как устранить проблемку на Android
В нынешних Android-смартфонах немало штатных программных решений для защиты данных, плюс юзеры, которым либо действительно есть, что защищать, либо которые не особо разбираются в этой теме, часто устанавливают также дополнительные мобильные приложения того же профиля, активируют политику администрирования и/или шифрование.
В итоге кое-кто «шифруется» так, что потом не может получить доступ к некоторым настройкам собственного смартфона.
На практике же сия оказия часто приобретает вид сообщения о том, что что-то нужное «запрещено администратором», к примеру, при попытке переключиться с разблокировки экрана отпечатком на обычный свайп или пин.
В этой статейке — о том, как устранять ошибку «запрещено администратором» на Samsung Galaxy Note 5 и, само собой, на всех других Android-смартфонах и планшетах. Но для начала уточним главный симптом.
Если в настройках своего мобильного девайса вы заметили, что опции блокировки экрана и безопасности не активны (прописаны безжизненно серым цветом), а любая попытка их изменить сопровождается сообщением об ошибке с надписью «запрещено администратором, политикой шифрования или хранилищем учетных данных», то в таком случае проблема действительно имеет место быть. Но вы не первый, кому приходится с ней сталкиваться с того самого момента, когда компания Google добавила новую функцию шифрования в ОС Android.
Потому, когда вам просто надо переключиться с «хитрой» разблокировки экрана на привычную разблокировку свайпом, то в настройках блокировки экрана своего Galaxy просто просто попробуйте тапнуть строчку «Нет», которая как раз и включает этот способ. Если же на это свое действие вы получили упомянутое «запрещено администратором», значит зашли вы на правильную страничку и сейчас узнаете, как данная проблема устраняется.
Итак, как получить доступ к настройкам Samsung Galaxy или другого Android-смартфона или планшета в случае возникновения ошибки «Запрещено администратором, политикой шифрования или хранилищем учетных данных».
По порядку.
Во-первых, как вы уже, наверняка, поняли, данная ошибка может возникать в случае, когда на смартфоне или планшете активирована система шифрования для защиты хранящихся в его памяти данных.
Во-вторых, замечена данная ошибка пользователями таких программных продуктов, как Samsung Pay, Android Pay, Outlook и ряда других приложений.
В-третьих, для того чтобы ее устранить, т.е. разблокировать недоступные опции, придется через меню настроек очистить учетные данные. В ОС Android 6.0 сделать это можно следующим образом: заходим в «Настройки«, потом — в «Безопасность«, там находим «Другие параметры безопасности«, затем раздел «Хранилище регистрационных данных» и жмем «Очистить учетные данные«. После этого можно будет менять опции блокировки экрана (они перестанут быть серыми) и другие настройки девайса.
Что такое хранилище учетных данных android. Запрещено администратором, политикой шифрования или хранилищем учетных данных
Блокировка экрана защищает содержимое вашего смартфона или планшета, не позволяя ему попасть в чужие руки.
Телефоны самсунг галакси, как и все остальные устройства андроид xiaomi redmi note 4x, леново, huawei, на хуавей хонор асус зенфон, прошивки miui, zte blade, lg, сони xperia, htc, meizu, lumia, позволяют заблокировать себя несколькими вариантами, как правило, используют пин код, пароль рисунок или отпечаток пальца.
Если вы решите, что блокировка телефона больше не нужны, то можете отключить ее в любое время: графическую (блокировку экрана рисунком), пин код, пароль или отпечаток пальца. Вот как это сделать.
ПРИМЕЧАНИЕ: содержание этой записи больше относится к смартфонам самсунг j1 mini, j3, а3, а5, гранд прайм, дуос, на андроид 5.1 и андроид 6.0, но если у вас другой, то разница будет не существенна.
Включите телефон и откройте настройки и перейдите в раздел: «экран блокировки и защита».
Затем верхней части экрана нажмите на строку: «Тип блокировки экрана».
В открывшейся вкладке щелкните по пункту «Нет».
Это все — режим блокировки, в вашем samsung, honor, lenovo, сони иксперия, asus zenfone, лджи, люмия и так далее в дальнейшем будет отключен.
Что делать, если вы забыли пин код или рисунок, и не имеете доступа к телефону?
Возможно, кто-то изменил шаблон экрана блокировки, чтобы вас раздражить?
Для того, чтобы избежать такого рода условий, есть наработанные методы, чтобы обойти шаблон блокировки экрана, пин код, пароль и отпечатки пальцев. Вот как это можно сделать.
Обойти блокировку с помощью сервиса Samsung
Все устройства Samsung оснащены сервисом «Найти свой телефон». Для того, чтобы пропустить шаблон блокировки экрана Samsung, пин код, пароль и отпечатки пальцев просто следуйте инструкциям, приведенным ниже.
- Прежде всего, создайте учетную запись Samsung и войдите в нее.
- Нажмите на кнопку «Моя блокировка экрана».
- Введите новый номер пин кода.
- Нажмите кнопку «Заблокировать» в нижней части.
- В течение нескольких минут, это изменит пин код блокировки или пароль, так что вы сможете разблокировать устройство.
Обойти блокировку с помощью сервиса Google
Для обхода блокировки экрана в телефоне Samsung Android сделайте следующее.
- Посетите сайт https://www.google.com/android/devicemanager на другом смартфоне или компьютере.
- Войдите в свой аккаунт Google, который используется на заблокированном устройстве.
- Выберите устройство, которое хотите разблокировать.
- Нажмите на кнопку «Заблокировать».
- Введите пароль. Там нет необходимости делать какие-либо сообщения о восстановлении. Опять же, выберите «Заблокировать».
- Теперь можете ввести новый пароль и телефон будет разблокирован.
- Перейдите к экрану настроек и выключите устройство блокировки временного пароля.
Сброс до заводских настроек для обхода блокировки экрана Samsung
Сброс заводских установок является лучшим вариантом почти в каждом случае, если решения выше не работают.
Процесс может варьироваться в зависимости от типа устройства. В большинстве устройств, необходимо выключить устройство полностью, чтобы начать процесс.
Только этот метод удаляет все ценные данные на устройстве после сброса настроек.
- Удерживайте нажатой кнопку питания и регулятор громкости одновременно. Откроется меню загрузчика.
- Выберите опцию «Wipe Data / Factory Reset» с помощью кнопок регулировки громкости.
- Подтвердите, нажав на кнопку «Питание».
