システムパスワード暗号化のオプション
PTC ソリューションインストーラ (PSI) は、通常であればインストールしたファイルにプレーンテキストで保存されるシステムパスワードの初期セットを暗号化します。ほとんどのパスワードは Windchill ファイルおよび Info*Engine ファイルに保存されます。サードパーティ製品が管理するファイルにもパスワードが保存されます。以下のセクションでは、システムパスワードを暗号化する方法および暗号化メカニズム自体について説明します。
すでにプレーンテキストで保存されているパスワードを暗号化することで、Windchill ソリューションのパスワードセキュリティが向上します。ただし、テキストエディタを使用してパスワードを表示し、変更していた場合は、パスワードの管理プロセスを見直す必要があります。暗号化されたパスワードを使用する場合、Windchill ファイルを開いてパスワード値を探すことができません。代わりに、パスワードを設定する際、Windchill のディレクトリ以外で、パスワードを安全に記録しておける場所を設ける必要があります。
パスワードは暗号化されるので、インストール時に設定されるパスワード、および Windchill を管理する際に設定されるパスワードを安全に記録するプロセスが存在することを確認してください。必要なユーザーだけがシステムパスワードを使用でき、その他のユーザーは使用できないようにするには、このプロセスを実装する必要があります。
|
通常、Windchill および Windchill 対応のオプション製品では、ファイルを変更しようとすると、事前にそのファイルのバックアップが作成されます。このトピックで説明するプロセスでは、対象ファイルの最新バージョンに保存されているパスワードのみが暗号化されます。バックアップファイル内のパスワードは暗号化されません。
ファイル内にパスワードがプレーンテキストのまま保存されないようにするには、プレーンテキストのパスワードが含まれているバックアップファイルをすべて削除する必要があります。暗号化プロセスの一環として作成されたバックアップファイルも削除してください。たとえば、この後のセクションで説明するファイル (agent.ini や auth.properties など) のバックアップにはパスワードがプレーンテキストで保存されるので、これらを削除します。
システムパスワードはインストール時に暗号化されるので、site.xconf ファイルのバックアップファイルを削除する必要はありません。また、パスワードを含むプロパティファイル (wt.properties、db.properties、ie.properties、esi.properties など) のバックアップファイルも削除する必要がありません。
|
パスワードの暗号化について
システムパスワードを暗号化するため、Windchill および Info*Engine コードは JCEKS KeyStore クラスとパスワードベースの暗号化を併用します。JCEKS KeyStore は、Sun KeyStore クラス実装の強化バージョンです。Sun KeyStore 実装は Java SE Development Kit (JDK) に標準装備されています。
実際に暗号化されたパスワードは、codebase ディレクトリ以外の場所にあるキーストアファイルに保存されます。キーストアファイル自体は、ランダムな文字列によって暗号化されます。サーベンスオクスレー法 (SOX) に準拠するなど、このファイルの暗号を定期的に変更しなければならない場合は、セクション「キーストアファイル暗号の変更」を参照してください。
パスワードを暗号化すると、Windchill ファイル内のパスワードを表示できなくなります。代わりに、ファイル内のパスワード値は以下の一般形式で示されます。
encrypted.<関連名>
<関連名> はシステムによって生成されるテキストです。このテキストは、キーストアファイルに保存されている暗号化パスワードを一意に識別します。たとえば、wt.pom.dbPassword プロパティのデータベースパスワード値は以下のように示されます。
encrypted.wt.pom.dbPassword
データベースパスワードは Windchill プロパティファイルに設定されるので、データベースパスワードが設定される site.xconf ファイルと properties ファイル (この場合は db.properties) では、次のように、実際のパスワードの代わりに encrypted.wt.pom.dbPassword と示されます。
wt.pom.dbPassword=encrypted.wt.pom.dbPassword
したがって、関連する properties ファイル (または site.xconf ファイル) を開いても、暗号化されたパスワードを表示できません。また、xconfmanager -d オプションを使用して値を表示する場合も、パスワードは表示されません。
別の例として、デフォルトの Worker Agent ユーザーの暗号化パスワードが以下のように示されるとします。
encrypted.auth.D:\\ptc\\Windchill\\auth.properties
このパスワードは D:\ptc\Windchill\auth.properties 認証ファイルの Windows システムに設定され、以下のようにパスワードを置き換えます。
