Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
17.7.5. Initialiser le Password Vault
Conditions préalables
Le Password Vault peut être initialisé de manière interactive, avec une invite pour la valeur de chaque paramètre, ou de manière non-interactive, où vous fournissez les valeurs de tous les paramètres sur la ligne de commande. Chaque méthode donne le même résultat, vous pouvez donc choisir la méthode qui vous convient.
- URL du keystore (KEYSTORE_URL)
- Le chemin d'accès ou URI du fichier keystore. Les exemples utilisent
EAP_HOME/vault/
.vault.keystore
- Mot de passe du keystore (KEYSTORE_PASSWORD)
- Le mot de passe utilisé pour accéder au keystore.
- Salt (SALT)
- La valeur de
salt
correspond soit à une chaîne de huit caractères au hasard, utilisés avec le nombre d'itérations, pour chiffrer le contenu du keystore. - Alias de keystore Alias (KEYSTORE_ALIAS)
- L'alias sous lequel le keystore est connu.
- Nombre d'itérations (ITERATION_COUNT)
- Le nombre de fois que l'algorithme de chiffrement est exécuté.
- Fichiers de chiffrement du répertoire au store (ENC_FILE_DIR)
- Le chemin où les fichiers chiffrés sont stockés. Normalement, le répertoire contient l'archivage des mots de passe sécurisés.Il est pratique mais non pas obligatoire de stocker toutes vos informations de chiffrement au même endroit dans le keystore. Ce répertoire doit être accessible à des utilisateurs limités uniquement. Au minimum, le compte d'utilisateur sous lequel JBoss EAP exécute requiert un accès lecture-écriture. Si vous avez suivi Section 17.7.4, « Créer un keystore Java pour stocker des strings sensibles », votre keystore se trouvera dans le répertoire nommé
EAP_HOME/vault/
.Note
La barre oblique inverse finale ou oblique sur le nom du répertoire est nécessaire. Assurez-vous d'utiliser le séparateur de chemin d’accès correct du fichier: / (forward slash) for Red Hat Enterprise Linux and similar operating systems, \ (backslash) pour les serveurs Microsoft Windows. - Vault Block (VAULT_BLOCK)
- Nom donné à ce bloc dans l'archivage sécurisé des mots de passes. Choisissez une valeur qui signifie quelquechose pour vous.
- Attribut (ATTRIBUTE)
- Nom donné à l'attribut stocké. Choisissez une valeur qui signifie quelquechose pour vous. Par exemple, vous pouvez choisir un nom que vous associez à une source de données.
- Attribut de Sécurité (SEC-ATTR)
- Le mot de passe qui est stocké dans l'archivage sécurisé de mots de passe.
Procédure 17.8. Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive
Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive
Lancez l'interface en ligne de commande de votre système d'exploitation et exécutezEAP_HOME/bin/vault.sh
(sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ouEAP_HOME\bin\vault.bat
(sur Microsoft Windows Server). Démarrez une nouvelle session interactive en tapant0
(zéro).Complétez les paramètres à l'invite.
Suivez les instructions pour saisir les paramètres qui conviennent.Notez les informations de mot de passe masqué.
Le mot de passe masqué, salt, et le nombre d'itérations sont imprimés en sortie standard. Prenez-en note dans un endroit sûr. Ils sont requis pour ajouter des entrées dans l'archivage sécurisé. Si vous donnez accès au fichier de keystore, ses valeurs permettraient à un assailant d'accéder à des informations sensibles dans l'archivage sécurisé.Sortir de la console interactive.
Saisir3
(trois) pour sortir de la console interactive.
Exemple 17.17. Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive
Please enter a Digit:: 0: Start Interactive Session 1: Remove Interactive Session 2: Exit 0 Starting an interactive session Enter directory to store encrypted files:EAP_HOME/vault/ Enter Keystore URL:EAP_HOME/vault/vault.keystore Enter Keystore password: vault22 Enter Keystore password again: vault22 Values match Enter 8 character salt:1234abcd Enter iteration count as a number (Eg: 44):120 Enter Keystore Alias:vault Initializing Vault Oct 17, 2014 12:58:11 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready Vault Configuration in AS7 config file: ******************************************** ... </extensions> <vault> <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/> <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/> <vault-option name="KEYSTORE_ALIAS" value="vault"/> <vault-option name="SALT" value="1234abcd"/> <vault-option name="ITERATION_COUNT" value="120"/> <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/> </vault><management> ... ******************************************** Vault is initialized and ready for use Handshake with Vault complete
Procédure 17.9. Exécutez la commande d'archivage sécurisé des mots de passe de façon non interactive
- Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez la commande d'archivage sécurisé des mots de passe. Consultez la liste dans Aperçu général, et substituez les valeurs réservées par vos valeurs préférées.Utilisez
EAP_HOME/bin/vault.sh
(sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ouEAP_HOME\bin\vault.bat
(sur Microsoft Windows Server).vault.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --vault-block VAULT_BLOCK --attribute ATTRIBUTE --sec-attr SEC-ATTR --enc-dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT
Exemple 17.18. Exécutez la commande d'archivage sécurisé des mots de passe de façon non interactive
vault.sh --keystore
EAP_HOME/vault/vault.keystore
--keystore-passwordvault22
--aliasvault
--vault-blockvb
--attributepassword
--sec-attr0penS3sam3
--enc-dirEAP_HOME/vault/
--iteration120
--salt1234abcd
Sortie de commande========================================================================= JBoss Vault JBOSS_HOME: EAP_HOME JAVA: java ========================================================================= Oct 17, 2014 2:23:43 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready Secured attribute value has been stored in vault. Please make note of the following: ******************************************** Vault Block:vb Attribute Name:password Configuration should be done as follows: VAULT::vb::password::1 ******************************************** Vault Configuration in AS7 config file: ******************************************** ... </extensions> <vault> <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/> <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/> <vault-option name="KEYSTORE_ALIAS" value="vault"/> <vault-option name="SALT" value="1234abcd"/> <vault-option name="ITERATION_COUNT" value="120"/> <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/> </vault><management> ... ********************************************
Votre mot de passe de keystore est masqué afin de pouvoir être utilisé dans les fichiers de configuration et de déploiement. De plus, votre archivage de sécurité est initialisé et prêt à l'utilisation.