Шифрование паролей к внешним системам

Пароли к внешним системам могут храниться как в открытом, так и в закрытом (зашифрованном) виде. По умолчанию шифрование паролей отключено.

Включение и выключение режима шифрования паролей выполняется в конфигурационном файле dbaccess.properties (параметр encryption.enabled). Подробное описание параметра приведено в разделе Безопасность.

После включения шифрования, пароли, указанные ранее в открытом виде, автоматически не зашифровываются и будут обрабатываться не корректно. Для корректной обработки паролей необходимо выполнить действия, указанные ниже.

Пароли, заданные через интерфейс администратора

К паролям, заданным через интерфейс администратора, относятся пароли для подключения к серверам входящей и исходящей почты, импорта и CTI.

С версии 4.15 учетные данные вновь созданных подключений для интеграций с почтой, CTI и для импорта хранятся в базе данных по умолчанию в зашифрованном виде, независимо от значения параметра encryption.enabled.

После включения режима шифрования пароли, заданные в открытом виде через интерфейс администратора, необходимо задать повторно через интерфейс администратора или зашифровать методом api.encryption.encryptAllPasswords().

• api.encryption Шифрование и дешифрование
  

Пароли из внешних файлов

Пароли в открытом виде могут быть заданы в конфигурационных файлах dbaccess.properties, ldap-settings.xml, jms-settings.xml и external-settings.xml.

Параметры, которые подлежат шифрованию

В конфигурационном файле dbaccess.properties для следующих параметров указывается свойство "название свойства".enc:

db.password.enc=null;
ru.naumen.core.authentication.ad-authenticator.user-password.enc=null
ru.naumen.samlfilter.keystore.password.enc=null

Для файлов ldap-settings.xml и jms-settings.xml существует тег <encPassword>, в котором хранится зашифрованный пароль пользователя. Тег <encPassword> используется вместо <password>, если включено шифрование паролей в dbaccess.properties. Для файлов external-settings.xml используется тег <clientSecret>.

Включение шифрования с использованием Groovy-консоли

Чтобы включить шифрование паролей, выполните следующие действия:

1. В конфигурационном файле dbaccess.properties установите значение параметра encryption.enabled=true.

2. Перезапустите приложение.

3. В конфигурационных файлах dbaccess.properties, ldap-settings.xml, jms-settings.xml и external-settings.xml выберите свойства, хранящиеся в открытом виде (см. Параметры, которые подлежат шифрованию), и для каждого свойства определите зашифрованное значение методом api.encryption.encryptString.

   • api.encryption Шифрование и дешифрование
     

4. В консоли введите полученное зашифрованное значение в виде строки %название свойства%.enc, например, db.password.enc, или <encPassword>, после чего незашифрованные значения можно удалить.

   В строке "название свойства".enc нельзя задавать открытый пароль, приложение попытается его расшифровать.

5. Перезапустите приложение.

Включение шифрования с использованием лога приложения

Чтобы включить шифрование паролей, выполните следующие действия:

1. В конфигурационном файле dbaccess.properties установите значение параметра encryption.enabled=true.

2. Перезапустите приложение.
3. В логах приложения найдите все записи вида "Encrypted value of property 'db.password' is 'lHdkJiHfOfiHhdosJH=='". В данном случае lHdkJiHfOfiHhdosJH== - это зашифрованное значение пароля db.password.

4. В конфигурационном файле dbaccess.properties укажите зашифрованные значения свойств %название свойства%.enc, например, db.password.enc, или <encPassword>, после чего незашифрованные значения можно удалить.

   В строке "название свойства".enc нельзя задавать открытый пароль, приложение попытается его расшифровать.

5. Перезапустить приложение.

Пример. При включенном режиме шифрования в файле dbaccess.properties указан открытый пароль db.password=stand. При поднятии приложения в лог будет выведена запись вида "Encrypted value of property 'db.password' is 'lHdkJiHfOfiHhdosJH=='". Замените строку "db.password=stand" на строку "db.password.enc=lHdkJiHfOfiHhdosJH==".

После включения режима шифрования пароли, заданные в открытом виде, не влияют на работу приложения. В лог приложения выводится запись вида "Encrypted value of property '"название свойства" is '"зашифрованный пароль"=='".

Выключение шифрования

Чтобы отключить шифрование паролей, в конфигурационном файле dbaccess.properties установите значение параметра encryption.enabled=false или удалите строку со свойством.

Для продолжения работы после выключения шифрования паролей требуется:

• Для замены паролей, задаваемых через интерфейс администратора, на незашифрованные (открытые), необходимо воспользоваться методом api.encryption.decryptAllPasswords().

  • api.encryption Шифрование и дешифрование
    
• Для замены паролей из файла dbaccess.properties, необходимо перезаписать их в незашифрованном виде в соответствующих строках.