auth=<ユーザー名>:encrypted.auth.D:\\ptc\\Windchill\\auth.properties
<ユーザー名> は、デフォルトの Worker Agent ユーザーの名前です。
暗号化するパスワードを設定する際、Windchill 環境以外の場所にパスワードを記録するプロセスを設定してください。暗号化されたパスワードは表示できませんし、暗号を解除することもできません。暗号化されたパスワードを忘れてしまった場合、パスワードを既知の値に変更するしかありません。
Windchill プロパティファイルに保存されたパスワードの暗号化
Windchill ソリューションをインストールする際、インストール手順の一部としてパスワードを設定しました。Windchill のインストール時に入力した最初のパスワードセットは、インストール終了時のサマリーにプレーンテキストとして表示されます。ただし、Windchill のプロパティおよび Info*Engine のプロパティには暗号化されたパスワードとして保存されます。
|
サイト内で、Windchill のパスワードセットを Windchill 以外の安全な場所に保存するための最良事例を設定し、システムパスワードの変更を許可されたユーザーのみが設定されたパスワード値にアクセスできるようにしてください。また、インストール後に新しいパスワードを暗号化する場合は、パスワードがプレーンテキストのままで保存されているバックアップファイルを必ず削除してください。
|
次の各セクションでは、Windchill プロパティファイルに保存されているシステムパスワードを暗号化する方法、およびパスワードを含む Windchill プロパティの初期セットを見つける方法を説明します。
|
サイトで Windchill をカスタマイズしている場合は、その他のパスワードも暗号化する必要があります。
|
Windchill システムパスワードの暗号化
デフォルトでは、一連の Windchill システムパスワードが暗号化されます。追加のシステムパスワードを暗号化するには、以下の 3 つのステップを実行します。
1. 暗号化するパスワードが含まれているプロパティを特定し、それらを validProperties.list ファイルに追加します。
2. EncryptPasswords.xml スクリプトにある encryptAllPasswords ターゲットを実行します。ステップ 1 で更新した validProperties.list ファイルに基づき、Windchill プロパティに現在プレーンテキストとして保存されているすべてのパスワードが暗号化されます。
3. Windchill を再起動して、プロパティ値に対する変更を有効にします。
この後のセクションでは、上記のステップ 1 とステップ 2 について詳しく説明します。
Windchill のパスワードプロパティ
以下は、validProperties.list ファイルにデフォルトで含まれているプロパティです。これらのプロパティ値には、暗号化可能なパスワードが格納されます。パスワードを暗号化するには、対応するプロパティにプレーンテキストのパスワード値が設定されている必要があります。
|
プロパティ値が設定されていない場合、または null 値の場合、そのパスワードは暗号化されません。
|
ie.ldap.managerPw
このプロパティは LDAP 管理者のパスワードを設定します。インストール時に LDAP 設定が指定され、<Windchill>/codebase/WEB-INF/ieStructProperties.txt ファイルと <Windchill>/codebase/WEB-INF/ie.properties の両方に格納されている場合、このパスワードが設定されます。インストールプロセスの一部として、インストール中に入力したパスワードは自動的に暗号化されます。
Cadence Allegro 設計ワークベンチのゲートウェイは、ie.ldap.managerPw プロパティに格納されているパスワードを使用します。このゲートウェイをインストールしている場合、このゲートウェイの使用については Windchill Gateway for Cadence Allegro Design Workbench User’s Guide を参照してください。
Windchill サーバー以外のサーバー上に Info*Engine アダプタをインストールしている場合、ie.ldap.managerPw プロパティのパスワードをそのサーバー上で暗号化できる必要があります。リモートホスト上で LDAP 管理者のパスワードを暗号化する方法については、該当するアダプタのガイドを参照してください。
jms.passwordjms.verify.password
Windchill Enterprise Systems Integration (Windchill ESI) をインストールする際、EAI ソフトウェアコンポーネントを介して Java Messaging System (JMS) にログインするユーザーのパスワードを入力する必要があります。また、確認のため、そのパスワードをもう一度入力するよう求められます。こうしたサービス関連のプロパティは LDAP に保存され、LDAP エントリを対象とする Info*Engine 暗号化プロセスの一環として暗号化されます。セクション「Info*Engine のプロパティに保存されたパスワードの暗号化」を参照してください。
