Codificando as Senhas nos Arquivos

A finalidade da codificação de senha é evitar a observação casual de senhas em arquivos de configuração do servidor e de propriedades. Use o utilitário PropFilePasswordEncoder para codificar senhas armazenadas em arquivos de propriedades. O WebSphere Application Server não fornece um utilitário para decodificar as senhas. A codificação não é suficiente para proteger completamente as senhas. A segurança nativa é o mecanismo primário para proteger as senhas utilizadas nos arquivos de configuração e de propriedades do WebSphere Application Server.

Sobre Esta Tarefa

O WebSphere Application Server contém várias senhas codificadas nos arquivos que não são criptografadas. O WebSphere Application Server fornece o utilitário PropFilePasswordEncoder, que você pode usar para codificar senhas. A finalidade da codificação de senha é evitar a observação casual de senhas em arquivos de configuração do servidor e de propriedades. O utilitário PropFilePasswordEncoder não codifica senhas que estejam contidas em arquivos XML ou XMI.
Importante: O PropFilePasswordEncoder atualiza somente a propriedade existente e os arquivos XML. Se forem incluídos arquivos subsequentes, como pode ocorrer após instalar um novo aplicativo, este procedimento deverá ser executado novamente para esses novos arquivos.
Tabela 1. Arquivos XML e XMI que contêm senhas codificadas. Em vez disso, o WebSphere Application Server codifica automaticamente as senhas nesses arquivos. Os arquivos XML e XMI que contêm senhas codificadas incluem os seguintes:
Nome do Arquivo Informações Adicionais Navegação
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Os campos a seguir contêm senhas codificadas:
  • Senha do LTPA
  • Dados de autenticação do JAAS
  • Senha do servidor do registro do usuário
  • Senha de ligação do registro do usuário LDAP
  • Senha do armazenamento de chaves
  • Senha do armazenamento de confiança
  • [AIX Solaris HP-UX Linux Windows]Senha do dispositivo de token criptográfico
[AIX Solaris HP-UX Linux Windows][z/OS]segurança > Segurança Global > Aplicar.
[IBM i]
profile_root/config/cells/cell_name
/security.xml
[IBM i]
Os campos a seguir contêm senhas codificadas:
  • Senha do LTPA
  • Dados de autenticação do JAAS
  • Senha do servidor do registro do usuário
  • Senha de ligação do registro do usuário LDAP
  • Senha do armazenamento de chaves
  • Senha do armazenamento de confiança
  • Senha do dispositivo de token criptográfico
[IBM i]segurança > Segurança Global > Aplicar.
war/WEB-INF/ibm_web_bnd.xml
Especifica as senhas para a autenticação básica padrão para as ligações resource-ref em todos os descritores, exceto na arquitetura de criptografia Java™  
ejb jar/META-INF/ibm_ejbjar_bnd.xml
Especifica as senhas para a autenticação básica padrão para as ligações resource-ref em todos os descritores, exceto na arquitetura de criptografia Java  
client jar/META-INF/ibm-appclient_bnd.xml
Especifica as senhas para a autenticação básica padrão para as ligações resource-ref em todos os descritores, exceto na arquitetura de criptografia Java  
ear/META-INF/ibm_application_bnd.xml
Especifica as senhas para a autenticação básica padrão para as ligações run as em todos os descritores  
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/security.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Os campos a seguir contêm senhas codificadas:
  • Senha do armazenamento de chaves
  • Senha do armazenamento de confiança
  • [AIX Solaris HP-UX Linux Windows]Senha do dispositivo de token criptográfico
  • Senha de persistência da sessão
  • Senha de replicação de dados de cliente DRS
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/security.xml
[IBM i]
Os campos a seguir contêm senhas codificadas:
  • Senha do armazenamento de chaves
  • Senha do armazenamento de confiança
  • Senha do dispositivo de token criptográfico
  • Senha de persistência da sessão
  • Senha de replicação de dados de cliente DRS
[IBM i] 
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root/config/cells/cell_name
/nodes/node_name/servers/
server_name/resources.xml
[AIX Solaris HP-UX Linux Windows][z/OS]
Os campos a seguir contêm senhas codificadas:
  • Senha de WAS40Datasource
  • Senha de mailTransport
  • Senha de mailStore
  • Senha mgr da Fila MQQueue
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/config/cells/cell_name
/nodes/node_name/servers/server1/resources.xml 
[IBM i]
Os campos a seguir contêm senhas codificadas:
  • Senha de WAS40Datasource
  • Senha de mailTransport
  • Senha de mailStore
  • Senha mgr da Fila MQQueue
[IBM i] 
[AIX Solaris HP-UX Linux Windows]
profile_root/config/cells/cell_name/ws-security.xml
[AIX Solaris HP-UX Linux Windows]  [AIX Solaris HP-UX Linux Windows]servidores > tipos de servidor > servidores de aplicativos websphere > serverName >tempo de execução de segurança JAX-WS e JAX-RPC > Aplicar.
[IBM i]
profile_root/config/cells/cell_name
/ws-security.xml 
[IBM i]  [IBM i]servidores > tipos de servidor > servidores de aplicativos websphere > serverName >tempo de execução de segurança JAX-WS e JAX-RPC > Aplicar.
ibm-webservices-bnd.xmi
Este é um descritor de implementação incluído com os aplicativos do provedor JAX-RPC. Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
Aplicativos > Aplicativos Corporativos > nome do aplicativo > Gerenciar Módulo > nome do módulo > Serviços da web: Ligação de segurança do servidor (em Propriedades de Segurança dos Serviços da Web) > Editar customização.
ibm-webservicesclient-bnd.xmi
Este é um descritor de implementação incluído com os aplicativos cliente do JAX-RPC. Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
  • Senhas do token do nome de usuário
Aplicativos > Aplicativos Corporativos > nome do aplicativo > Gerenciar Módulos > nome do módulo > Serviços da web: Ligação de segurança do cliente (em Propriedades de Segurança dos Serviços da Web) > Editar customização.
profile_root/config/cells/cell_name/PolicyTyper/WSSecurity/bindings.xml
Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
  • Senhas do token do nome de usuário
Serviços > Conjuntos de política > Ligações do conjunto de políticas padrão > Ligações do conjunto de política padrão da versão 6.1 > WS-Security > Propriedades customizadas > Aplicar.
profile_root/config/cells/cell_name/nodes/node_name/servers/server_name/server.xml
Os campos a seguir contêm senhas codificadas:
  • Senha do administrador de base de dados
servidores > Tipos de servidor > Servidores de aplicativos do websphere > serverName > gerenciamento de sessão > ambiente distribuído > banco de dados > OK.
Nota: Caso não esteja usando um banco de dados, escolha: nenhum.
profile_root/config/cells/cell_name/applications/(appName/.../WSSecurity/bindings.xml

