[IBM i]

启用非缺省 OS/400® 密码编码算法

密码编码的目的是阻止偶然查看服务器配置和属性文件中的密码。

开始之前

确保管理控制台内的所有服务器概要文件都位于同一 IBM® i 系统中。

关于此任务

缺省情况下,将在各种 WebSphere® Application Server ASCII 配置文件中使用简单屏蔽算法来自动对密码进行编码。可以手动方式对 Java™ 客户机以及应用程序服务器管理命令所使用的属性文件中的密码进行编码。

要获取 OS400 编码算法的描述,请参阅密码编码和加密。要为 WebSphere Application Server 概要文件启用 OS400 密码编码算法,请完成以下步骤:

过程

  1. 设置 os400.security.password 属性以打开 OS400 密码编码算法并指定要使用哪个验证列表对象。

    请对所有 WebSphere Application Server 概要文件使用同一验证列表对象。但是,如果您未同时备份所有概要文件的对象和数据,那么建议您不要这样做。当您决定要对每个 WebSphere Application Server 概要文件使用哪个验证列表对象时,请考虑备份和恢复策略。

    要设置这些属性,请完成以下其中一个步骤:
    • 对 manageprofiles -create 实用程序(它位于 app_server_root/bin 目录中)使用 -os400passwords-validationlist 选项,以便在创建概要文件时设置属性。要创建名为 prod 的 WebSphere Application Server 概要文件,并通过使用 /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL 验证列表对象对 OS400 编码算法启用该概要文件,您可以完成以下步骤:
      1. 在 IBM i 命令行上运行“启动 Qshell”(STRQSH) 命令。
      2. 在 Qshell 中,运行以下命令:
        app_server_root/bin/manageprofiles 
        -create -profileName prod -startingPort 10150 
        -templatePath default -os400passwords 
        -validationlist /QSYS.LIB/QUSRSYS.LIB/WAS.VLDL

        以上命令分成多行仅为了便于说明。

    • 在 WebSphere Application Server 概要文件的 setupCmdLine Qshell 脚本中设置 Java 系统属性。要启用 OS400 密码编码算法,请通过执行以下步骤来编辑 profile_root/bin/setupCmdLine 脚本:
      1. 将 os400.security.password.encoding.algorithm 属性设为 OS400。缺省设置为 XOR。
      2. 将 os400.security.password.validation.list.object 属性设为您需要使用的验证列表的绝对名称。缺省设置是 /QSYS.LIB/QUSRSYS.LIB/EJSADMIN.VLDL
      3. 保存此文件。
  2. 给 QEJB 用户概要文件授予对包含验证列表的库的运行权限 (*X)。 如果 QEJB 已具有访问该库的最低必需权限 (*X),那么转至下一个步骤。
    1. 如果在 /QSYS.LIB/WSADMIN.LIB 文件中创建了该验证列表,请使用“显示权限”(DSPAUT) 来检查最低必需权限。
      例如:
      DSPAUT OBJ('/QSYS.LIB/WSADMIN.LIB')
    2. 仅当 QEJB 概要文件尚不具有运行权限时,才使用“更改权限”(CHGAUT) 命令给 QEJB 概要文件授予此权限。
      例如:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB') USER(QEJB) DTAAUT(*X)
  3. 创建本机验证列表对象 (*VLDL)。 对于服务器概要文件,此步骤是可选的。启动服务器时已创建该验证列表对象。对于远程概要文件,如果该验证列表在主管远程概要文件的系统上尚不存在,请创建该验证列表。并且,当您决定要对每个远程概要文件使用哪个验证列表对象时,请考虑备份和恢复策略。
    注意: 当您使用 OS400 密码编码算法时,Java 客户机不必与它访问的 WebSphere Application Server 概要文件位于同一 IBM i 系统上。

    要创建验证列表对象,请使用具有 *ALLOBJ 特权的 IBM i 用户概要文件执行以下步骤:

    1. 使用具有 *ALLOBJ 特权的用户概要文件登录服务器。
    2. 使用“创建验证列表”(CRTVLDL) 命令创建验证列表对象。
      例如,要在 WSADMIN.LIB 库中创建 WSVLIST 验证列表对象,请使用以下命令:
      CRTVLDL VLDL(WSADMIN/WSVLIST)
    3. 给 QEJB 用户概要文件授予对验证列表对象的 *RWX 权限。 例如,要授予对 WSADMIN 库中 WSVLIST 验证列表对象的 *RWX 权限,请使用以下命令:
      CHGAUT OBJ('/QSYS.LIB/WSADMIN.LIB/WSVLIST.VLDL') USER(QEJB) DTAAUT(*RWX)
  4. 使用“更改系统值”(CHGSYSVAL) 命令将 QRETSVRSEC 系统值设为 1 例如:
    CHGSYSVAL SYSVAL(QRETSVRSEC) VALUE('1')
  5. 对于服务器概要文件,在尝试对属于该概要文件的属性文件中的密码进行手动编码前,启动或重新启动服务器并等至服务器能够提供服务。

结果

您已启用 OS400 密码编码算法。

下一步做什么

在完成上述步骤并重新启动服务器后,可以对属性文件中的密码进行手动编码。请参阅在属性文件中手动编码密码,以了解更多信息。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enos400encode
文件名:tsec_enos400encode.html