- Выберите «Перезагрузить сейчас» (Reboot system now), когда процесс закончится.
Еще один способ обойти блокировку на смартфоне
- Возьмите телефон друга и позвоните на заблокированный.
- Примите вызов и нажмите кнопку «Назад» без отключения разговора.
- Теперь можете получить доступ к устройству полностью.
- Перейдите в раздел настройки безопасности устройств и удалите пин код или рисунок.
- Система запросит у вас правильный пин код, который вы не знаете — пробуйте различные конфигурации – может угадаете.
Для того чтобы защитить личную информацию, экран любого Андроид-смартфона может быть заблокирован. Причем делается это разными способами. Сие нужно, например, тогда, когда вы потеряли устройство. Но иногда в такой защите нет абсолютно никакой необходимости и она только отнимает время при включении девайса. В данной статье мы расскажем, какими бывают блокировки экранов на Android. Также узнаем, как их убрать или, напротив, установить.
Существует несколько типов защиты экрана на Android. Ниже мы опишем их в виде списка и приведем примерную степень безопасности:
- Отсутствие блокировки. Экран включается кнопкой питания и сразу виден рабочий стол. Защита отсутствует;
- Простой свайп. Экран разблокируется посредством движения пальца по нему. Защищает только от случайных включений;
- Графический ключ. Пользователь рисует узор по специальным направляющим точкам и таким образом разблокирует устройство. Безопасность достигается путем введения паузы между попытками ввода после нескольких неудачных;
- ПИН-код. Набор из нескольких цифр, который нужно ввести для снятия блокировки. Точно так же, как и в случае с графическим ключом, при нескольких неправильных вводах устанавливается пауза на определенное время. Безопасность более высокая;
- Пароль. Наиболее безопасный, но в то же время длительный способ разблокировки экрана. Заключается во вводе комбинации из цифр и букв разного регистра;
- Отпечаток пальца. Относительно новый способ защиты, являющийся самым безопасным на сегодняшний день. Подобрать невозможно;
- Распознавание лица. Еще более современный алгоритм, предусматривающий сканирование множества точек лица владельца и автоматическую разблокировку устройства при его появлении перед сенсорами. Довольно сомнительный вариант, значительно проигрывающий отпечатку;
- Сканер радужной оболочки глаза. Еще один алгоритм защиты, работающий по принципу сканирования уникальной для каждого человека сетчатки. Защита высочайшего уровня.
Также для безопасности могут использоваться сторонние приложения, применяющие для входа в Андроид различные загадки, вопросы и т. д. Возможности операционной системы от Google в данной области безграничны. Так что сильно вникать в подробности мы не будем и сразу перейдем к описанию отключения блокировки на разных версиях Android.
Как убрать
Итак, на сегодняшний день существует несколько самых распространенных версий Андроид. Также присутствуют надстройки над «чистой» операционной системой, которые используют, например, Xiaomi или Samsung. Работу с ними мы также опишем. Но перед тем как приступить, помните: снимая блокировку, вы делаете свой телефон и информацию, находящуюся в нем, уязвимыми для злоумышленников. Начинаем.
Android 2.x
Рассматривать редакции ОС от Гугл мы будем в порядке их появления. Пропустим только совсем уж древнюю Android 1.x и чисто планшетную 3.x.
- Для снятия защиты в Google Android 2.x нужно изначально перейти в меню приложений. Его иконка обозначена на скриншоте ниже.
- Далее нас интересуют настройки. Тапаем по иконке с изображением шестеренки или нечто подобное.
- На следующем этапе жмем по «Местоположение и защита».
- Переходим к пункту с названием «Сменить способ блокировки».
- Так как у нас был активен ПИН-код, то для его отключения нужно будет обязательно ввести шифр. Если у вас стоит другая защита, например, графический ключ или пароль, соответственно, укажите их. О том, что делать если вы не знаете этих данных, написано в самом конце статьи.
- Итак, когда верификация будет проведена, можно отключать защиту. Для этого мы просто жмем по отмеченному на скриншоте пункту.
Также ниже вы видите остальные способы блокировки, поддерживаемые на втором Андроид.
Поднимаемся выше и переходим к рассмотрению 4-й версии OS.
Android 4.x
Настал черед поговорить о когда-то самой популярной операционной системе. Это четвертый Android. Он до сих пор установлен на миллионах смартфонах и планшетах. Итак, для того чтобы отключить блокировку тут, делаем следующее:
- Идем в главное меню, тапнув по его значку на домашнем экране.
- Переходим к настройкам. В нашем случае это «Settings», у вас ярлык может называться по-другому. Все зависит от примененной локализации.
- Теперь нам нужен раздел, связанный с безопасностью. У нас это «Security». Тапаем по нему.
- Переходим непосредственно к блокировке экрана.
- Тут уже другая ситуация. В случае с Андроид 2.x нам пришлось авторизироваться, вводя ПИН-код. Здесь это будет графический ключ. Именно он установлен для защиты домашнего экрана.
- Теперь, когда мы подтвердили право собственности на телефон, можно просто отменить блокировку. Делается это нажатием на соответствующий пункт.
В процессе своего рассказа мы постепенно достигли экватора ОС. Это пятый Андроид. Рассмотрим, как работать с ним.
Android 5.x
Давайте разбираться, как отключить блокировку экрана в Андроид, который еще недавно был очень популярным. Это «пятерка». Делаем следующее:
- Как и в предыдущих случаях переходим к меню приложений. Иконка отмечена на скриншоте ниже.
- Ищем шестеренку настроек и жмем по ней. У нас установленных приложений немного, вам же, возможно, придется пролистать список.
- Настройки тут расположены в 2 столбца. Ищем пункт «Безопасность» и тапаем по нему.
- Переходим к разделу настроек, обозначенному на скриншоте. У нас он называется «Блокировка экрана».
- Смена настроек защищена паролем. Для того чтобы убрать защиту, нужно предварительно ввести его. Делаем это и жмем «ПРОДОЛЖИТЬ».
Готово. Все что нам осталось предпринять – это нажать пункт «Нет», и безопасность устройства окажется сведенной к нулю.
Отличием новой версии Андроид является появившееся тут подтверждение. Еще в 4-й редакции его не было. Жмем «ОК».
Тем временем рассматриваемые ОС становятся все более и более современными.
Android 6.x
В шестой версии Android защитная функция экрана блокировки убирается следующим образом:
- Точно также, как и раньше, жмем иконку меню приложений. Там находятся нужные нам настройки.
