WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化
このトピックは、i5/OS オペレーティング・システムにのみ適用されます。

パスワードのエンコードおよび暗号化

パスワードをエンコードすることによって、 不注意でサーバー構成およびプロパティー・ファイル内のパスワードを見られてしまうことがなくなります。

デフォルトでは、パスワードは、 さまざまな WebSphere Application Server ASCII 構成ファイル内で、 単純なマスキング・アルゴリズムによって自動的にエンコードされます。 さらに、Java クライアントおよび WebSphere Application Server の管理コマンドによって使用されるプロパティー・ファイル内のパスワードを手動でエンコードすることができます。

デフォルトのエンコード・アルゴリズムは、XOR と呼ばれます。 代替の OS400 エンコード・アルゴリズムは、 固有の妥当性検査リスト (*VLDL) オブジェクトのみを活用する WebSphere Application Server for i5/OS で使用できます。 OS400 アルゴリズムを使用すると、パスワードは暗号化された形式で妥当性検査リスト内に保管されます。 構成ファイルには、XOR アルゴリズムの場合に行われるように、 マスクされたパスワードの代わりに、保管されたパスワードへの索引が含まれます。

エンコードされたパスワードでは、次の構文が使用されます。
{algorithm}encoded_password
ここで、{algorithm} は、 パスワードのエンコードに使用するアルゴリズムを 指定するタグで、XOR または OS400 のいずれかになります。 encoded_password 変数は、エンコードされたパスワードの値です。 サーバーまたはクライアントは、パスワードをデコードする必要がある場合、 タグを使用してどのアルゴリズムを使用するかを決定し、 そのアルゴリズムを使用して、エンコードされているパスワードをデコードします。

Java クライアントは、sas.client.props ファイルからパスワードを使用します。 このファイルは profile_root/properties ディレクトリーにあります。

Java クライアントに パスワードのエンコードを使用するには、PropFilePasswordEncoder ツールを 使用して、パスワードを手動で sas.client.props ファイルに エンコードする必要があります。

WebSphere Application Server の管理コマンドは、soap.client.props ファイルからパスワードを使用します。 このファイルは、/properties サブディレクトリーにもあります (SOAP 接続の場合)。 一部の管理コマンドは、オプションで sas.client.props ファイルからパスワードを使用します。 このファイルは、/properties サブディレクトリーにあります (Remote Method Invocation (RMI) 接続の場合)。 管理コマンドで パスワードのエンコードを使用するには、PropFilePasswordEncoder ツールを 使用して、soap.client.props ファイル および sas.client.props ファイル内のパスワードを、 手動でエンコードする必要があります。

重要: OS400 エンコード・アルゴリズムを使用するか、またはデフォルトのアルゴリズムを使用す るかのいずれを選択しても、エンコードはパスワードを完全に保護するには不十分です。 固有のセキュリティーは、 WebSphere Application Server の構成およびプロパティー・ファイルで使用するパスワードを保護するための主要なメカニズムです。

OS400 パスワード・エンコード・アルゴリズムを使用する場合を考慮する際の問題

OS400 パスワード・エンコード・アルゴリズムの使用を決定する前に考慮する場合に重要な問題は、 以下のとおりです。
  • Java クライアント・アプリケーションまたは WebSphere Application Server をホストしているシステムで使用するために、 オペレーティング・システムの値 QRETSVRSEC を 1 に設定する必要があります。 この設定により、WebSphere Application Server は、暗号化されたパスワードを妥当性検査リストから検索することができます。
    重要: システム値 QRETSVRSEC は、 オペレーティング・システム上にあるすべての妥当性検査リスト内の暗号化されたデータへのアクセスに影響を与えます。 この設定がオペレーティング・システムのセキュリティー・ポリシーと矛盾する場合は、 OS400 パスワード・エンコード・アルゴリズムを使用しないでください。
  • サーバー・インスタンスで OS400 アルゴリズムを使用できるのは、 WebSphere Application Server の管理ドメイン内のすべてのサーバー・インスタンスが同じ i5/OS システム上にある場合だけです。 以下の関連した問題を考えてみます。
    • WebSphere Application Server の管理ドメインは、複数の i5/OS システムにわたって拡張できます。 OS400 パスワード・アルゴリズムを使用できるのは、 管理ドメイン内のすべてのサーバーが同じ i5/OS システム上にある場合だけです。
    • サーバー構成 XML ファイルには、エンコードされたパスワードが含まれています。 XML ファイルに入っているパスワードが OS400 エンコード・アルゴリズムを使用してエンコードされている場合、 これらのエンコードは、パスワードが最初にエンコードされた同じ i5/OS システム上にある Application Server インスタンスにのみ有効です。 OS400 エンコード・アルゴリズムを使用してエンコードされたパスワードが入っている構成ファイルのコピーを使用して、 他の i5/OS システム上のサーバーを構成することはできません。
    • 管理ドメイン内のすべてのサーバー・インスタンスは、 同じ固有の妥当性検査リスト (*VLDL) オブジェクトを使用して構成する必要があります。
  • Java クライアントの場合は、いずれの i5/OS システムでも OS400 パスワード・アルゴリズムを使用できます。 ただし、Java クライアントをホストしているシステムにオプション 1 をインストールする必要があります。
  • OS400 エンコード・アルゴリズムを使用したパスワードのエンコード中にエラーが発生した場合は、 パスワードのエンコードに XOR エンコード・アルゴリズムが使用されます。 管理者が妥当性検査リスト・オブジェクトを手動で作成し、 i5/OS QEJB ユーザー・プロファイルの妥当性検査リスト・オブジェクトに付与した権限が不十分であった場合に、 エラーが発生することがあります。



サブトピック
オブジェクトおよびファイルのセキュリティー
関連タスク
非デフォルトの OS/400 パスワード・エンコード・アルゴリズムの使用可能化
プロパティー・ファイルでの手動によるパスワードのエンコード
損傷した妥当性検査リスト・オブジェクトの復元または置換
ファイル内のパスワードの保護
関連資料
パスワードのデコードに関するトラブルシューティングのヒント
関連情報
デフォルトでない OS/400 パスワード・エンコード・アルゴリズムの使用
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/csec_pwdencode.html