Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

17.7.5. Initialiser le Password Vault

Conditions préalables

Aperçu

Le Password Vault peut être initialisé de manière interactive, avec une invite pour la valeur de chaque paramètre, ou de manière non-interactive, où vous fournissez les valeurs de tous les paramètres sur la ligne de commande. Chaque méthode donne le même résultat, vous pouvez donc choisir la méthode qui vous convient.

Consulter la liste suivante quand vous utilisez une des méthodes.
URL du keystore (KEYSTORE_URL)
Le chemin d'accès ou URI du fichier keystore. Les exemples utilisent EAP_HOME/vault/vault.keystore.
Mot de passe du keystore (KEYSTORE_PASSWORD)
Le mot de passe utilisé pour accéder au keystore.
Salt (SALT)
La valeur de salt correspond soit à une chaîne de huit caractères au hasard, utilisés avec le nombre d'itérations, pour chiffrer le contenu du keystore.
Alias de keystore Alias (KEYSTORE_ALIAS)
L'alias sous lequel le keystore est connu.
Nombre d'itérations (ITERATION_COUNT)
Le nombre de fois que l'algorithme de chiffrement est exécuté.
Fichiers de chiffrement du répertoire au store (ENC_FILE_DIR)
Le chemin où les fichiers chiffrés sont stockés. Normalement, le répertoire contient l'archivage des mots de passe sécurisés.
Il est pratique mais non pas obligatoire de stocker toutes vos informations de chiffrement au même endroit dans le keystore. Ce répertoire doit être accessible à des utilisateurs limités uniquement. Au minimum, le compte d'utilisateur sous lequel JBoss EAP exécute requiert un accès lecture-écriture. Si vous avez suivi Section 17.7.4, « Créer un keystore Java pour stocker des strings sensibles », votre keystore se trouvera dans le répertoire nommé EAP_HOME/vault/.

Note

La barre oblique inverse finale ou oblique sur le nom du répertoire est nécessaire. Assurez-vous d'utiliser le séparateur de chemin d’accès correct du fichier: / (forward slash) for Red Hat Enterprise Linux and similar operating systems, \ (backslash) pour les serveurs Microsoft Windows.
Vault Block (VAULT_BLOCK)
Nom donné à ce bloc dans l'archivage sécurisé des mots de passes. Choisissez une valeur qui signifie quelquechose pour vous.
Attribut (ATTRIBUTE)
Nom donné à l'attribut stocké. Choisissez une valeur qui signifie quelquechose pour vous. Par exemple, vous pouvez choisir un nom que vous associez à une source de données.
Attribut de Sécurité (SEC-ATTR)
Le mot de passe qui est stocké dans l'archivage sécurisé de mots de passe.

Procédure 17.8. Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive

Utilisez cette méthode si vous préférez recevoir une demande de saisir la valeur de chaque paramètre.

  1. Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive

    Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez EAP_HOME/bin/vault.sh (sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ou EAP_HOME\bin\vault.bat (sur Microsoft Windows Server). Démarrez une nouvelle session interactive en tapant 0 (zéro).

  2. Complétez les paramètres à l'invite.

    Suivez les instructions pour saisir les paramètres qui conviennent.

  3. Notez les informations de mot de passe masqué.

    Le mot de passe masqué, salt, et le nombre d'itérations sont imprimés en sortie standard. Prenez-en note dans un endroit sûr. Ils sont requis pour ajouter des entrées dans l'archivage sécurisé. Si vous donnez accès au fichier de keystore, ses valeurs permettraient à un assailant d'accéder à des informations sensibles dans l'archivage sécurisé.

  4. Sortir de la console interactive.

    Saisir 3 (trois) pour sortir de la console interactive.

Exemple 17.17. Exécutez la commande d'archivage sécurisé des mots de passe de façon interactive

Please enter a Digit::   0: Start Interactive Session  1: Remove Interactive Session  2: Exit
0
Starting an interactive session
Enter directory to store encrypted files:EAP_HOME/vault/                        
Enter Keystore URL:EAP_HOME/vault/vault.keystore
Enter Keystore password: vault22
Enter Keystore password again: vault22
Values match
Enter 8 character salt:1234abcd
Enter iteration count as a number (Eg: 44):120
Enter Keystore Alias:vault
Initializing Vault
Oct 17, 2014 12:58:11 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init
INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready
Vault Configuration in AS7 config file:
********************************************
...
</extensions>
<vault>
  <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/>
  <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/>
  <vault-option name="KEYSTORE_ALIAS" value="vault"/>
  <vault-option name="SALT" value="1234abcd"/>
  <vault-option name="ITERATION_COUNT" value="120"/>
  <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/>
</vault><management> ...
********************************************
Vault is initialized and ready for use
Handshake with Vault complete

Procédure 17.9. Exécutez la commande d'archivage sécurisé des mots de passe de façon non interactive

Utilisez cette méthode si vous préférez fournir les valeurs de tous les paramètres en une seule fois.
  • Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez la commande d'archivage sécurisé des mots de passe. Consultez la liste dans Aperçu général, et substituez les valeurs réservées par vos valeurs préférées.
    Utilisez EAP_HOME/bin/vault.sh (sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ou EAP_HOME\bin\vault.bat (sur Microsoft Windows Server). 
    vault.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --vault-block VAULT_BLOCK --attribute ATTRIBUTE --sec-attr SEC-ATTR --enc-dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT

    Exemple 17.18. Exécutez la commande d'archivage sécurisé des mots de passe de façon non interactive

    vault.sh --keystore EAP_HOME/vault/vault.keystore --keystore-password vault22 --alias vault --vault-block vb --attribute password --sec-attr 0penS3sam3 --enc-dir EAP_HOME/vault/ --iteration 120 --salt 1234abcd
    Sortie de commande 
    =========================================================================

  JBoss Vault

  JBOSS_HOME: EAP_HOME

  JAVA: java

=========================================================================

Oct 17, 2014 2:23:43 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init
INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready
Secured attribute value has been stored in vault. 
Please make note of the following:
********************************************
Vault Block:vb
Attribute Name:password
Configuration should be done as follows:
VAULT::vb::password::1
********************************************
Vault Configuration in AS7 config file:
********************************************
...
</extensions>
<vault>
  <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/>
  <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/>
  <vault-option name="KEYSTORE_ALIAS" value="vault"/>
  <vault-option name="SALT" value="1234abcd"/>
  <vault-option name="ITERATION_COUNT" value="120"/>
  <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/>
</vault><management> ...
********************************************
Résultat

Votre mot de passe de keystore est masqué afin de pouvoir être utilisé dans les fichiers de configuration et de déploiement. De plus, votre archivage de sécurité est initialisé et prêt à l'utilisation.

Rapporter un bogue