- Тапаем по обведенному на скриншоте ниже значку шестеренки.
- И, как и в случае с 5.x, выбираем раздел «Безопасность».
- Как видим, наш экран в данный момент заблокирован при помощи графического ключа. Для того чтобы его отключить, жмем по отмеченному на картинке пункту.
- Нам потребуется ввести графический ключ, в противном случае дело дальше не пойдет.
- Если проверка входа пройдет успешно, у нас возникнет несколько вариантов. Впрочем, как и в предыдущих версиях OS. Так как мы говорим в данном случае об отключении, выбираем первый пункт.
- Так же, как и в предыдущем случае, даем утвердительный ответ на появившееся подтверждение.
После этого защита будет полностью отключена.
Android 7.x
В нашем обзоре нет операционной системы Android 8, так как она еще не успела прочно закрепиться среди пользователей. Но о ее предке мы поговорим прямо сейчас. Итак, работаем с «семеркой».
- Ради разнообразия рассмотрим вход в настройки системы не через меню приложений, а при помощи строки уведомлений. Опускаем ее вниз и тапаем по иконке с изображением шестеренки.
- Далее переходим к разделу «Безопасность».
- Выбираем пункт под названием «Блокировка экрана». Сразу же видим, что в данный момент установлен способ авторизации при помощи PIN-кода.
- Естественно, для того чтобы что-то тут изменить, нам потребуется ввести тот самый код.
- Функционал разблокирован, поэтому выбираем первый пункт и таким образом полностью отключаем блокировку.
Мы полностью рассмотрели все версии «голого» Андроид, например, устанавливаемые на Асус. Каждый из вариантов был описан от начала и до конца. Это делается для того, чтобы человек, зашедший на сайт и кликнувший по пункту содержания, получил полнофункциональную инструкцию для своей редакции ОС от Google.
Xiaomi и MIUI
Также давайте рассмотрим отключение защиты на фирменной оболочке от китайского производителя Xiaomi, а именно MIUI. В нашем случае это ее 9-я версия.
- Опускаем строку уведомлений вниз при помощи свайпа и тапаем по иконке запуска настроек. Выглядит она как шестеренка.
- Так как наш телефон поддерживает работу с отпечатком пальца, выбираем советующий раздел. Мы отметили его на скриншоте.
- Затем переходим непосредственно к самой блокировке.
- Нам потребуется ввести пароль, который был установлен ранее. Если этого не сделать, настройки сменить не удастся. Поэтому прописываем код и жмем кнопку ввода.
- Жмем по строчке с надписью «Отключение блокировки».
- Система уведомит нас о том, что, если мы продолжим, блокировка будет снята и использовать отпечаток пальца мы уже не сможем. Если вас это не пугает, то жмем «ОК».
На этом с Xiaomi все, но не все с блокировкой. Рассмотрим, как ее убрать и в пресловутом TouchWiz от Самсунг.
Samsung и TouchWiz
Данная надстройка или оболочка от корейского производителя визуально отличается от немодифицированного Андроид. Поэтому на работе с нею тоже стоит заострить внимание. Чтобы снять защиту тут, делаем следующее:
- Как и в случае с Xiaomi опускаем «шторку» и жмем кнопку настроек.
- Прокручиваем содержимое окна немного вниз и тапаем по отмеченному на экране пункту.
- Видим пункт «Тип блокировки» и тут же наблюдаем вид установленной защиты. Для того чтобы изменить ее или вовсе убрать, жмем по строчке, обведенной красным цветом.
- Для подтверждения вводим графический ключ.
- Выберем пункт «Провести по экрану» – это и есть отключение проверки безопасности.
- Тут нас предупредят о том, что сохраненные ранее данные будут удалены (имеется ввиду сам графический ключ). Подтверждаем свои намерения тапом по кнопке «СТЕРЕТЬ».
После этого пароль будет сброшен и защита включения телефона отменена.
Пример приведен на базе телефона Самсунг Галакси Гранд Прайм, однако подходит он и для других смартфонов этой марки.
Как обойти, если забыт пароль
Существуют варианты, когда человек попросту забыл пароль и не может разблокировать собственное устройство. Ниже мы приведем способ, который может помочь выйти из ситуации, однако предупредим вас о том, что срабатывает он далеко не всегда и не на всех телефонах.
Для того чтобы убрать блокировку, нужно сбросить смартфон к заводским настройкам. Делать это следует из выключенного состояния при помощи сочетания кнопок и меню рекавери. В разных смартфонах эти сочетания тоже разные. Например, на Samsung – это кнопка питания + кнопка громкости вверх + кнопка домой.
Зажимать клавиши нужно именно на выключенном устройстве. Если вы все сделали правильно, телефон перезагрузится в режим Recovery, в котором нужно будет просто выбрать опцию сброса. Однако следует понимать, что данный способ срабатывает не на всех моделях. В более новых девайсах даже после сброса ключ нужно будет вводить.
Внимание! Данный вариант приведет к потере всех данных, которые есть на вашем телефоне. Прежде чем приступить к выполнению, скопируйте их в надежное место.
Не стоит верить материалам в интернете, которые показывают, как снять блокировку при помощи звонка или низкого заряда батареи. Даже перейдя в меню смартфона, для отключения защиты вас попросят ввести тот же ключ.
Что делать, если запрещено администратором
Иногда человек знает свой ПИН-код, графический ключ или пароль, но убрать его все равно не получается. Для того чтобы решить и эту проблему, делаем так:
- Переходим в меню приложений. В данном случае это Андроид 6, но в других версиях ОС последовательность действий подобна.
- Тапаем по шестеренке настроек.
- Переходим в раздел «Безопасность».
- Далее нам потребуется пункт «Администраторы устройства».
- Смотрим какие приложения есть в этом списке. Например, удаленное выключение и блокировка могут влиять на запрет смены пароля. У вас тут могут быть другие функции, для проверки их тоже можно отключить. Жмем по галочке, обозначенной на скриншоте.
- Ниже обозначен перечень полномочий. Есть тут и блокировка экрана, возможно, именно она и мешает нам. Жмем «ОТКЛЮЧИТЬ».
В каждом конкретном случае набор приложений в пункте администрирования может быть разным. Действуйте согласно сложившейся именно у вас ситуации.
Итоги и комментарии
В итоге мы закончили рассказ о том, как можно отключить блокировку экрана на Андроид. Подробная пошаговая инструкция затронула все версии ОС Android, надеемся мы помогли и вам. Если же вопросы остались, пишите их в комментариях: наш сайт создан для того, чтобы помогать вам.