mapcredentials.admin.adaptersmapcredentials.nonprivileged.adapters
これらのプロパティは、インストールされた MapCredentials.xml ファイルを修正するときに使用されます。MapCredentials.xml ファイルは、特定の Info*Engine アダプタへの認証アクセス権を指定するときに使用します。エンタープライズディレクトリへのアクセスを厳しく制限する必要がある場合に、このファイルを使用します。デフォルトアクセスは匿名です。各プロパティにはパスワードが含まれます。xconfmanager ユーティリティを使用してこれらのプロパティの値を設定すると、パスワードが暗号化されます。
最初のインストールが完了した後、エンタープライズ LDAP ディレクトリ (Active Directory Server (ADS) ディレクトリなど) を追加し、MapCredentials.xml ファイルを修正することによって、このディレクトリの管理アクセス制御権限を設定した場合、MapCredentials.xml ファイルにプレーンテキストのパスワードが保存される可能性があります。MapCredentials.xml ファイルに保存されているパスワードを暗号化するには、これらのプロパティを validProperties.list に追加し、セクション「Windchill システムパスワードの暗号化」の手順を実行します。
Cadence Allegro 設計ワークベンチのゲートウェイは、mapcredentials.admin.adapters プロパティに格納されているパスワードを使用します。このゲートウェイをインストールしている場合、このゲートウェイの使用については Windchill Gateway for Cadence Allegro Design Workbench User’s Guide を参照してください。
wt.cognos.admin.password
このプロパティを使用して、Windchill Business Reporting 管理ユーザーのパスワードを保存します。このプロパティは常に db.properties ファイルに含まれていますが、Windchill Business Reporting がインストールされ、設定されている場合のみ使用します。デフォルトでは、初期値が wcadmin に設定されています。
wt.dataops.archivesystem.cyaimpl.userPasswd
Windchill Archive サーバーコンポーネントがインストールされている場合、<Windchill>/archivesystem/archivesystem.properties ファイルにこのプロパティが設定されます。このプロパティは、アーカイブサーバーにアクセスするユーザーのパスワードです。
wt.pom.dbPassword
このプロパティはデータベースユーザーのパスワードであり、db.properties ファイルに保存されます。プロパティは、データベースユーザーの名前とパスワードの入力が必要となるようなデータベースへの変更があるときに、インストールプロセス中に設定されます。インストールプロセスの一部として、パスワードは暗号化されます。
Windchill プロパティファイルに保存されたシステムパスワードの更新
Windchill のプロパティファイルで暗号化されているシステムパスワードを更新するには、xconfmanager ユーティリティコマンドで次のパラメータを使用します。
-s (or --set)
新しいパスワードをプレーンテキストで入力します。Windchill で新しいパスワードが暗号化された後、保存されます。たとえば、db.properties に保存されているデータベースパスワードを newPW123 に変更するには、Windchill シェルから次のコマンドを入力します。
xconfmanager -s wt.pom.dbPassword=newPW123 -t db.properties -p
xconfmanager ユーティリティの使用については、
xconfmanager ユーティリティの使用を参照してください。
暗号化されたパスワードは、実際にはプロパティファイルや site.xconf ファイルに保存されないので、新しいパスワードを設定した後も、これらのファイルに表示されるプロパティ値は変更されません。更新後の値はキーストアファイルに保存されます。
xconfmanager ユーティリティを使用してパスワードを設定する際、どの Windchill システムパスワードを暗号化するかは、validProperties.list ファイルのプロパティリストで管理します。このファイルは <Windchill>/bin/adminTools/sip ディレクトリにあります。プロパティが validProperties.list ファイルにない場合、xconfmanager コマンドを入力して該当するパスワードを設定したとき、そのパスワードは暗号化されません。
|
