security.cfg mejorado

CA UIM 20.3.0 proporciona las siguientes mejoras en el archivo security.cfg:
  • Utiliza un algoritmo de hash robusto PSV2 (PBKDF2) para el hash de contraseñas en el concentrador 9.31/9.31S.
  • Cifra la información de usuario (por ejemplo, ID de correo electrónico, teléfono, perfil, permisos) en el concentrador 9.31/9.31S para los usuarios disponibles en el archivo security.cfg.
La información completa se trata de la siguiente manera:
2
Parámetros
Los siguientes parámetros permiten controlar el hash de la contraseña del usuario y el comportamiento del cifrado de la información del usuario:
  • psv2_password:
    permite especificar si desea convertir las contraseñas de usuario creadas con PSV1 (MD5) en PSV2 (PBKDF2). Los valores de parámetro aplicables son
    yes
    y
    no
    . Agregue este parámetro a 9.31/9.31S hub.cfg.
  • encrypt_user_info:
    permite especificar si se desea cifrar la información del usuario. Los valores de parámetro aplicables son
    yes
    y
    no
    .  Agregue este parámetro a 9.31/9.31S hub.cfg.
  • DEBE
    realizar una copia de seguridad de los archivos security.cfg y security.dta antes de activar esta funcionalidad.
  • No se pueden
    revertir los cambios en security.cfg una vez modificado el hash de contraseña a PSV2.Por lo tanto, debe realizar la copia de seguridad de los archivos existentes.
Consideraciones
Revise las siguientes consideraciones:
  • Al activar el parámetro encrypt_user_info, la información de usuario en security.cfg se propaga en un formato no cifrado a los concentradores con una versión inferior a 9.31/9.31S. En el caso de los concentradores 9.31/9.31S, la información del usuario se propaga en el formato cifrado.
  • Al activar el parámetro encrypt_user_info en cualquier concentrador 9.31/9.31S, todos los concentradores 9.31/9.31S (y versiones superiores) obtendrán el archivo security.cfg cifrado sin tener en cuenta si este parámetro está activado o no en dichos concentradores. Sin embargo, la propagación de seguridad debe estar habilitada en esos concentradores. Además, en el caso de los concentradores principales, siempre se produce la propagación de seguridad.
  • Al activar el parámetro encrypt_user_info en cualquier concentrador 9.31/9.31S y la información de usuario está cifrada, se recomienda que no vuelva al estado descifrado a menos que sea muy importante hacerlo. El motivo es que el archivo cifrado security.cfg ya se ha propagado a todos los concentradores (9.31/9.31S y versiones superiores).
  • Si no se agregan estos parámetros a 9.31/9.31S hub.cfg, CA UIM sigue el escenario
    no-no
    , que es la primera fila de la tabla.
Escenarios
En la siguiente tabla se resume la información en función de los valores de los dos parámetros:
psv2_password
encrypt_user_info
Comportamiento
no
no
En este caso:
psv2_password=no
  • La contraseña de PSV1 no se convierte en PSV2 cuando un usuario inicia sesión en el concentrador 9.31/9.31S porque psv2_password se establece en no.
    • Todos los usuarios nuevos creados en el concentrador 9.31/9.31S utilizan PSV2 para la contraseña de forma predeterminada. Este usuario no puede iniciar sesión en 7.97 (o una versión anterior).
    • Los usuarios que proceden del concentrador 7.97 (o una versión anterior) utilizan la contraseña PSV1. Su contraseña no se convierte en PSV2.
encrypt_user_info=no
  • En el concentrador 9.31/9.31S no se cifra el resto de la información de los usuarios porque encrypt_user_info se establece en no.
    • Para todas las versiones del concentrador, security.cfg incluye información de usuario en un formato no cifrado porque encrypt_user_info se establece en no. Este archivo se propaga a todas las versiones del concentrador con la misma información de usuario no cifrada.
no
yes
En este caso:
psv2_password=no
  • La contraseña de PSV1 no se convierte en PSV2 cuando un usuario inicia sesión en el concentrador 9.31/9.31S porque psv2_password se establece en no.
    • Todos los usuarios nuevos creados en 9.31/9.31S utilizan PSV2 para la contraseña de forma predeterminada. Este usuario no puede iniciar sesión en 7.97 (o una versión anterior).
    • Los usuarios que proceden del concentrador 7.97 (o una versión anterior) utilizan la contraseña PSV1. Su contraseña no se convierte en PSV2.
encrypt_user_info=yes
  • La información de usuario se cifra al tiempo que se propaga el archivo security.cfg al concentrador 9.31/9.31S.