Видеоинструкция
Для большей наглядности приведенного материала и полноты картины в целом предлагаем вам просмотреть также видеоинструкцию. Конкретно описывается последний пункт нашей статьи про сброс к заводским настройкам.
Иногда при попытке сменить графический ключ разблокировки экрана или других действиях видно сообщение «Запрещено администратором, политикой шифрования или хранилищем учетных данных». Перед тем, как рассмотреть процедуру снятия такого ограничения, необходимо понять, откуда оно вообще берется.
1. Почему видно такое сообщение
Если говорить просто, то на телефоне или планшете установлен какой-то сертификат, который непосредственно или косвенно связан с безопасностью. Определенные его части или весь сертификат не дает пользователю понижать уровень безопасности.
Разблокировка графическим ключом считается наиболее безопасной и защищенной от взлома системой. Пароль и PIN-код вскрыть намного проще – их можно элементарно подобрать, исходя из знаний о пользователе.
Например, можно попробовать использовать цифры даты рождения, имя любимого музыкального исполнителя и так далее. К графическому ключу такие психологические особенности не подходят.
Именно по этой причине определенный сертификат не дает возможность уменьшить уровень безопасности путем смены типа снятия блокировки экрана.
Этот сертификат может относиться к следующим программным продуктам:
- Samsung Pay;
- Samsung Billing;
- Android Pay;
- Microsoft Outlook и другие.
Теперь, когда Вы знаете, из-за чего возникает проблема, можно представить, как ее решить.
2. Способы снятия ограничения
Вот как снять графический ключ:
- Отключите такие службы, как Samsung Pay, Samsung Billing, Android Pay и Outlook. Для этого зайдите в настройки и откройте список приложений («Диспетчер приложений» в меню «Приложения»). Затем откройте нужную программу и на ее странице нажмите кнопку «Выключить». После отключения каждой службы пробуйте делать то, что хотели с самого начала.
- Отключите администраторов. Для этого зайдите в меню «Безопасность» и пункт «Администраторы устройства». Если там будут какие-то приложения, в которых Вы сомневаетесь, смело отключайте их. После этого, опять же, пробуйте выполнить ту задачу, которую хотели изначально. Скорее всего, ограничение пропадет с телефона и с плашета.
- Если ничего не получается, уберите все возможные сертификаты. Для этого в меню «Безопасность» нажмите «Очистка сертификатов» и подтвердите действие.
- Очистите учетные регистрационные данные. В некоторых смартфонах также в меню «Безопасность» можно зайти в «Другие параметры безопасности» и «Хранилище регистрационных данных». Там будет пункт «Очистить учетные данные». Нажмите на него и подтвердите действие.
Важно! После того, как Вы попробовали каждый способ, перезагружайте устройство. Возможно, до этого ничего не изменится.
- Выполните полный сброс устройства. Перед этим обязательно скопируйте все важные данные на облачное хранилище или флешку. Как сбросить аппарат, подробно описано в данной статье (способ 5).
Но к последнему способу Вы вряд ли придете. Это возможно только если у Вас какой-то уникальный случай и первые в списке пути решения проблемы не будут работать.
В большинстве случаев все дело именно в сертификате и сброс таковых помогает снять всяческие ограничения. Если нет, значит, в смартфоне или планшете есть какой-то глюк. Если у Вас еще действует гарантия, лучше обратиться к специалистам.
Часто пользователи мобильных гаджетов, работающих на ОС Android, сталкиваются с проблемой отключения блокировки экрана. Установлен графический ключ, пароль или PIN-код, но владелец устройства желает, чтобы защита снималась простым движением пальца, либо экран совсем не блокировался. Пытаясь просто зайти в меню и снять ограничения, пользователь видит, что не может получить доступ к необходимым опциям, так как нужные строчки неактивны. У этой ошибки есть достаточно простое решение, и сейчас я расскажу, что надо сделать для снятия ограничений, если данные действия запрещены администратором, политикой шифрования или хранилищем учетных данных.
Меню настроек с сообщением об ошибке «Запрещено администратором, политикой шифрования или сервисом хранения учетных данных»
Почему возникает ошибка с запретом администратора
Кроме того, что мобильные гаджеты на платформе Android имеют встроенные программы, обеспечивающие безопасность данных, многие пользователи устанавливают дополнительные средства защиты и, сами того не зная, запускают администрирование или политику шифрования. В результате владелец девайса включает такую защиту, что и сам не получает доступ к определенным настройкам планшета либо телефона.
Также сообщение об ошибке “Запрещено администратором, политикой шифрования или хранилищем учетных данных” может выскакивать при установке какого-либо полезного программного обеспечения, имеющего сертификат, который меняет настройки мобильного устройства. В этом случае приложением запрашивается разрешение активировать администратора девайса, и, если пользователь подтверждает действие, после окончания установки выскакивает сообщение о том, что администратор активирован.
Администратор активирован
Третьей причиной выступает корпоративная политика безопасности. То есть, если при помощи своего устройства вы получаете доступ к информации организации-работодателя, и ваш электронный ящик удаленно подключен к сети компании, ошибка может быть обусловлена действиями специалистов по IT. В этом случае перед решением проблемы следует связаться с ними и вместе попробовать исключить ошибку “Запрещено администратором, политикой шифрования или хранилищем учетных данных”.
Как исправить ошибку “Запрещено администратором, политикой шифрования или хранилищем учетных данных”
Если проблема возникла после установки приложения, обеспечивающего дополнительную защиту девайса, то, если данная программа не нужна, ее необходимо удалить. При нежелании удалять приложение можно отключить администратора, чтобы телефоном не могли управлять никакие посторонние программы. Для этого в настройках гаджета нужно зайти в меню безопасности и перейти в пункт “Администраторы устройства”.
Администраторы устройства
При наличии в данном меню каких-либо программ, особенно вам неизвестных, нужно нажать на их название. Если выскочит сообщение о том, что администратор активирован и разрешает приложению блокировать экран, то это значит, что с данной программы необходимо снять эти права – уберите флажок или передвиньте кнопку. При надобности вы снова сможете зайти в данное меню и вновь дать приложению право блокировать экран.