validProperties.list ファイルを修正すると、xconfmanager ユーティリティによって暗号化されるパスワードに影響します。また、EncryptPasswords.xml スクリプトにある encryptAllPasswords ターゲットによって暗号化されるパスワードにも影響を与えます。製品構成を修正したり Windchill をカスタマイズしたりして、暗号化するパスワードを変更する必要が生じないかぎり、暗号化するパスワードを最初に選択した後でこのファイルを修正しないでください。
パスワードの暗号化および Windchill のカスタマイズについては、 暗号化されたパスワードを参照してください。
|
Info*Engine のプロパティに保存されたパスワードの暗号化
Info*Engine プロパティアドミニストレータで入力したシステムパスワードは暗号化されます。これらのパスワードは Info*Engine のプロパティに保存され、LDAP ディレクトリサーバーに格納されます。
たとえば、JNDI アダプタフォームで、LDAP ディレクトリサーバーへ接続するときに使用するデフォルトのユーザーとパスワードを設定するとします。このフォームに以下のフィールドが表示されます。
「Directory System Agent Credentials」フィールドにパスワードを入力するときは、入力した文字がアスタリスク (*) として表示されます。「OK」をクリックするとフォームが保存されます。実際のパスワード値は暗号化され、キーストアに保存されます。このプロパティ値は、キーストア内の暗号化された値を示します。
このプロパティは LDAP ディレクトリサーバーに保存されます。
たとえば、JNDI アダプタフォームの「Directory System Agent Credentials」フィールドに PW173& というパスワードを入力したとします。このプロパティは以下のように保存されます。
<サービス>.dsaCredentials=encrypted.<サービス>.dsaCredentials
<サービス> は JNDI アダプタのサービス名です。
このプロパティ値のパスワード情報は実際のパスワードではありませんが、使用する暗号化ソフトウェアのパスワードを一意に識別します。つまり、この情報を変更するとパスワードが無効になります。
暗号化された Info*Engine パスワードの更新
Info*Engine プロパティアドミニストレータで最初に設定した Info*Engine のパスワードを更新するには、再び Info*Engine プロパティアドミニストレータを使用します。新しいパスワードを入力して、フォームの変更内容を保存したとき、該当するプロパティに含まれる実際のパスワード値は変更されません。キーストア内の暗号化されたパスワードが更新されます。
パスワードを忘れてしまった場合、そのパスワードを確認する方法はありません。パスワードを既知の値にリセットするには、Info*Engine プロパティアドミニストレータを使用します。パスワードを最初に設定したフォームで、新しいパスワードを入力してください。
WVS 認証ファイルに保存されているパスワードの暗号化
| Windchill 10.2 以降では、wvs.properties ファイルの場所に変更があります。$WT_HOME/codebase ディレクトリから $WT_HOME/codebase/WEB-INF/conf ディレクトリにファイルを移動しました。この場所の変更を反映して、コードに必要な変更を加えてください。 |
管理者は、Windchill サーバーにビューデータを公開したり、ビューデータを生成したりするときに使用するワーカーとそのパブリッシャを設定する必要があります。管理者はパブリッシャごとに認証ファイルを作成できますが、通常は 1 つのファイルしか使用しません。wvs.properties ファイルで、各 CadConvert プロパティの useworkerdownload 値を使用して認証ファイルの名前を指定します。デフォルトの wvs.properties ファイルには useworkerdownload プロパティが含まれており、このプロパティが 1 つの認証ファイル auth.properties を指定します。
認証ファイルを作成した直後は、ファイル同期をサポートしているワーカーのユーザー名とパスワード (プレーンテキスト) が保存されます。認証ファイルの作成については、以下のトピックを参照してください。
また、Adobe Experience Manager Assembler アプリケーションを使用して、製品表現に保存されている PDF ファイルを修正する場合、ユーザー名とプレーンテキストのパスワードを含む認証ファイル (livecycleauth.properties など) を作成します。このファイル内のパスワードは、ほかの WVS 認証ファイルと同じ ant スクリプトを使用して暗号化されます。
Adobe Experience Manager Assembler アプリケーションの設定については、
WVS Adobe Experience Manager Server の統合を参照してください。
認証パスワードの暗号化
| Windchill 10.2 以降では、wvs.properties ファイルの場所に変更があります。$WT_HOME/codebase ディレクトリから $WT_HOME/codebase/WEB-INF/conf ディレクトリにファイルを移動しました。この場所の変更を反映して、コードに必要な変更を加えてください。 |
