Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

17.7.8. Stocker une chaîne sensible dans l'archivage sécurisé des mots de passe

Aperçu

Inclure les mots de passe et autres strings sensibles dans les fichiers de configuration en texte brut est un risque pour la sécurité. Stocker ces chaînes à la place dans le Password Vault pour améliorer la sécurité, où il peuvent être référencés dans les fichiers de configuration, commandes CLI Management et applications sous leur forme masquée.

Les strings sensibles peuvent être stockés dans le Password Vault de manière interactive, avec une invite pour la valeur de chaque paramètre, ou de manière non-interactive, où vous fournissez les valeurs de tous les paramètres sur la ligne de commande. Chaque méthode donne le même résultat, vous pouvez donc choisir la méthode qui vous convient. Pour obtenir une description de tous les paramètres, consulter Section 17.7.5, « Initialiser le Password Vault ».

Conditions préalables

Procédure 17.12. Stocker une chaîne sensible de manière interactive

Utilisez cette méthode si vous préférez recevoir une demande de saisir la valeur de chaque paramètre.

  1. Exécutez la commande d'archivage sécurisé des mots de passe

    Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez la commande d'archivage sécurisé des mots de passe. Utilisez EAP_HOME/bin/vault.sh (sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ou EAP_HOME\bin\vault.bat (sur Microsoft Windows Server). Démarrez une nouvelle session interactive en tapant 0 (zéro).

  2. Complétez les paramètres de l'archivage sécurisé des mots de passe à l'invite.

    Veuillez saisir les paramètres d'authentification nécessaires à l'invite. Ces valeurs doivent correspondre à celles indiquées lors de la création de l'archivage sécurisé des mots de passe.

    Note

    Le mot de passe du keystore doit être fourni au format texte brut et non pas au format caché.

  3. Complétez les paramètres de l'archivage sécurisé des paramètres à l'invite.

    Saisir 0 (zéro) pour commencer à stocker le string sensible. Suivez les instructions pour saisir les paramètres qui conviennent.

  4. Notez les informations pour ce string masqué.

    Un message s'affiche sur la sortie standard, montrant le bloc d'archivage sécurisé, le nom de l'attribut, le string masqué, et des conseils sur l'utilisation du string dans votre configuration. Prendre note de ces informations dans un emplacement sécurisé. Voici un exemple de sortie.
    Copy to Clipboard Toggle word wrap 
    Vault Block:ds_Example1
Attribute Name:password
Configuration should be done as follows:
VAULT::ds_Example1::password::1

  5. Sortir de la console interactive

    Saisir 3 (trois) pour sortir de la console interactive.

Exemple 17.21. Stocker une chaîne sensible de manière interactive

Copy to Clipboard Toggle word wrap 
=========================================================================

  JBoss Vault

  JBOSS_HOME: EAP_HOME/jboss-eap-6.4

  JAVA: java

=========================================================================

**********************************
****  JBoss Vault  ***************
**********************************
Please enter a Digit::   0: Start Interactive Session  1: Remove Interactive Session  2: Exit
0
Starting an interactive session
Enter directory to store encrypted files:11:18:46,086 INFO  [org.jboss.security] (management-handler-thread - 4) PBOX0                                                                  
Enter directory to store encrypted files:EAP_HOME/vault/ 
Enter Keystore URL:EAP_HOME/vault/vault.keystore
Enter Keystore password: 
Enter Keystore password again: 
Values match
Enter 8 character salt:1234abcd
Enter iteration count as a number (Eg: 44):120
Enter Keystore Alias:vault
Initializing Vault
Oct 21, 2014 11:20:49 AM org.picketbox.plugins.vault.PicketBoxSecurityVault init
INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready
Vault Configuration in AS7 config file:
********************************************
...
</extensions>
<vault>
  <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/>
  <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/>
  <vault-option name="KEYSTORE_ALIAS" value="vault"/>
  <vault-option name="SALT" value="1234abcd"/>
  <vault-option name="ITERATION_COUNT" value="120"/>
  <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/>
</vault><management> ...
********************************************
Vault is initialized and ready for use
Handshake with Vault complete
Please enter a Digit::   0: Store a secured attribute  1: Check whether a secured attribute exists  2: Remove secured attribute  3: Exit
0
Task: Store a secured attribute
Please enter secured attribute value (such as password):
Please enter secured attribute value (such as password) again: 
Values match
Enter Vault Block:ds_Example1
Enter Attribute Name:password
Secured attribute value has been stored in vault. 
Please make note of the following:
********************************************
Vault Block:ds_Example1
Attribute Name:password
Configuration should be done as follows:
VAULT::ds_Example1::password::1
********************************************
Please enter a Digit::   0: Store a secured attribute  1: Check whether a secured attribute exists  2: Remove secured attribute  3: Exit