Программы, находящиеся в меню «Администраторы устройств»
Следующим шагом очистите сертификаты устройства, которые не позволяют снижать степень безопасности девайса. Нужный пункт находится в самом низу меню “Администрирование устройства”. В зависимости от гаджета он называется “Очистить учетные данные” или “Очистка сертификатов”. И в том, и в другом случае предполагается одно и то же действие – удаление всех сертификатов. Выберите его и подтвердите действие.
Очистка сертификатов
Если вы боитесь, что в процессе удаления сертификатов потеряете личные данные, создайте их резервную копию. Важные файлы можете отправить на облако, а потом заново скачать их в телефон. С самим устройством ничего плохого не случится. К большому плюсу ОС Android можно отнести синхронизацию с аккаунтом Google. В этом случае все контакты по умолчанию хранятся на облаке. Если сомневаетесь, проверьте синхронизацию. Для этого в настройках зайдите в меню “Аккаунты” или “Учетные записи” и нажмите на Google. Там вы увидите все необходимые сведения.
Аккаунт Google
Для нормальной работы перезагрузите смартфон или планшет, снова зайдите в меню безопасности и проверьте, стали ли активны строчки, ранее содержащие сообщение об ошибке “Запрещено администратором, политикой шифрования или хранилищем учетных данных”. Если да, то смело отключайте блокировку экрана или активируйте простую разблокировку пальцем.
Данный способ должен дать желаемый результат – разблокировать неактивные поля. Если же этого не случилось, то в качестве последнего варианта остается сброс до заводских настроек. Перед тем, как производить данные действия, сохраните важную информацию: личные фотографии, видео, файлы, необходимые для работы, так как при сбросе все данные будут потеряны.
Вконтакте
По умолчанию любой смартфон или планшет после нажатия на его кнопку включения предлагает сделать свайп по экрану. Только после этого вы попадете на рабочий стол. Это сделано для того, чтобы девайс не совершил какие-то действия самостоятельно, находясь в вашем кармане. Компания Google делает всё для того, чтобы экран блокировки был максимально удобным. Но иногда люди всё же задаются вопросом, как отключить блокировку экрана на Андроиде. Сделать это можно очень просто.
Но для начала немного теории. Если вы полностью отключите блокировку экрана, то это может привести к некоторым проблемам. Google неспроста увеличивает функционал экрана, позволяя прямо с него перейти к фотосъемке, осуществлению звонка, а иногда и некоторым другим функциям. Если вам не нравится традиционный вид разблокировки девайса, то почему бы не попробовать другой?
На момент написания статьи стандартными для Android являлись следующие виды блокировок экрана:
- Свайп по экрану — тот самый традиционный метод разблокировки.
- Ввод PIN-кода — очень старый метод, являющийся достаточно защищенным. Простейший подбор PIN-кода здесь не работает, так как после нескольких неудачных попыток появляется таймер — новый ввод будет доступен только после его истечения.
- Графический ключ — идеально подходит для тех, кто лучше запоминает визуальную информацию, а не набор цифр.
- Отпечаток пальца — самый надежный способ защитить информацию, содержащуюся на смартфоне. Обхитрить дактилоскопический датчик практически невозможно.
- Радужная оболочка глаза — её сканирование внедрено в Samsung Galaxy S8 и S8+. В будущем такой метод разблокировки будет внедряться и в другие флагманские аппараты.
- Ввод пароля — самый долгий метод разблокировки. Пароль отличается от PIN-кода тем, что в нём могут содержаться буквы и прочие символы.
В Google Play можно найти множество других экранов блокировки. Они могут использовать другие методы — например, решение математической задачки. Но это уже скорее баловство, чем реальное улучшение существующей системы.
Устранение экрана блокировки
Если вы желаете убрать экран блокировки, то придется покопаться в настройках. Впрочем, пугаться не стоит. Если вы будете следовать нашей инструкции, то весь процесс отнимет у вас всего пару минут:
Шаг 1. Зайдите в «Настройки ».
Шаг 2. Зайдите в раздел «Безопасность ». На некоторых устройствах этот шаг пропускается.
Шаг 3. Выберите пункт «Блокировка экрана ».
Шаг 4. Здесь нажмите «Нет » или «Отсутствует ».
Так вы сможете отключить графический ключ или снять любые другие виды блокировки экрана. Однако не забывайте, что система может потребовать ввести пароль или PIN-код, если таковой был установлен. Это сделано в целях безопасности — вдруг сейчас в ваших руках находится чужой смартфон? Поэтому убрать пароль с экрана блокировки без его ввода не получится.
Что делать, если графический ключ или пароль забыты?
Всё гораздо сложнее, если вы забыли пароль, PIN-код или графический ключ. В таком случае вы даже не попадете в раздел с настройками. К счастью, на некоторых устройствах проблема решаема. Графическая блокировка экрана после нескольких неудачных попыток ввода ключа может предложить попасть на рабочий стол другим образом — введя данные от своего аккаунта Google .
Если на смартфоне отключен доступ в Интернет, то вам придется сбросить настройки до заводских , воспользовавшись режимом Recovery. Пользовательские файлы с телефона при этом будут удалены, как и все настройки. Заодно будет устранена блокировка экрана — она вернется к своему прежнему виду, когда необходимо провести пальцем по дисплею.
ИСПРАВЛЕНО: ОТКЛЮЧЕНО АДМИНИСТРАТОРОМ, ПОЛИТИКОЙ ШИФРОВАНИЯ ИЛИ ХРАНИЛИЩЕМ УЧЕТНЫХ ДАННЫХ. — НАПРАВЛЯЮЩИЕ
Направляющие 2021
Некоторым функциям операционной системы Android, особенно блокировке экрана, которая делает пользователя уязвимым для доступа третьих лиц, иногда может быть отказано в доступе с помощью определенных у
Содержание:
Некоторым функциям операционной системы Android, особенно блокировке экрана, которая делает пользователя уязвимым для доступа третьих лиц, иногда может быть отказано в доступе с помощью определенных учетных данных или приложений, имеющих административные права.
То же самое может произойти в том случае, если хранилище устройства Android зашифровано пользователем и введена политика шифрования.
Проблема «Отключено администратором, политикой шифрования или хранилищем учетных данных» возникает, когда некоторые функции операционной системы считаются небезопасными.
Эта проблема может оказаться довольно неприятной, поэтому следующие три наиболее подходящих метода можно использовать для полного избавления от нее:
Метод 1. Отключите всех несущественных администраторова) Перейдите к ‘Безопасность’.
