パスワードの管理

パスワードの管理には複数の方法があります。各管理者には、パスワードを秘密にして定期的に変更するように指示します。ユーザーにコマンドを入力させず、asadmin のサブコマンドがパスワードを格納したファイルにアクセスできるように、これらのファイルを設定することができます。domain.xml ファイルで重要なパスワードが表示されないように、エイリアスを設定してパスワードを暗号化することができます。

ここでは、次のテーマを取り上げます。

• 「マスターパスワードを変更する」

• 「管理パスワードを変更する」

• 「パスワードをファイルから設定する」

• 「パスワードエイリアスの管理」

マスターパスワードを変更する

マスターパスワードは、ドメインで使用される暗号化ストア (NSS cert8.db トラストストアまたは Java JKS キーストア) へのアクセスを許可します。このパスワードは、UNIX ユーザーに結び付けられません。この全体で共有されるパスワードは、システムでもっとも重要なデータです。マスターパスワードを認証に使用したり、ネットワークを介して送信したりすることは決してありません。

パスワードを要求されたときに手動で入力するか、パスワードファイルに隠蔽化することができます。パスワードファイルがない場合は、マスターパスワードの入力を要求されます。パスワードファイルがある場合に、入力を必要とするようにアクセスを変更する場合は、ファイルを削除します。デフォルトのマスターパスワードは changeit です。

change-master-password サブコマンドをローカルモードで使用して、マスターパスワードを変更します。

マスターパスワードを変更すると、マスターパスワードキーストアにパスワードが再保存されます。これは、Java JCEKS タイプのキーストアです。

始める前に

ドメインが停止していない場合、このサブコマンドは機能しません。

1. パスワードを変更するドメインを停止します。

   「ドメインの停止」を参照してください。

2. change-master-password(1) サブコマンドを使用して、ドメインのマスターパスワードを変更します。

   旧パスワードと新しいパスワードの入力を要求されます。依存しているすべての項目が再暗号化されます。

3. ドメインを起動します。

   「ドメインの起動」を参照してください。

例 11–1 マスターパスワードの変更

change-master-password サブコマンドは対話形式で動作し、旧マスターパスワードと新しいマスターパスワードの入力を要求します。この例では、domain44ps のマスターパスワードを変更します。

asadmin> change-master-password domain44ps

login(1) サブコマンドを使用してすでにドメインにログインしている場合は、新しいマスターパスワードの入力を要求されます。

Please enter the new master password>
Please enter the new master password again>

ドメインにログインしていない場合は、旧マスターパスワードと新しいマスターパスワードの両方の入力を要求されます。

Please enter the master password again>
Please enter the new master password>
Please enter the new master password again>

次のような情報が表示されます。

Master password changed for domain44ps

参照

コマンド行に asadmin help change-master-password と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。

管理パスワードを変更する

管理パスワードを変更するには、リモートモードで change-admin-password サブコマンドを使用します。デフォルトの管理パスワードは admin です。確認のために、旧パスワードと新しいパスワードの入力を要求されます。

ZIP インストール中に、パスワードが設定されていないデフォルトの admin ユーザーを受け入れている場合は、このユーザーにパスワードを追加できます。パスワードが設定されていない admin というユーザーしか存在しない場合は、ログイン情報を要求されません。その他の状況ではログインが必要です。

管理パスワードの暗号化は強く推奨されています。

始める前に

パスワードのエイリアスを作成する (暗号化する) 前に管理パスワードを変更する場合は、set サブコマンドを使用できます。次に例を示します。

asadmin set --user admin server.jms-service.jms-host.default_JMS_host.admin-password=
new_pwd

1. サーバーが実行されていることを確認します。

   リモートサブコマンドには、実行中のサーバーが必要です。

2. change-admin-password(1) サブコマンドを使用して、管理パスワードを変更します。

3. 要求に従って、旧管理パスワードと新しい管理パスワードを入力します。

例 11–2 管理パスワードの変更

この例では、ユーザー anonymous の管理パスワードを、adminadmin から newadmin に変更します。

asadmin> change-admin-password --user anonymous

旧管理パスワードと新しい管理パスワードの入力を要求されます。

Enter admin password>adminadmin
Enter new admin password>newadmin
Enter new admin password again>newadmin

次のような情報が表示されます。

Command change-admin-password executed successfully.

参照

コマンド行に asadmin help change-admin-password と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。

パスワードをファイルから設定する

コマンド行にパスワードを入力する代わりに、passwords.txt などのファイルからコマンドのパスワードにアクセスできます。asadmin ユーティリティーの --passwordfile オプションは、パスワードを含むファイルの名前を受け取ります。ファイル内のパスワードのエントリには、パスワード名の前に AS_ADMIN_ というプレフィックス (大文字) を付ける必要があります。

次のタイプのパスワードも指定できます。

AS_ADMIN_MASTERPASSWORD
AS_ADMIN_USERPASSWORD
AS_ADMIN_ALIASPASSWORD

1. パスワードファイルを編集します。

   たとえば、ドメイン管理サーバー (DAS) のパスワードを指定するには、パスワードファイルに次のようなエントリを追加します。adminadmin は管理者パスワードです。

   AS_ADMIN_PASSWORD=adminadmin 

2. パスワードファイルを保存します。

   これで、asadmin サブコマンドにパスワードファイルを指定できるようになりました。この例では、passwords.txt がパスワードを含むファイルです。

   asadmin>delete-jdbc-resource --user admin --password passwords.txt jdbc/DerbyPool