WVS 認証ファイルに保存されているパスワードを暗号化するには、Windchill シェルで次のスクリプトを入力します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml
encryptWVSWorkerAgent
<Windchill> は Windchill インストールディレクトリです。
このスクリプトは、すべての WVS 認証ファイルに含まれているプレーンテキストのパスワードを暗号化します。wvs.properties ファイル内の useworkerdownload プロパティおよび edrload.livecycle.authfile プロパティで指定されているパスワードも対象となります。認証ファイル内のパスワードを暗号化すると、それらのパスワードは以下のように置き換えられます。
encrypted.<認証キーワード>.<認証プロパティファイルパス>
ここで、
• <認証キーワード> は、暗号化されるパスワードの認証行の先頭にあるキーワードです。
• <自動プロパティファイルパス> は、PROPERTIES ファイルのフルパスです。このファイルには Windows プラットフォームのパスワードおよび UNIX プラットフォームの Windchill インストール bin ディレクトリで始まるパスが含まれます。
次の行は、暗号化される前の認証ファイルの例です (D:\ptc\Windchill\auth.properties の Windows システムにあります)。
auth=user1:pw123abc
auth.RemoteSiteA.PROE=user2:pw789xyz
Windows システムから暗号化スクリプトを実行して暗号化したパスワードは、必要なエスケープ文字を持つファイルパスで構成され、ページに収まるように長さが調節されています。
auth=user1:encrypted.D:\\ptc\\Windchill\\auth.properties
auth.RemoteSiteA.PROE=user2:encrypted.auth.RemoteSiteA.PROE. D:\\ptc\\Windchill\\auth.properties
次の行は、暗号化される前の認証ファイルの例です (/opt/ptc/Windchill/auth.properties の UNIX システムにあります)。
auth=user1:pw123abc
auth.RemoteSiteA.PROE=user2:pw789xyz
UNIX システムから暗号化スクリプトを実行して暗号化したパスワードは、Windchill インストール bin ディレクトリで始まるファイルパスで構成され、ページに収まるように長さが調節されています。
auth=user1:encrypted.auth./opt/ptc/Windchill/bin/../auth.properties
auth.RemoteSiteA.PROE=user2:encrypted.auth.RemoteSiteA.PROE. /opt/ptc/Windchill/bin/../auth.properties
このファイルのパスワード情報は実際のパスワードではありませんが、使用する暗号化ソフトウェアのパスワードを一意に識別します。つまり、この情報を変更するとパスワードが無効になります。
| 実際のパスワードを変更しないかぎり、暗号化されたパスワード情報を変更しないでください。 |
WVS 認証ファイルに保存されている暗号化済みパスワードの更新
認証ファイル内のパスワードを暗号化した後、既存のパスワードを変更したり、新しいユーザー名とパスワードを含む行をこのファイルに追加したりできます。
暗号化されたパスワードを変更するには、以下の手順に従います。
1. テキストエディタで WVS 認証ファイルを開きます。
2. パスワードを変更するユーザーの認証行を探します。
3. その行のパスワード情報を新しいパスワードに置き換えます (プレーンテキスト)。たとえば、以下のような認証行があるとします。
auth=user1:encrypted.auth.D:\\ptc\\Windchill\\auth.properties
encrypted.auth.D:\\ptc\\Windchill\\auth.properties を新しいパスワードに置き換えます。新しいパスワードが user1PW である場合、変更後の行は以下のようになります。
auth=user1:user1PW
4. 変更内容を保存し、ファイルを閉じます。
5. encryptWVSWorkerAgent ターゲットに対して EncryptPasswords.xml スクリプトを実行して (セクション「認証パスワードの暗号化」の説明を参照)、変更したパスワードを暗号化します。
Worker Agent 設定ファイルに保存されたパスワードの暗号化
| Windchill 10.2 以降では、wvs.properties ファイルの場所に変更があります。$WT_HOME/codebase ディレクトリから $WT_HOME/codebase/WEB-INF/conf ディレクトリにファイルを移動しました。この場所の変更を反映して、コードに必要な変更を加えてください。 |