WSSecurity/bindings.xml é um arquivo de ligação de diretrizes WS-Security do JAX-WS. Quando está localizado no caminho cell_name/applications, ele faz parte de uma ligação específica do aplicativo.

Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
  • Senhas do token do nome de usuário
Serviços > provedores de serviços ou > clientes de serviços > resourceName > bindingName > WS-Security > Propriedades customizadas > Aplicar.
profile_root/config/cells/cell_name/
  • ./Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Client sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Provider sample V2/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml Bearer Provider sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Client sample/PolicyTypes/WSSecurity/bindings.xml
  • ./Saml HoK Symmetric Provider sample /PolicyTypes/WSSecurity/bindings.xml
Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
  • Senhas do token do nome de usuário
Serviços > Conjuntos de Políticas > Ligações do conjunto de políticas do provedor geral > bindingName > WS-Security > Propriedades customizadas > Aplicar.
profile_root/config/cells/cell_name/sts
  • ./policy/TrustServiceSecurityDefault/PolicyTypes/WSSecurity/bindings.xml
  • ./policy/TrustServiceSymmetricDefault/PolicyTypes/WSSecurity/bindings.xml
Os campos a seguir contêm senhas codificadas:
  • Senhas do keystore
  • Senhas de chave
  • Senhas do token do nome de usuário
Serviços > Serviço de confiança >Anexos de serviço de confiança > bindingName > WS-Security > Propriedades customizadas > Aplicar.
Tabela 2. O Utilitário PropFilePasswordEncoder - Lista Parcial de Arquivos. Utilize o utilitário PropFilePasswordEncoder para codificar as senhas em arquivos de propriedades. Esses arquivos incluem:
Nome do Arquivo Informações Adicionais
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.client.props
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica as senhas para os seguintes arquivos:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.client.props 
[IBM i]
Especifica as senhas para os seguintes arquivos:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.tools.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica senhas para:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.tools.properties 
[IBM i]
Especifica senhas para:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/sas.stdclient.properties
[AIX Solaris HP-UX Linux Windows][z/OS]
Especifica senhas para:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[IBM i]
profile_root/properties/sas.stdclient.properties
[IBM i]
Especifica senhas para:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
  • com.ibm.CORBA.loginPassword
[AIX Solaris HP-UX Linux Windows][z/OS]
profile_root
/properties/wsserver.key
[AIX Solaris HP-UX Linux Windows][z/OS] 
[IBM i]
profile_root/properties/wsserver.key
[IBM i] 
profile_root/profiles/AppSrvXX/properties/sib.client.ssl.properties
Especifica senhas para:
  • com.ibm.ssl.keyStorePassword
  • com.ibm.ssl.trustStorePassword
profile_root/UDDIReg/scripts/UDDIUtilityTools.properties
Especifica senhas para:
  • trustStore.password
profile_root/config/cells/cell_name/sts/SAMLIssuerConfig.properties
Os campos a seguir contêm senhas codificadas:
  • KeystorePassword
  • KeyPasswords
  • TrustStorePassword
Para codificar novamente uma senha em um dos arquivos anteriores, execute as seguintes etapas:

Procedimento

  1. Acesse o arquivo utilizando um editor de texto e digite novamente a senha codificada. A nova senha mostrada não está mais codificada e deve ser codificada novamente.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Utilize o arquivo PropFilePasswordEncoder.bat ou PropFilePasswordEncode.sh no diretório profile_root/bin para codificar a senha novamente.

