カスタム暗号(暗号化と復号)はPAM360でどのように使用するか?

デフォルトでは、PAM360は、AES-256対称暗号化アルゴリズムを使って、すべてのパスワードと他の機密情報を暗号化し、暗号化されたデータのみをパスワードデータベースに保存します。マスター暗号化キーは自動生成され、インストールごとに一意です。このシナリオでは、全暗号化と複合方法は、PAM360クラスファイル内にあります。そのため、キー生成と暗号化ロジックは両方とも、PAM360により処理されます。

デフォルトの暗号技術とは別に、PAM360には現在、カスタム暗号のオプション、すなわち、暗号化と復号方法は現在、当社のJavaインターフェイスPAM360EncryptDecryptを、各自のキーと暗号化ロジックを使うことができるsetterとgetter​メソッドで実装して、カスタマイズできます。

重要な注記:カスタム暗号を構成する前に、PAM360フォルダのバックアップを取ります。データベースサーバーが別のマシンで構成されている場合、PAM360データベース全体のコピーも取ったことを確認します。これは、構成プロセスで問題が発生した場合に、データの損失を回避するためです。以下の面についても、必要に応じて注意を払ってください:

個人パスワードの管理

組織内であなた/他のユーザーがPAM360には保存されていない各自の暗号化キーを指定するオプションがあるPAM360で、「個人暗号管理」を使用した場合、それらのデータは、カスタム暗号を構成したときに最終的に失われ、後で取り返すことはできません。そのため、ユーザーは、構成前に、個人パスワードセクションの「パスワードをエクスポート」オプションを使用するよう求められます。

既存のPAM360インストールでカスタム暗号を実装する手順

PAM360でカスタム暗号を構成する手順の簡単なサマリには、各人お暗号化ロジックを実行する実装クラスの書込みとその実行が含まれます。詳しい手順は次の通りです:

手順1:各自の実装クラスを書き込む

初めに、下で説明のとおり、PAM360EncryptDecrypt.javaを実装する各自クラスを書き込む必要があります。

詳細は、インターフェイスPAM360EncryptDecrypt用javadocを参照してください。

注記:

  • そのクラスのgenerateCryptographicKey()メソッドは、getPam32BitKey()が呼び出され、生成された32ビットキーの生成が必要なときに呼び出されたときは必ず、新しい32ビットキーを生成し返す執拗があります。
  • getMSSQLMasterKey()は、バックエンドとしてMSSQL常時オンクラスターをセットアップしているときに使用するデータベースマスター暗号化キーを戻さなければなりません。戻り値がnullまたは空の文字列の場合、クラスタレベルノードの切り替え操作は、処理されません。

手順2:実装クラスをアーカイブ格納する

次に、実装クラスをSampleEncryption.jarで変換し、 <PAM360-Installation Folder>/lib ディレクトリに移動します。

手順3:PAM360 Serverを停止

PAM360のサーバーを実行されているときに停止します。

手順4:暗号化移行スクリプトを実行する

    シナリオ1:高可用性/フェールオーバーは構成されません

    <PAM360_HOME>\bin フォルダにあるMigrateCryptography.batスクリプトを実行し、実装クラスに引数としてパスします。

    スクリプトの使用法: MigrateCryptography.bat com.org.crypto.SampleEncryptDecrypt

    シナリオ 2: 高可用性/フェールオーバーサービスが構成されている場合

    これは、高可用性またはフェールオーバーサービスがPAM360で構成された場合に従う手順です:

    1. セカンダリサーバーを停止およびアンインストールします。
    2. migrateCryptography.batを実行して、プライマリでカスタム暗号を構成します。
    3. 次に、PAM360の新しいセカンダリインスタンスをインストールします。
    4. 続いて、高可用性/フェールオーバーサービスを再構成します。HAPack.zipまたはFOSPack.zipはカスタム暗号jarに含まれます。

手順5:カスタム暗号をPAM360EDファイルに追加

スクリプトの実行後、<PAM360-Home>/confフォルダ内にあるファイルpam360ed.confを開きます。ファイルの中のEDCLASSを探し、その横にある、指定されたエントリを追加します。

EDCLASS=com.adventnet.passtrix.ed.PAM360EncryptDecryptImpl
EDJARS=MyOwnEncDecImpl1.jar,MyOwnEncDecImpl2.jar

上のエントリで、MyOwnEncDecImpl1.jar, MyOwnEncDecImpl2.jarは、サンプル暗号jarです。jarファイルの名前を必要に応じて変更し、1つ以上のjarをコンマで区切った形式で指定します。サードパーティjarを使用している場合、初めに、その指定を行った後で、実装クラスを指定します。

手順6:PAM360 Serverを起動

上の手順を完了後、PAM360を起動して、この実装を有効にします。