管理者は、Windchill サーバーでビューデータを公開したり、生成したりするときに使用するワーカーを設定する必要があります。この管理者は、Worker Agent アドミニストレータユーティリティを使用して Worker Agent の設定ファイルを更新します。ワーカーマシンへファイルを転送するとき、およびワーカーマシンからファイルを取得するときに FTP を使用するようワーカーを設定できます。この管理ツールを選択するには、 > > の順にクリックします。Worker Agent 設定ファイルの場所は、wvs.properties の cadagent.inifile プロパティで指定します。デフォルトの wvs.properties ファイルには cadagent.inifile プロパティが含まれています。このプロパティは、Worker Agent 設定ファイルを agent.ini として識別します。
Worker Agent の設定の詳細については、
Worker Agent の設定を参照してください。
Worker Agent のパスワードの暗号化
| Windchill 10.2 以降では、wvs.properties ファイルの場所に変更があります。$WT_HOME/codebase ディレクトリから $WT_HOME/codebase/WEB-INF/conf ディレクトリにファイルを移動しました。この場所の変更を反映して、コードに必要な変更を加えてください。 |
Worker Agent の設定ファイルに保存されているパスワードを暗号化するには、Windchill シェルで次のスクリプトを入力します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml
encryptWVSCADAgent
<Windchill> は Windchill インストールディレクトリです。
このスクリプトは、wvs.properties ファイル内の cadagent.inifile プロパティで指定された Worker Agent 設定ファイルに含まれているプレーンテキストのパスワードを暗号化します。Worker Agent 設定ファイルのパスワードを暗号化すると、それらのパスワードが以下のように置き換えられます。
encrypted.<ホスト>-<shapetype>
<ホスト> は、Worker Agent 設定ファイルの host= 行に記載されているホスト名です。<shapetype> は、Worker Agent 設定ファイルの shapetype= 行に記載されている名前です。
以下の行は、Worker Agent 設定ファイルの暗号化前のサンプルセクションを示しています。
;###############################################
; Remote CATIA Worker
;###############################################
[worker4]
shapetype=CATIA
host=nimrod
hosttype=unix
exe=nohup cat2ol -w triumph &
starttime=20
username=catadm19
password=CATADM19
prompt=nimrod>
localpath=ftp:/usr/tmp/sharecatia
remotepath=/usr/tmp/sharecatia
この例で、<ホスト> は nimrod、<shapetype> は CATIA です。
暗号化スクリプトを実行すると、上記の行が以下のようになります。
;###############################################
; Remote CATIA Worker
;###############################################
[worker4]
shapetype=CATIA
host=nimrod
hosttype=unix
exe=nohup cat2ol -w triumph &
starttime=20
username=catadm19
password=encrypted.nimrod-CATIA
prompt=nimrod>
localpath=ftp:/usr/tmp/sharecatia
remotepath=/usr/tmp/sharecatia
このファイルのパスワード情報は実際のパスワードではありませんが、使用する暗号化ソフトウェアのパスワードを一意に識別します。つまり、この情報を変更するとパスワードが無効になります。
| 実際のパスワードを変更しないかぎり、ファイル内の暗号化されたパスワード情報を変更しないでください。 |
Worker Agent 設定ファイルに保存された暗号化済みパスワードの更新
Worker Agent 設定ファイル内のパスワードを暗号化した後、以下の方法で既存のパスワードを変更したり、新しいワーカー (ユーザー名とパスワード) を追加したりできます。
• Worker Agent 管理ユーティリティを使用する ( > > の順にクリックしてアクセス)。
• テキストエディタを使用して、Worker Agent 設定ファイルを編集します。
Worker Agent 設定ファイルを編集して、暗号化されているパスワードを変更するには、以下の手順に従います。
1. テキストエディタで Worker Agent 設定ファイルを開きます。
2. パスワードを変更するユーザーのパスワード行を探します。
