L'utilisation de paramètres de traitement obsolètes signifie que vous migrez les mots de passe chiffrés existants vers une nouvelle configuration de cryptographie (par ex., new sel) et souhaitez migrer automatiquement les mots de passe utilisateur Cúram pour une période de temps.
Cela s'applique aux utilisateurs Cúram internes et externes, mais pas aux utilisateur gérés par des systèmes de sécurité tiers, tels que le protocole LDAP.
La procédure à effectuer est la suivante :
- Choisissez un moment pendant lequel votre système Cúram peut être arrêté.
- Copiez les noms de propriété et les valeurs de traitement qui existent dans CryptoConfig.properties et renommez les propriétés en indiquant les nouveaux noms de propriété obsolètes.
- Modifiez les noms de propriété de traitement existants dans le fichier CryptoConfig.properties.
- Définissez la propriété curam.security.convertsupersededpassworddigests.enabled sur 'true'.
- Définissez la propriété curam.security.crypto.upgrade.start pour vous aider à effectuer le suivi lorsque vous avez introduit la configuration mise à jour. Cette valeur peut être utilisée ci-dessous pour vous aider à gérer les mots de passe utilisateur non migrés.
- Redémarrez le serveur d'applications. Toutefois, notez les points suivants.
Remarque : L'utilisateur de services Web par défaut Cúram (WEBSVCS) ou un utilisateur non traité via
CuramLoginModule n'est pas disponible pour une migration de mot de passe automatique. Vous devez réinitialiser ces utilisateurs avant de redémarrer le serveur d'applications. Pour ce faire :
- Obtenez la nouvelle valeur de mot de passe de traitement via la cible de traitement Ant (par ex., ant digest -Dpassword=password).
- Mettez à jour la valeur du mot de passe dans la base de données, qui peut s'effectuer facilement via SQL (par ex., UPDATE USERS SET PASSWORD='<new digest value>' WHERE USERNAME='WEBSVCS';).
- Vous pouvez démarrer maintenant le serveur d'applications
Une fois la période de migration terminée, définissez la propriété curam.security.convertsupersededpassworddigests.enabled sur 'false' et annulez la définition de la propriété curam.security.crypto.upgrade.start property.
Les utilisateurs qui ne se sont pas connectés lors de la période de migration ne parviendront plus maintenant à se connecter en raison de mots de passe non concordants.
Il existe deux manières de traiter les mots de passe non mis à jour lors de la période de migration :
- Demandez à ces utilisateurs de contacter votre support interne pour réinitialiser les mots de passe via l'interface utilisateur d'administration.
- Identifiez manuellement les utilisateurs dans la table USERS de Cúram qui n'ont pas été mis à jour pendant la période de migration et définissez le nouveau mot de passe par défaut via SQL (voir la cible digest décrite dans le Guide de développement de serveur Cúram pour obtenir les nouvelles valeurs de mot de passe de traitement) ou via les écrans d'utilisateur d'administration. Par exemple, utilisez la requête suivante :
SELECT username FROM users WHERE lastwritten between timestamp('2013-06-01 15:00:00') AND timestamp('2013-09-01 00:00:00')
Ne laissez curam.security.convertsupersededpassworddigests.enabled défini sur true indéfiniment pour les raisons suivantes :
- Il est inutile d'effectuer la mise à niveau de la configuration 'A' vers la configuration 'B' et de maintenir active la configuration 'A' d'origine.
- Les paramètres de cryptographie actifs dans le système sont plus faibles.
- Pour utiliser cette fonctionnalité lors d'une mise à niveau ultérieure (par ex., de la configuration 'B' à la configuration 'C', tous les mots de passe de la configuration 'A' doivent au moins être mis à niveau vers la configuration 'B'.
Remarque : Des fichiers (par ex., DMX) avec traitements stockés doivent être pris en compte en fonction de votre stratégie de migration pour indiquer les valeurs correctes.
Remarque : Toute utilisation de Cúram Transport Manager (CTM) lors d'une migration doit être prise en compte pour garantir la compatibilité des paramètres et des attentes entre les système source et cible.
Rubriques connexes :