第 7 章 在密钥存储中存储数据网格服务器凭证
外部服务需要凭证才能与 Data Grid 服务器进行身份验证。要保护敏感文本字符串,如密码,请将它们添加到凭据密钥存储中,而不是直接在 Data Grid Server 配置文件中添加它们。
然后,您可以配置 Data Grid Server 来解密与数据库或 LDAP 目录等服务建立连接的密码。
$RHDG_HOME/server/conf 中的纯文本密码是未加密的。任何对主机文件系统具有读取访问权限的用户帐户都可以查看纯文本密码。
虽然凭据密钥存储是密码保护的加密密码,但对主机文件系统具有写入访问权限的任何用户帐户都可与密钥存储本身篡改。
要完全保护数据网格服务器凭证,您应该只向可配置和运行 Data Grid Server 的用户帐户授予读写访问权限。
7.1. 设置凭证密钥存储
创建密钥存储来为 Data Grid 服务器访问加密凭据。
凭据密钥存储至少包含一个与加密密码关联的别名。创建密钥存储后,您可以在连接配置中指定别名,如数据库连接池。然后,在服务尝试身份验证时,从密钥存储解密该别名的密码。
您可以根据需要创建任意数量的凭据密钥存储。
流程
-
在
$RHDG_HOME中打开一个终端。 使用
credentials命令创建密钥存储并向其添加凭据。提示默认情况下,密钥存储的类型是 PKCS12。运行
帮助凭据,以获取有关更改密钥存储默认值的详细信息。以下示例演示了如何创建密钥存储,其中包含密码"changeme"的别名"dbpassword"。在创建密钥存储时,您也使用
-p参数指定密钥存储的密码。- Linux
$ bin/cli.sh credentials add dbpassword -c changeme -p "secret1234!"
- Microsoft Windows
$ bin\cli.bat credentials add dbpassword -c changeme -p "secret1234!"
检查别名是否已添加到密钥存储中。
$ bin/cli.sh credentials ls -p "secret1234!" dbpassword
配置 Data Grid 以使用凭据密钥存储。
-
在
credential-stores配置中指定凭据密钥存储的名称和位置。 在 credentials
-reference 配置中提供凭据密钥存储和别名。提示credential-reference配置中的属性是可选的。-
只有在您有多个密钥存储时,才需要
存储。 -
只有在密钥存储包含多个别名时才需要别名。
-
只有在您有多个密钥存储时,才需要
-
在
参考