б) Прокрутите вниз до настроек администрирования устройства и нажмите «Администраторы устройств’Для просмотра приложений с правами администратора и управления ими.
c) Заберите административные привилегии у всех без исключения несущественных приложений, сняв соответствующие флажки. Убедитесь, что вы не отнимаете права администратора у важных приложений, таких как Диспетчер устройств Android.
Метод 2: расшифруйте память вашего устройстваа) Откройте настройки безопасности вашего устройства.
б) Найдите настройки, относящиеся к шифрованию.
c) Вы увидите опцию «Расшифровать устройство» там, где на скриншоте есть опция «Зашифровать устройство». Нажмите на него.
г) Подтвердите действие и дождитесь расшифровки внутренней памяти вашего устройства.
д) Там будет опция «Расшифровать внешнюю SD-карту», где на снимке экрана находится опция «Зашифровать внешнюю SD-карту». Выберите это.
f) Подтвердите выбор и подождите, пока устройство расшифровывает свою внешнюю SD-карту. Этот шаг и шаг выше можно пропустить, если на вашем устройстве нет внешнего хранилища.
Метод 3. Выгрузите все учетные данные вашего устройстваа) Зайдите в Настройки.
б) Найдите и откройте настройки «Безопасность» вашего устройства.
c) Прокрутите вниз до настроек, относящихся к Credential Storage.
г) Нажмите «Очистить учетные данные» или аналогичный.
д) Нажмите «ОК», когда будет предложено подтвердить действие.
Андроидный VPN-клиент и беспарольная разблокировка телефона
Довелось потестировать встроенный в смартфон на андроиде VPN-клиент. Сразу же столкнулся с мисфичей андроида, на тему которой пользователи стонут на весь интернет: система не позволяет ни настроить новое VPN-соединение, ни получить доступ к списку ранее настроенных соединений, если типом блокировки экрана задан не PIN/пароль/графический ключ, а разблокирование выполняется просто проведением пальца или даже блокирование отключено. Это объясняется заботой о безопасности юзера: мол, юзера будут сохранять пароли к VPN и так сделано, чтобы при краже/утере телефона не давать доступа к VPN посторонним. Надо ли говорить о том, что при редком пользовании VPN гораздо лучше просто не сохранять пароли для VPN в телефоне, вводя их непосредственно при установлении VPN-соединения, вместо того, чтобы по сотне раз на дню разблокировать аппарат ключом вместо простого свайпа. Но такой вариант разработчики почему-то не поддерживают.
На самом деле, добиться этого в Android 4.2 можно. Не исключено, что метод работает и на более новых версиях. Для понимания выполняемых действий сначала немного теории.
В Android авторизация при установлении VPN-соединения может выполняться при помощи паролей или сертификатов. Система сохраняет пароли и сертификаты в специальной области памяти — контейнере, называемом в оригинале «Credential storage» или «хранилище учетных данных» в русской локализации. Там же хранятся и остальные настройки VPN-соединений. Доступ к credential storage обязательно защищается паролем или графическим ключом, незащищенного его не бывает. Именно поэтому даже список VPN-соединений невозможно получить без ввода ключа/пароля. К сожалению, удобного интерфейса управления паролем credential storage, отдельного от управления защитой разблокировки телефона в системе не предусмотрено.
Тем не менее, если после включения телефона пользователь ни разу не вводил пароль/ключ, но при этом пароль для credential storage задан (как такое может быть — об этом ниже), то при открытии списка предварительно настроенных VPN-соединений система запросит ввод пароля для хранилища учетных данных — пресловутое «Enter password for credential storage», вызывающее истерику у многих андроидо-юзеров, сталкивающихся с этой проблемой. И если юзер знает и введет этот пароль, то система хотя и ругнется очередной раз «Перед использованием хранилища учетных данных необходимо задать PIN-код или пароль блокировки экрана», но всё же пустит к списку VPN-соединений и вообще к работе с VPN.
Теперь о том, как же этого добиться. К сожалению, единственный известный мне реально работающий способ начинается со сброса возможно уже установленного (и неизвестного) пароля доступа к credential storage, что сопровождается удалением всех настроенных VPN-соединений и возможно сохраненных паролей/сертификатов к ним. VPN-соединения затем придется настроить с нуля и при необходимости заново добавить сертификаты, но вся другая информация в телефоне затронута не будет.
- В системных настройках телефона в разделе «Безопасность» находим пункт «Очистить сертификаты» (Clear Storage). Если он серый, неактивный, то хранилище уже очищено, пароль к нему не задан, этот шаг пропускаем. Иначе очищаем хранилище.
- В системных настройках телефона в качестве метода блокироки экрана временно задаём пароль, этот пароль и будет одновременно паролем, защищающим credential storage, иного способа его задать я не нашел. После этого система без лишних вопросов даёт настроить VPN-подключения.
- Теперь нужно вернуть беспарольный режим блокировки телефона. При непустом запароленном credential storage штатного способа сделать это нет, но есть обходной путь. Настройки блокировки хранятся в SQLite-базе
/data/system/locksettings.db
и проблема решается прямым редактированием этой базы. К сожалению, для этого нужен рутовый доступ к аппарату.Отредактировать базу удобнее всего запуском непосредственно на телефоне программы типа SQLite Editor, но можно и скопировать любым способом файлы
locksettings.db
,locksettings.db-shm
иlocksettings.db-wal
на другое устройство (компьютер), где есть визуальный или консольный редактор для баз SQLite (команда sqlite3 или подобная), отредактировать там и скопировать обратно. Не помешает сделать резервную копию перед редактированием.Нас интерересует поле
lockscreen.password_type
, там будет какое-нибудь ненулевое значение. Его стоит запомнить и нужно заменить на нулевое. После сохранения изменений перезагружаем телефон и после загрузки способ блокировки экрана будет «провести пальцем» (либо «нет», если в базе поменятьlockscreen.disabled
с 0 на 1). - После загрузки получаем состояние, упомянутое выше — credential storage защищено заданным нами паролем, но этот пароль ещё ни разу не введен. Поэтому при первой попытке открыть список VPN-соединений система выдает запрос «Введите пароль для хранилища учетных данных» — вводим наш пароль, затем в ответ на требование задать PIN-код или пароль блокировки экрана отвечаем «Отмена» и получаем наш список VPN, можем подключаться.
Если что-то пошло не так, всегда можно вернуть предыдущее (штатное) состояние системы, восстановив данные в отредактиванной базе и перезагрузив систему. Или просто поменяв способ блокировки экрана обычными настройками на любой допустимый по мнению системы.