注意事項

AS_ADMIN_PASSWORD がグローバル環境にエクスポートされている場合、--passwordfile オプションを指定すると、--passwordfile オプションの使用に関する警告が表示されます。この警告が生成されないようにするには、AS_ADMIN_PASSWORD を設定解除します。

パスワードエイリアスの管理

パスワードエイリアスは、パスワード自体が構成ファイルに現れないように、パスワードに間接的にアクセスするために使用します。

ここでは、次のテーマを取り上げます。

• 「パスワードエイリアスを作成する」

• 「パスワードエイリアスを一覧表示する」

• 「パスワードエイリアスを削除する」

• 「パスワードエイリアスを更新する」

パスワードエイリアスを作成する

パスワードのエイリアスをドメインのキーストアに作成するには、リモートモードで create-password-alias サブコマンドを使用します。エイリアス名に対応するパスワードは、ドメイン構成ファイルに暗号化された形式で保存されます。create-password-alias サブコマンドの形式には、ユーザーにすべての情報を要求するセキュリティー保護された対話形式と、パスワードがコマンド行で伝達されるスクリプトに適した形式があります。

set(1) サブコマンドを使用して、構成ファイル中のパスワードを削除および置換することもできます。次に例を示します。

asadmin set --user admin server.jms-service.jms-host.default_JMS_host.
admin-password='${ALIAS=jms-password}'

1. サーバーが実行されていることを確認します。

   リモートサブコマンドには、実行中のサーバーが必要です。

2. 構成ファイルが保存されているディレクトリに移動します。

   デフォルトでは、構成ファイルは domain-dir /config に保存されています。

3. create-password-alias(1) サブコマンドを使用して、パスワードエイリアスを作成します。

4. 要求に応じて、エイリアスのパスワードを入力します。

5. エイリアスをパスワードファイルに追加します。

   パスワードファイル (たとえば、passwords.txt) に、AS_ADMIN_PASSWORD=${ALIAS=admin-password-alias} という行を追加します。admin-password-alias は新しいパスワードエイリアスです。

6. Enterprise Server ドメインを停止します。

   「ドメインの停止」を参照してください。

7. エイリアスを含むファイルを指定して、ドメインを起動します。

   次に例を示します。

   asadmin start-domain --user admin --passwordfile /path-to/passwords.txt domain1

例 11–3 パスワードエイリアスの作成

この例では、admin ユーザーの新しい jms-password エイリアスを作成します。

asadmin> create-password-alias --user admin jms-password

エイリアスのパスワードを入力するように要求されます。

Please enter the alias password>secret-password
Please enter the alias password again>secret-password
Command create-password-alias executed successfully.

参照

コマンド行に asadmin help create-password-alias と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。

パスワードエイリアスを一覧表示する

既存のパスワードエイリアスを一覧表示するには、リモートモードで list-password-aliases サブコマンドを使用します。

1. サーバーが実行されていることを確認します。

   リモートサブコマンドには、実行中のサーバーが必要です。

2. list-password-aliases(1) サブコマンドを使用して、パスワードエイリアスを一覧表示します。

例 11–4 パスワードエイリアスの一覧表示

この例では、既存のパスワードエイリアスを一覧表示します。

asadmin> list-password aliases
jmspassword-alias
Command list-password-aliases executed successfully

参照

コマンド行に asadmin help list-password-aliases と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。

パスワードエイリアスを削除する

既存のパスワードエイリアスを削除するには、リモートモードで delete-password-alias サブコマンドを使用します。

1. サーバーが実行されていることを確認します。

   リモートサブコマンドには、実行中のサーバーが必要です。

2. list-password-aliases(1) サブコマンドを使用して、エイリアスをすべて表示します。

3. list-password-aliases(1) サブコマンドを使用して、パスワードエイリアスを削除します。

例 11–5 パスワードエイリアスの削除

この例では、パスワードエイリアス jmspassword-alias を削除します。

asadmin> delete-password-alias jmspassword-alias
Command list-password-aliases executed successfully

参照

コマンド行に asadmin help delete-password-alias と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。

パスワードエイリアスを更新する

既存のパスワードエイリアスのパスワードを変更するには、リモートモードで update-password-alias サブコマンドを使用します。update-password-alias サブコマンドでは、セキュリティー保護された対話形式 (ユーザーがすべての情報の入力を求められる) と、スクリプトの処理しやすい形式 (パスワードがコマンド行で伝達される) の両方を使用できます。

1. サーバーが実行されていることを確認します。

   リモートサブコマンドには、実行中のサーバーが必要です。

2. update-password-alias(1) サブコマンドを使用して、エイリアスを更新します。

3. 要求に応じて、パスワードを入力します。

例 11–6 パスワードエイリアスの更新

この例では、jmspassword-alias エイリアスのパスワードを更新します。

asadmin> update-password-allias /home/password.txt jsmpassword-alias

エイリアスの新しいパスワードを入力するように要求されます。

Please enter the alias password>new-secret-password
Please enter the alias password again>new-secret-password
Command update-password-alias executed successfully

参照

コマンド行に asadmin help update-password-alias と入力して、このサブコマンドの完全な構文とオプションを確認することもできます。