  • Para las versiones del concentrador inferiores a 9.31/9.31S, la información del usuario se descifra al tiempo que se propaga el archivo security.cfg a las versiones inferiores del concentrador (7.97 o una versión anterior).
yes
no
En este caso:
psv2_password=yes
  • La contraseña de PSV1 se convierte en PSV2 cuando un usuario con contraseña PSV1 inicia sesión en el concentrador 9.31/9.31S porque el parámetro se establece en sí.
    • Todos los usuarios nuevos creados en el concentrador 9.31/9.31S utilizan PSV2 para la contraseña de forma predeterminada. Este usuario no puede iniciar sesión en 7.97 (o una versión anterior).
    • Los usuarios que proceden del concentrador 7.97 (o una versión anterior) utilizan la contraseña PSV1. Ahora, su contraseña se convierte en PSV2 al iniciar sesión en el concentrador 9.31/9.31S. Tras iniciar sesión en 9.31/9.31S, no pueden volver a iniciar sesión en 7.97 (o una versión anterior) debido a la conversión de PSV1 a PSV2.
encrypt_user_info=no
  • En el concentrador 9.31/9.31S no se cifra el resto de la información de los usuarios porque encrypt_user_info se establece en no.
    • Para todas las versiones del concentrador, security.cfg incluye información de usuario en un formato no cifrado porque encrypt_user_info se establece en no. Este archivo se propaga a todas las versiones del concentrador con la misma información de usuario no cifrada.
yes
yes
En este caso:
psv2_password=yes
  • La contraseña de PSV1 se convierte en PSV2 cuando un usuario con contraseña de PSV1 inicia sesión en el concentrador 9.31/9.31S.
    • Todos los usuarios nuevos creados en el concentrador 9.31/9.31S utilizan PSV2 para la contraseña de forma predeterminada. Este usuario no puede iniciar sesión en 7.97 (o una versión anterior).
    • Los usuarios que proceden del concentrador 7.97 (o una versión anterior) utilizan la contraseña PSV1. Ahora, su contraseña se convierte en PSV2 al iniciar sesión en el concentrador 9.31/9.31S. Tras iniciar sesión en 9.31/9.31S, no pueden volver a iniciar sesión en 7.97 (o una versión anterior) debido a la conversión de PSV1 a PSV2.
encrypt_user_info=yes
  • La información del usuario se almacena en un formato cifrado al tiempo que se propaga el archivo security.cfg al concentrador 9.31/9.31S.
    • Para las versiones del concentrador inferiores a 9.31/9.31S, la información del usuario se descifra al tiempo que se propaga el archivo security.cfg a las versiones inferiores del concentrador (7.97 o una versión anterior).
Ejemplo de fragmento de código
El siguiente ejemplo muestra que la información de usuario está ahora disponible en el formato cifrado de security.cfg para el concentrador 9.31/9.31S:
<users> <pha1> password = $psv2$250406$wm2lyEX93qHfSpnjfnzykUQQZ41lSLbIOClbh0ikSJ3vyZJ0VrKcaWMd8H3HLaiMRRQJMFbVd4soZWy+4tFJdwCL5nYDYan7WIkyo6e18tT3x/xguQ== mobile = cUkLtAi5N59wz9fX7Q== email = 9Ou/8qEA/O/8sYAJRw== profile = GL9SVrpTnj46UB6igg== phone = cUkLtAi5N59wz9fX7Q== acl = FLKl1R+JomZPgag== </pha1> .... </users>
Restaure el archivo security.cfg con copia de seguridad
Si desea restaurar el archivo security.cfg con copia de seguridad, puede hacerlo.
El archivo secedit solo es aplicable para Windows. Para Linux, la única forma de restaurar la configuración es copiar manualmente los archivos con copia de seguridad (security.cfg y security.dta).
Siga los pasos siguientes:
  1. Obtenga el archivo secedit de Soporte y colóquelo en la carpeta ..\Nimsoft\hub.
  2. Desactive los dos parámetros (
    psv2_password
    y
    encrypt_user_info
    )
    en el archivo hub.cfg.
  3. Detenga el servicio Nimsoft Robot Watcher.
  4. Cierre todas las instancias de IM, la consola de administración y otros componentes, si los hubiera.
  5. Suprima los archivos hubs.sds y robots.sds de la carpeta ..\Nimsoft\hub.
  6. Inicie el servicio Nimsoft Robot Watcher.
  7. Ejecute secedit.exe.
  8. Introduzca el usuario y la contraseña del administrador de CA UIM. Se abre un bloc de notas con el nombre security.txt. Esto incluye información de seguridad.
  9. Copie el contenido del archivo security.cfg con copia de seguridad en el bloc de notas abierto.
  10. Guarde el bloc de notas.
  11. Reinicie el servicio Nimsoft Robot Watcher.
  12. Inicie sesión en IM para verificar los cambios de configuración, las listas de acceso, los usuarios y otros valores de configuración.