Запрещено администратором политикой, как снять графический ключ?
Возможно вам нужна другая статья: Забыл графический ключ: подробная инструкция по разблокировке
Здравствуйте! Как я понимаю, сам графический ключ вы знаете, просто не можете его выключить. То есть ваша ситуация выглядит примерно так:
Автор считает, что эти материалы могут вам помочь:
Вы можете поменять графический ключ на пароль или PIN-код, но не можете выбрать более простые незащищенные варианты, так как это «Отключено администратором, политикой шифрования или хранилищем учетных данных». Обычно дело заключается в том, что у вас на смартфоне установлен какой-то сертификат, который по своей внутренней политике не разрешает понижать безопасность телефона, то есть отключать пароль разблокировки. Обратите внимание, если на вашем смартфоне настроена рабочая почта, удаленное подключение к сети вашей организации, то это может быть политикой безопасности вашей компании. В таком случае, сначала стоит проконсультироваться с вашими ИТ-специалистами. Если же ничего такого на вашем телефоне у вас нет – вам поможет способ, описанный ниже.
Как выключить графический ключ если это запрещено администратором
Зайдите в настройки вашего телефона и выберите там пункт «Безопасность» -> «Администраторы устройства». Там не должно быть включенных приложений, которых вы не знаете, если же есть – попробуйте их выключить.
Далее самое главное, промотайте в самый низ и нажмите на пункт «Очистка сертификатов». Подтвердите свое действие нажатием кнопки «ОК». После этого зайдите в меню отключения графического ключа, заблокированные пункты теперь должны быть доступны. Возможно вам придется перезагрузить ваш смартфон.
Есть еще один способ, его следует применять, только если не помог способ выше (то есть у вас какая-то уникальная ситуация) – полный сброс вашего смартфона к заводским настройкам (у нас есть подробная инструкция как правильно сделать сброс). Но имейте в виду, что все данные при этом будут потеряны. Как их сохранить — читайте в нашей статье «Как сохранить все данные с устройства Android».
Если у вас остались какие-то вопросы или нужны уточнения – обязательно задавайте вопросы, наши эксперты оперативно вам помогут!
Возможно вам нужна другая статья: Забыл графический ключ: подробная инструкция по разблокировке
Как снять графический ключ на Android?
Иногда при попытке сменить графический ключ разблокировки экрана или других действиях видно сообщение «Запрещено администратором, политикой шифрования или хранилищем учетных данных». Перед тем, как рассмотреть процедуру снятия такого ограничения, необходимо понять, откуда оно вообще берется.
Содержание:
- Почему видно такое сообщение
- Способы снятия ограничения
1. Почему видно такое сообщение
Если говорить просто, то на телефоне или планшете установлен какой-то сертификат, который непосредственно или косвенно связан с безопасностью. Определенные его части или весь сертификат не дает пользователю понижать уровень безопасности.
Разблокировка графическим ключом считается наиболее безопасной и защищенной от взлома системой. Пароль и PIN-код вскрыть намного проще – их можно элементарно подобрать, исходя из знаний о пользователе.
Например, можно попробовать использовать цифры даты рождения, имя любимого музыкального исполнителя и так далее. К графическому ключу такие психологические особенности не подходят.
Именно по этой причине определенный сертификат не дает возможность уменьшить уровень безопасности путем смены типа снятия блокировки экрана.
Этот сертификат может относиться к следующим программным продуктам:
- Samsung Pay;
- Samsung Billing;
- Android Pay;
- Microsoft Outlook и другие.
Теперь, когда Вы знаете, из-за чего возникает проблема, можно представить, как ее решить.
2. Способы снятия ограничения
Вот как снять графический ключ:
- Отключите такие службы, как Samsung Pay, Samsung Billing, Android Pay и Outlook. Для этого зайдите в настройки и откройте список приложений («Диспетчер приложений» в меню «Приложения»). Затем откройте нужную программу и на ее странице нажмите кнопку «Выключить». После отключения каждой службы пробуйте делать то, что хотели с самого начала.
Рис. №1. Выключение Samsung Billing
- Отключите администраторов. Для этого зайдите в меню «Безопасность» и пункт «Администраторы устройства». Если там будут какие-то приложения, в которых Вы сомневаетесь, смело отключайте их. После этого, опять же, пробуйте выполнить ту задачу, которую хотели изначально. Скорее всего, ограничение пропадет с телефона и с плашета.
Рис. №2. «Администраторы устройства» в меню «Безопасность»
- Если ничего не получается, уберите все возможные сертификаты. Для этого в меню «Безопасность» нажмите «Очистка сертификатов» и подтвердите действие.
- Очистите учетные регистрационные данные. В некоторых смартфонах также в меню «Безопасность» можно зайти в «Другие параметры безопасности» и «Хранилище регистрационных данных». Там будет пункт «Очистить учетные данные». Нажмите на него и подтвердите действие.
Важно! После того, как Вы попробовали каждый способ, перезагружайте устройство. Возможно, до этого ничего не изменится.
- Выполните полный сброс устройства. Перед этим обязательно скопируйте все важные данные на облачное хранилище или флешку. Как сбросить аппарат, подробно описано в данной статье (способ 5).
Но к последнему способу Вы вряд ли придете. Это возможно только если у Вас какой-то уникальный случай и первые в списке пути решения проблемы не будут работать.
В большинстве случаев все дело именно в сертификате и сброс таковых помогает снять всяческие ограничения. Если нет, значит, в смартфоне или планшете есть какой-то глюк. Если у Вас еще действует гарантия, лучше обратиться к специалистам.
Видео
Отзывы
Диспетчер учетных данных Windows и хранилище Windows
В Windows 7 появилась функция, называемая Диспетчер учетных данных . Это не совсем новая функция и похожа на технологию в предыдущих версиях Windows, таких как Vista или XP, в том смысле, что она хранит ваши пароли, к которым вы можете легко получить доступ и управлять ими. Тем не менее, в Windows 7 Microsoft добавила возможность создавать резервные копии и восстанавливать ваши пароли и создавать приятный пользовательский интерфейс. Это было исправлено в Windows 10 , Windows 8.1 и Windows 8 .
Эти учетные данные сохраняются в специальных папках на вашем компьютере, которые называются хранилищами. Хранилище по умолчанию для информации диспетчера учетных данных называется Хранилище Windows .
