暗号化プロパティエディタの使用

Contrastでは、$CONTRAST_HOME/data/confディレクトリにいくつかの設定ファイルが含まれています。デフォルトでは、Contrastはセキュリティのために設定ファイルを暗号化しますが、Contrastのワークフローを介してこれらのファイルの一部を変更できます。

例えば、以下はオンプレミス版インストール用の暗号化されたプロパティファイルの一部です。

名前

内容

ad.properties

Active Directoryグループの認証用にContrastを接続および構成するための設定。

ldap.properties

LDAPグループの認証用にContrastを接続および構成するための設定。

database.properties

ContrastとMySQLの間で通信するためのホストと接続の設定。

saml.properties

SAMLキーストアのセキュリティ設定

Contrastには、これらのファイルを復号化し設定を支援する編集ツールも含まれています。このツールは、Contrastの実行中に、アプリケーションの外部の暗号化されたプロパティファイルから値を取得したり、自動パスワードローテーションなど、ファイル内のプロパティを自動的に更新したりする必要がある場合に役立ちます。

暗号化されたプロパティファイルを編集するには:

  1. $CONTRAST_HOME/binディレクトリで以下の復号化ツールを見つけます。

    • Linuxedit-propertiesという名前のシェルスクリプト

    • Windowsedit-properties.cmdという名前のWindowsコマンドファイル

  2. コマンドプロンプトからツールを実行します。これにより、暗号化されたプロパティの値を更新できるアプリケーションが開きます。

    $CONTRAST_HOME/bin/edit-properties -e $CONTRAST_HOME/data/esapi -f $CONTRAST_HOME/data/conf/ad.properties
  3. 暗号化されたプロパティファイルを表示または編集するには、入力の詳細を指定する必要があります。入力が必要な基本項目は以下のとおりです。

    • ESAPI.propertiesへのパス。

    • 編集するターゲットプロパティファイル。

    暗号化プロパティエディタ用にこの情報を見つけるには、引数を指定せずにedit-propertiesを実行します。

    contrast@EOP-TeamServer:~/contrast/bin$ ./edit-properties 
    
    usage: property-editor
     -c,--comment <text>      The comment for the top of the file
     -e,--esapi <path>        The path to the ESAPI.properties file
     -f,--targetFile <file>   The properties file to edit
     -o,--print-value         Print out the value of the property and exit
     -p,--property <name>     The name of the property to set
     -v,--value <val>         The value of the property
  4. この例は、暗号化ファイルの編集方法を示しています。ESAPI.propertiesへのパスと編集するターゲットプロパティファイルを指定します。ファイル内で暗号化されている編集可能な既存の値が表示されます。上記のusageオプションでは、単一のプロパティを表示または編集できます。

    contrast@TeamServer:~/contrast/bin$ ./edit-properties -e ../data/esapi/ -f ../data/conf/ad.properties
    
    ad.userDn                                         : cn=Directory Manager
    ad.identity.attribute.name                        : mail
    ad.password                                       : NotaRealPassword
    ad.nested.groups.enabled                          : false
    ad.group.users                                    : cn=ContrastUsers,cn=Users,dc=contrastsecurity,dc=com
    ad.group.admin                                    : cn=ContrastAdmins,cn=Users,dc=contrastsecurity,dc=com
    ad.url                                            : ldap://localhost:389
    ad.base                                           : dc=contrastsecurity,dc=com
  5. プロパティの暗号化されていない値を取得または更新することもできます。値を取得するには、プロパティエディタに別のパラメータを渡します。この例では、データベースプロパティに関する詳細を調べています。

    $CONTRAST_HOME/bin/edit-properties \
       -e $CONTRAST_HOME/data/esapi \
       -f $CONTRAST_HOME/data/conf/database.properties \
       -p jdbc.username \
       -o

    暗号化されていない値を更新するには、プロパティエディタに別の引数セットを渡します。

    $CONTRAST_HOME/bin/edit-properties \
       -e $CONTRAST_HOME/data/esapi \
       -f $CONTRAST_HOME/data/conf/database.properties \
       -p jdbc.username \
       -v joe.user \
       -c "Updating JDBC Password"

注記

暗号化されているプロパティファイルを編集した場合は、編集内容を示すコメントを追加しておきます。これは、設定の変更を追跡する必要がある監査担当者などのために役立ちます。