3. その行のパスワード情報を新しいパスワードに置き換えます (プレーンテキスト)。たとえば、以下のようなパスワード行があるとします。
password=encrypted.nimrod-CATIA
encrypted.nimrod-CATIA を新しいパスワードに置き換えます。新しいパスワードが CADuser1PW である場合、変更後の行は以下のようになります。
password=CADuser1PW
4. 変更内容を保存し、ファイルを閉じます。
パスワードを変更した場合、または暗号化されていない新規パスワードを追加した場合は、encryptWVSCADAgent ターゲットに対して EncryptPasswords.xml スクリプトを実行して (セクション「Worker Agent のパスワードの暗号化」の説明を参照)、変更したパスワードまたは追加したパスワードを暗号化します。
キーストアファイル暗号の変更
Windchill のインストール時に、暗号化したパスワードを保存するキーストアファイルが作成されます。また、キーストアファイル自体も、インストールごとに一意に生成されるランダムな文字列によって暗号化されます。
パスワードを定期的に変更することが義務付けられている場合 (サーベンスオクスレー法 (SOX) に準拠する場合など)、キーストアファイルの暗号を変更できます。この暗号はパスワードと同じように機能します。この暗号を変更するには、Windchill シェルから次のコマンドを入力します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml
changeKeystoreEncryption
<Windchill> は Windchill インストールディレクトリです。
この ant コマンドは、新しいランダム文字列を生成し、その文字列を使用してキーストアファイルを暗号化するスクリプトを実行します。このスクリプトは、<Windchill>/bin/adminTools/sip/ksp/sip.ksp に格納されるキーストアのキーを変更します。
| キーストアファイルの暗号変更は Windchill の要件ではありません。 |
EncryptPasswords.xml スクリプトの使用
PTC では、パスワードを暗号化する一般的な EncryptPasswords.xml スクリプトを提供しています。
| Windchill サーバーで作業するときは、必ず、Windchill シェルから EncryptPasswords.xml スクリプトを実行してください。 |
EncryptPasswords.xml スクリプトを入力する際の一般的な形式は次のとおりです。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml
<ターゲット> [オプションの引数]
ここで、
• <Windchill> は Windchill のインストールディレクトリです。
• <ターゲット> は実行対象です。
• [オプションの引数] は、ターゲットに必要な引数です。一部のターゲットでは引数を指定する必要がありません。
使用可能なターゲットについての簡単な説明を参照するには、-projecthelp ターゲットでこのスクリプトを入力します。使用可能なターゲットは以下のとおりです。
• addValueToKeyStore
• changeKeystoreEncryption
• encryptAllPasswords
• encryptPw
• encryptWVSCADAgent
• encryptWVSWorkerAgent
• recreateKeyStore
• recreateKeyStoreForAdapter
encryptAllPasswords ターゲットの説明については、セクション「Windchill システムパスワードの暗号化」を参照してください。
WVS ファイル内のパスワードを暗号化するためのターゲットの説明については、セクション「認証パスワードの暗号化」および「Worker Agent のパスワードの暗号化」を参照してください。
ChangeKeystoreEncryption ターゲットの説明については、セクション「キーストアファイル暗号の変更」を参照してください。
その他のターゲットについては、この後のセクションを参照してください。
addValueToKeyStore ターゲット
指定した暗号キーストアに保存されている指定したパスワードを使用して、指定したプロパティを暗号化します。
プロセス外アダプタがインストールされているホストでこのターゲットを使用すると、そのホスト上のパスワードを暗号化して、保存できます。使用するパスワードは、Windchill ホスト上で、Info*Engine プロパティアドミニストレータのアダプタフォームに最初に入力します。Windchill 以外のホストにアダプタがインストールされている場合、パスワードもアダプタがインストールされているホスト上で暗号化し、保存する必要があります。
| プロパティが名前付きキーストアに存在する場合、このターゲットを実行すると、名前付きプロパティの既存のキーストア値が置き換えられます。 |
このターゲットを使用するには、パスワードを暗号化するホスト上で EncryptPasswords.xml ファイルが存在するディレクトリへ移動し、次の形式で ant コマンドを入力します。
ant -f EncryptPasswords.xml addValueToKeyStore