    [AIX Solaris HP-UX Linux Windows]Se você estiver codificando arquivos que não sejam arquivos de propriedades do SAS, digite PropFilePasswordEncoder "file_name" password_properties_list

    [z/OS]Se você estiver codificando arquivos que não sejam arquivos de propriedades do z/SAS, digite PropFilePasswordEncoder "file_name" password_properties_list

    Importante: Quando você usa o utilitário PropFilePasswordEncoder, um prompt pergunta se uma versão de backup do arquivo original é necessária. Se uma versão de backup for necessária, um arquivo backup (.bak) será criado com a senha de texto sem criptografia. Examine os resultados e, em seguida, exclua esse arquivo backup. Ele contém a senha decriptografada. Se você não desejar ver este aviso, edite o utilitário PropFilePasswordEncoder e inclua a seguinte propriedade do sistema Java como um parâmetro: -Dcom.ibm.websphere.security.util.createBackup=true ou -Dcom.ibm.websphere.security.util.createBackup=false

    Um valor true para a propriedade de sistema Java cria um arquivo de backup e um valor false desativa o arquivo de backup.

    onde:

    "file_name" é o nome do arquivo de propriedades z/SAS e password_properties_list é o nome das propriedades a serem codificadas no arquivo.
    Nota: Apenas a senha deve ser codificada nesse arquivo utilizando a ferramenta PropFilePasswordEncoder.

    Use o utilitário PropFilePasswordEncoder para codificar apenas os arquivos de senha do WebSphere Application Server. O utilitário não pode codificar senhas contidas nos arquivos XML ou em outros arquivos que contenham tags de abertura e de fechamento. Para alterar senhas nesses arquivos, use o console administrativo ou uma ferramenta de montagem, como o Rational Application Developer.

  3. [IBM i]Utilize o script PropFilePasswordEncode no diretório profile_root/bin/ para codificar a senha novamente.

    Se você estiver codificando arquivos que não sejam arquivos de propriedades do SAS, digite PropFilePasswordEncoder "file_name" password_properties_list

    "file_name" é o nome do arquivo de propriedades SAS e password_properties_list é o nome das propriedades a serem codificadas no arquivo.
    Nota: Apenas a senha deve ser codificada nesse arquivo utilizando a ferramenta PropFilePasswordEncoder.

    Utilize a ferramenta PropFilePasswordEncoder para codificar apenas arquivos de senha do WebSphere Application Server. O utilitário não pode codificar senhas contidas nos arquivos XML ou em outros arquivos que contenham tags de abertura e de fechamento. Para alterar senhas nesses arquivos, use o console administrativo ou uma ferramenta de montagem, como o Rational Application Developer.

Resultados

Se você abrir novamente os arquivos afetados, as senhas serão codificadas. O WebSphere Application Server não fornece um utilitário para decodificar as senhas.
[z/OS]A dependência de senhas nos arquivos de configuração pode ser minimizada no WebSphere Application Server para z/OS aproveitando os recursos específicos do z/OS:
  • Utilize um registro SAF (System Authorization Facility) para remover o requisito de uma senha de servidor do registro do usuário.
  • Selecione autorização e delegação SAF para que as senhas de ligação de função para usuário sejam removidas.
  • Utilize um anel de chaves do RACF para todos os repertórios SSL e as senhas do arquivo de chave e confiança não serão mais necessárias.
  • Utilize conectores nativos e configure sync-to-thread para possivelmente remover a necessidade de dados de autenticação JAAS (Java Authentication and Authorization Service).

Exemplo

O seguinte exemplo mostra como usar a ferramenta PropFilePasswordEncoder:
PropFilePasswordEncoder C:\WASV8\WebSphere\AppServer\profiles\AppSrv\properties
\sas.client.props com.ibm.ssl.keyStorePassword,com.ibm.ssl.trustStorePassword

onde:

PropFilePasswordEncoder é o nome do utilitário que está sendo executado no diretório profile_root/profiles/profile_name/bin.

C:\WASV6\WebSphere\AppServer\profiles\AppSrv\properties\sas.client.props é o nome do arquivo que contém as senhas a serem codificadas.

com.ibm.ssl.keyStorePassword é uma senha a ser codificada no arquivo.

com.ibm.ssl.trustStorePassword é uma segunda senha a ser codificada no arquivo.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_protplaintxt
Nome do arquivo: tsec_protplaintxt.html