第 5 章 在密钥存储中存储 Data Grid Server 凭证
外部服务需要凭证来使用 Data Grid 服务器进行身份验证。为保护敏感文本字符串,如密码,将它们添加到凭据密钥存储中,而不是直接在 Data Grid Server 配置文件中。
然后,您可以配置 Data Grid Server 以解密密码以便与数据库或 LDAP 目录等服务建立连接。
$RHDG_HOME/server/conf 中的纯文本密码未加密。任何对主机文件系统具有读取访问权限的用户帐户都可以查看纯文本密码。
虽然凭据密钥存储是受密码保护的存储加密密码,对主机文件系统具有写入访问权限的任何用户帐户都可以篡改。
要完全安全的 Data Grid 服务器凭证,您应该只向可以配置和运行 Data Grid Server 的用户帐户授予读写访问权限。
5.1. 设置凭证密钥存储
创建用于加密 Data Grid 服务器访问的凭据的密钥存储。
凭据密钥存储至少包含一个与加密密码关联的别名。创建密钥存储后,您可以在连接配置(如数据库连接池)中指定别名。然后,在服务尝试身份验证时,Data Grid 服务器从密钥存储解密该别名的密码。
您可以根据需要,创建多个凭据密钥存储,使其具有许多别名。
流程
-
在
$RHDG_HOME中打开一个终端。 创建密钥存储并使用 credentials 命令向其添加
凭据。提示默认情况下,密钥存储类型为 PKCS12。运行
帮助凭据,以获取有关更改密钥存储的默认值的详细信息。以下示例演示了如何为密码"changeme"创建包含"dbpassword"别名的密钥存储。在创建密钥存储时,您还将通过
-p参数指定密钥存储的密码。- Linux
bin/cli.sh credentials add dbpassword -c changeme -p "secret1234!"
- Microsoft Windows
bin\cli.bat credentials add dbpassword -c changeme -p "secret1234!"
检查别名是否已添加到密钥存储中。
bin/cli.sh credentials ls -p "secret1234!" dbpassword
配置 Data Grid 以使用凭据密钥存储。
-
在凭据存储配置中指定
凭据密钥存储的名称和位置。 在
credential-reference配置中提供凭据密钥存储和别名。提示credential-reference配置中的属性是可选的。-
只有在有多个密钥存储时才需要
存储。 -
只有在密钥存储包含多个别名时才需要别名。
-
只有在有多个密钥存储时才需要
-
在凭据存储配置中指定