-DpropertyName=<プロパティ> -Dpassword=<パスワード値>
-Dwt.home=<Windchill 場所>
ここで、
• <プロパティ> は、このパスワードを設定するために使用したプロパティの名前です。たとえば、JDBC アダプタフォームで、"passwd" というパスワードプロパティを設定したとします。JDBC サービスの名前が JDBCadapter1 だとすると、パスワードプロパティは JDBCadapter1.passwd になります。
• <パスワード値> は、Windchill ホストで設定されたプレーンテキストのパスワードです。
• <Windchill 場所> はディレクトリパスです。以下のキーストアパスとして指定します。
<Windchill 場所>/bin/adminTools/sip
このパス全体は、暗号化したパスワードが保存されているキーストアのパスを特定します。アダプタのパスワードの場合は、IeAdapter.zip ファイルから抽出したファイルが存在する場所を入力します。
アダプタのパスワードの暗号化については、使用するアダプタのガイドまたはヘルプトピックを参照してください。
encryptPw ターゲット
Windchill をカスタマイズしてパスワードを追加した場合、EncryptPasswords.xml スクリプトの encryptPw ターゲットを使用して、特定のプロパティのパスワード値を暗号化できます。このターゲットが実行するのは暗号化だけです。追加のパスワードを使用する際に必要となる Windchill コードは変更しません。
| カスタマイズしていない Windchill システムを使用する場合は、このターゲットではなく、xconfmanager ユーティリティを使用して既存のパスワードを変更および暗号化してください。セクション「Windchill プロパティファイルに保存されたパスワードの暗号化」セクションを参照してください。 |
このターゲットを使用するには、以下の形式で ant コマンドを入力します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml encryptPw
-DpropertyName=<プロパティ> -Dpassword=<パスワード値>
ここで、
• <Windchill> は Windchill のインストールディレクトリです。
• <プロパティ> は、このパスワードを設定するために使用したプロパティの名前です。
• <パスワード値> はプレーンテキストのパスワードです。
以下の例は、インストールしたキーストアファイルに保存されているデータベースユーザーのパスワードを dbuserpw123 に設定します。wt.pom.dbPassword プロパティが更新され、実際に暗号化された値のキーストアを示します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml encryptPw
-DpropertyName=wt.pom.dbPassword -Dpassword=dbuserpw123
recreateKeyStore ターゲット
EncryptPasswords.xml スクリプトの recreateKeyStore ターゲットを使用して、新しいキーストアファイルを生成します。
以下のいずれかの問題がある場合のみ、このターゲットを実行してください。
• キーストアが削除され、キーストアを復元するためのバックアップファイルがない。
• キーストアファイルが手動で編集されている。
• キーストアまたはキーが破損しており、読み取りやアクセスが不可能。
キーストアファイルを作成し直すには、Windchill シェルから次のコマンドを入力します。
ant -f <Windchill>/bin/adminTools/sip/EncryptPasswords.xml
recreateKeyStore
<Windchill> は Windchill インストールディレクトリです。
このスクリプトを実行すると、Windchill のインストール時に指定し、validProperties.list ファイルのプロパティリストに保存されているパスワード値を入力するよう求められます。validProperties.list ファイルの詳細については、セクション「validProperties.list の更新」を参照してください。
recreateKeyStoreForAdapter ターゲット
EncryptPasswords.xml スクリプトの recreateKeyStoreForAdapter ターゲットを使用して、Windchill 以外のサーバー上にある Info*Engine アダプタ専用の新しいキーストアファイルを生成します。
| Windchill サーバー上でこのターゲットを実行すると、暗号化された Windchill パスワードと Info*Engine パスワードを含む既存のキーストアが置き換えられます。 |
アダプタをプロセス外アダプタとして使用し、サーバーに必要なファイルが配置されている場合のみ、アダプタが存在するサーバー上でこのターゲットを実行してください。
recreateKeyStoreForAdapter ターゲットの使用の詳細については、キーストアを作成するアダプタのガイドまたはヘルプトピックを参照してください。