Změna hesel použitých pro instalaci

Níže popsané postupy pro změnu hesel jsou možná pro někoho složité nebo dívné, ale takto mi to funguje a v dokumentaci jsem nic pořádného nevyčetl. Vše se týká celkem standardní instalace aplikačního serveru, Access Manageru a Portálu verze 7.

1. amldapuser

amldapuser je uživatel vytvořený během instalace a je užíván pro přihlášení a vyhledávání v adresářovém serveru během LDAP a Membership autentizace (moduly v Access Manageru). Služby LDAP a Membership jsou registrované v Access Manageru u organizace a musí tam být zadané i heslo pro uživatelel amldapuser.

V amconsoli (http://server:port/amconsole) se musí nastavit u služby Membership a LDAP nové heslo.

Dalším krokem je změna hesla v adresářovém serveru: do administrační konzole adresářového serveru se přihlaste jako cn=Directory Manager a změňte heslo pro uživatele amldapuser.

Taky to chce změnit heslo v /etc/opt/sun/identity/config/AMConfig.properties, konkrétně položku com.iplanet.am.service.secret, položka se generuje néstrojem /opt/sun/identity/bin/ampassword (parametr -e).

Dále je třeba změnit heslo v každém AM Policy Agentovi, který je na AM nasměrován (postup je dobře popsán v dokumentaci k Policy Agentovi).

2. admin

2.1. Aplikační server

Uživatel admin slouží pro správu aplikačního serveru přes administrační konzoli případně se jeho heslo může hodit u CLI klienta.

V souboru /var/opt/sun/appserver/domain/domain1/config/admin-keyfile je SSHA hash hesla pro admina.

Přes asadmina jsem si udělal novou doménu s novým heslem a ten soubor z ní překopíroval do domain1.

Nevím jestli existuje jednodužší postup, ale tenhle je 100% funkční :-).

2.2. Adresářový server

Admin v aplikačním serveru je jiný uživatel než ten v adresářovém serveru. Změna uživatele pro adresářový server je jednoduchá: v administrační konsoli adresářového serveru je třeba vlézt do admin serveru, tam v menu pro konfiguraci změnit heslo uživatele admin.

3. amService-srapGateway

Uživatel amService-srapGateway se používá v komponentě Gateway u SRA (portálový server).

Na všech bežících instancích SRA je třeba provést psadmin change-loguser-password

Nové heslo napište do /opt/sun/portal/admin/.passwdfile

change-loguser-password --adminuser amadmin \
-f /opt/sun/portal/admin/.pwdfile \
--newpasswordfile /opt/sun/portal/admin/.passwdfile --name default

Po provedení této změny je potřeba v LDAPu nastavitné heslo uživateli uid=amService-srapGateway,ou=agents,dc=DOMENA,dc=TLD.

4. cn=Directory Manager

cn=Directory Manager je vlastně takový root v adresářovém serveru, má největší oprávnění. Jeho heslo je zaznamenáno v konfiguraci portálového serveru.

Jako první krok se změní heslo v portálu aby korektně nabíhalo SRA a správně fungoval nástroj psadmin.

Nové heslo se zapíše do souboru /opt/sun/portal/admin/.passwdfile2 (jen heslo, nic víc). Poté je třeba spustit příkaz pro změnu hesla:

/opt/sun/portal/bin/psadmin set-domain-repository-password \
--adminuser amadmin -f /opt/sun/portal/admin/.pwdfile \
--debug /opt/sun/portal/admin/.passwdfile2

Tento program změní soubor /etc/opt/sun/portal/domains/defaultDomain/PortalDomainConfig.properties, kde to přidá hodnotu k parametru “domain.data.credentials“, tady odsud jsem hodnotu přesunul do parametru “domain.users.datastore.manager.password“.

Další krok je změna hesla v adresářovém serveru:

[root@srvpor01 slapd-INSTANCE]# pwd
/var/opt/sun/directory-server/slapd-INSTANCE
[root@srvpor01 slapd-INSTANCE]# ./getpwenc SSHA NEWPASSWORD
{SSHA}lsFgSfS1dJprjbbZcKkspq2OC6oFJIkOYkFacg==
[root@srvpor01 slapd-INSTANCE]# ./stop-slapd
[root@srvpor01 slapd-INSTANCE]# vi config/dse.ldif
u parametru nsslapd-rootpw se zapíše získaný hash
[root@srvpor01 slapd-INSTANCE]# ./start-slapd

5. amAdmin

amAdmin je uživatel s největšími oprávněními pro Access Manager.

V konzoli LDAPu je potřeba změnit heslo uživatele amAdmin.

V initscriptu se používá soubor /opt/sun/portal/admin/.pwdfile tam se zapíše nové heslo.

6. puser

Heslo pro uživatele puser je v /etc/opt/sun/identity/config/serverconfig.xml a mění se pomocí nástroje ampassword.

/opt/sun/identity/bin/ampassword -p -o OLDPASSWORD -n NEWPASSWORD

7. dsameuser

Heslo pro uživatele dsameuser je v /etc/opt/sun/identity/config/serverconfig.xml a mění se pomocí nástroje ampassword.

/opt/sun/identity/bin/ampassword -a -o OLDPASSWORD -n NEWPASSWORD

Pokud používáte s Sun Java Identity Manager a spravujete v něm Access Manager, nezapomeňte aktualizovat soubor serverconfig.xml také na serveru, kde je nainstalován IdM.