass_encrypt
파일 이름:tsec_enable_custpass_encrypt.html