Procédure 17.13. Stocker une chaîne sensible de manière non interactive

Utilisez cette méthode si vous préférez fournir les valeurs de tous les paramètres en une seule fois.
  1. Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez la commande d'archivage sécurisé des mots de passe. Utilisez EAP_HOME/bin/vault.sh (sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ou EAP_HOME\bin\vault.bat (sur Microsoft Windows Server).
    Remplacez les espaces réservés par vos propres valeurs. Les valeurs des paramètres KEYSTORE_URL, KEYSTORE_PASSWORD et KEYSTORE_ALIAS doivent correspondre à celles fournies lors de la création de l'archivage sécurisé des mots de passe.

    Note

    Le mot de passe du keystore doit être fourni au format texte brut et non pas au format caché.
    Copy to Clipboard Toggle word wrap 
    EAP_HOME/bin/vault.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --vault-block VAULT_BLOCK --attribute ATTRIBUTE --sec-attr SEC-ATTR --enc-dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT

  2. Notez les informations pour ce string masqué.

    Un message s'affiche sur la sortie standard, montrant le bloc d'archivage sécurisé, le nom de l'attribut, le string masqué, et des conseils sur l'utilisation du string dans votre configuration. Prendre note de ces informations dans un emplacement sécurisé. Voici un exemple de sortie.
    Copy to Clipboard Toggle word wrap 
    Vault Block:vb
Attribute Name:password
Configuration should be done as follows:
VAULT::vb::password::1

Exemple 17.22. Exécutez la commande d'archivage sécurisé des mots de passe de façon non interactive

Copy to Clipboard Toggle word wrap 
EAP_HOME/bin/vault.sh --keystore EAP_HOME/vault/vault.keystore --keystore-password vault22 --alias vault --vault-block vb --attribute password --sec-attr 0penS3sam3 --enc-dir EAP_HOME/vault/ --iteration 120 --salt 1234abcd
Sortie de commande
Copy to Clipboard Toggle word wrap 
=========================================================================

  JBoss Vault

  JBOSS_HOME: EAP_HOME

  JAVA: java

=========================================================================

Oct 22, 2014 9:24:43 AM org.picketbox.plugins.vault.PicketBoxSecurityVault init
INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready
Secured attribute value has been stored in vault. 
Please make note of the following:
********************************************
Vault Block:vb
Attribute Name:password
Configuration should be done as follows:
VAULT::vb::password::1
********************************************
Vault Configuration in AS7 config file:
********************************************
...
</extensions>
<vault>
  <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/>
  <vault-option name="KEYSTORE_PASSWORD" value="vault22"/>
  <vault-option name="KEYSTORE_ALIAS" value="vault"/>
  <vault-option name="SALT" value="1234abcd"/>
  <vault-option name="ITERATION_COUNT" value="120"/>
  <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/vault/"/>
</vault><management> ...
********************************************
Résultat

Ces chaînes sensibles sont maintenant stockées dans le Password Vault où il peuvent être référencés dans les fichiers de configuration, commandes CLI Management et applications sous leur forme masquée.

Rapporter un bogue
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat, Inc.