Диспетчер учетных данных Windows
Вы можете использовать Диспетчер учетных данных Windows , входящий в состав служб аутентификации, для сохранения учетных данных, таких как имена пользователей и пароли, чтобы вы могли легко заходить на веб-сайты или защищать компьютеры. Вы можете получить доступ к диспетчеру учетных данных через панель управления.
Чтобы получить доступ к диспетчеру учетных данных, введите «диспетчер учетных данных» в начальном поиске и нажмите Enter.
В диспетчере учетных данных Windows вы можете:
- Добавить, изменить или удалить учетные данные Windows
- Добавить общие учетные данные
- Добавить учетные данные на основе сертификата
- Резервное копирование хранилища Windows
- Восстановить хранилище Windows
Все говорят сами за себя и им легко управлять.
Диспетчер учетных данных не работает
Если вы обнаружите, что ваш Диспетчер учетных данных не работает, введите services.msc в начале поиска и нажмите Enter, чтобы открыть Диспетчер служб. Здесь убедитесь, что служба Credential Manager и ее зависимости запущены и работают должным образом. Дополнительные действия по устранению неполадок см. В разделе Диспетчер учетных данных не работает.
Дополнительные ресурсы на MSDN здесь и здесь тоже. Нажмите здесь, чтобы узнать, как добавить, сделать резервную копию, восстановить учетные данные пользователя с помощью Windows Vault.
Диспетчер веб-учетных данных в Windows 10/8
В Windows 10/8 вы также увидите еще один тип учетных данных, называемый веб-учетными данными, который помогает Internet Explorer хранить ваши веб-пароли. Перейдите сюда, чтобы узнать, как управлять паролями в Internet Explorer с помощью диспетчера учетных данных, и здесь, если вы обнаружите, что Internet Explorer не сохраняет учетные данные для веб-сайта.
VaultPasswordView позволяет расшифровывать пароли, хранящиеся в хранилище Windows.
Git — документация gitcredentials
Вы можете написать свои собственные помощники для взаимодействия с любой системой в которые вы храните учетные данные.
Помощники по учетным данным — это программы, выполняемые Git для извлечения или сохранения. учетные данные из и в долгосрочное хранилище (где «долгосрочное» просто дольше, чем один процесс Git; например, учетные данные могут быть сохранены в памяти на несколько минут или на неопределенное время на диске).
Каждый помощник указывается в конфигурации одной строкой.
учетные данные переменной .помощник
(и другие, см. git-config [1]).
Строка преобразуется Git в команду, которая будет выполняться с использованием
эти правила:
Если вспомогательная строка начинается с «!», Она считается оболочкой. фрагмент и все, что находится после символа «!» становится командой.
В противном случае, если вспомогательная строка начинается с абсолютного пути, дословная вспомогательная строка становится командой.
В противном случае перед помощником добавляется строка «git credential-«. строка, и результатом становится команда.
К результирующей команде добавлен аргумент «операция». (подробности см. ниже), и результат выполняется оболочкой.
Вот несколько примеров спецификаций:
# запустить "git credential-foo" [учетные данные] helper = foo # то же, что и выше, но передаем аргумент помощнику [учетные данные] helper = "foo --bar = baz" # аргументы анализируются оболочкой, поэтому используйте оболочку # цитирование при необходимости [учетные данные] helper = "foo --bar = 'аргумент пробела'" # вы также можете использовать абсолютный путь, который не будет использовать оболочку git [учетные данные] helper = "/ путь / к / моему / helper --with-arguments" # или вы можете указать свой собственный фрагмент оболочки [учетные данные "https: // пример.com "] username = your_user helper = "! f () {test \" $ 1 \ "= get && echo \" password = $ (cat $ HOME / .secret) \ ";}; f"
Вообще говоря, правило (3), приведенное выше, проще всего задать пользователям.
Авторы помощников по учетным данным должны приложить усилия, чтобы помочь своим
пользователей, назвав свою программу «git-credential- $ NAME» и поместив ее в $ PATH
или $ GIT_EXEC_PATH
во время установки, что позволит
пользователь, чтобы включить его с помощью git config credential.helper $ NAME
.
Когда выполняется помощник, у него будет один аргумент «операция» добавлен в его командную строку, которая является одним из:
-
получить
Вернуть соответствующие учетные данные, если они существуют.
-
магазин
Сохраните учетные данные, если применимо к помощнику.
-
стереть
Удалите соответствующие учетные данные, если они есть, из хранилища помощника.
Подробная информация об учетных данных будет предоставлена на стандартном вводе помощника.
транслировать.Точный формат такой же, как формат ввода / вывода git credential
команда сантехники (см. Раздел INPUT / OUTPUT
FORMAT
в git-credential [1] для получения подробной спецификации).
Для операции get
помощник должен создать список атрибутов на
stdout в том же формате (общие сведения см. в git-credential [1]
атрибуты). Помощник может создавать подмножество или даже без значений в
все, если у него нет ничего полезного. Любые предоставленные атрибуты будут
перезаписать те, о которых уже известно подсистеме учетных данных Git.
Хотя можно переопределить все атрибуты, хорошо работающие помощники следует воздерживаться от этого для любых атрибутов, кроме имени пользователя и пароль.
Если помощник выводит атрибут quit
со значением true
или 1
,
не будут консультироваться с другими помощниками, и пользователю не будет предлагаться
(если учетные данные не были предоставлены, операция завершится ошибкой).
Точно так же больше не будут обращаться к помощникам, если имя пользователя и был предоставлен пароль.
Для операции store
или erase
вывод помощника игнорируется.
Если помощник не может выполнить запрошенную операцию или должен уведомить пользователь потенциальной проблемы, он может написать в stderr.
Если он не поддерживает запрошенную операцию (например, хранилище только для чтения), он должен молча игнорировать запрос.
Если помощник получает любую другую операцию, он должен игнорировать запрос. Это оставляет место для добавления будущих операций (старые помощники просто проигнорируют новые запросы).
Что такое хранилище учетных данных?
Что означает хранилище учетных данных?
Хранилище учетных данных — это библиотека данных безопасности. Хранилище учетных данных может содержать сертификаты открытого ключа, комбинации имени пользователя и пароля или билеты.
Учетные данные используются во время аутентификации, когда субъекты заполняются принципалами, а также во время авторизации, при идентификации действий, которые субъекты могут выполнять.
Oracle Platform Security Services (OPSS) состоит из Credential Store Framework (CSF).CSF — это набор API-интерфейсов, которые приложения могут использовать для безопасного создания, чтения, обновления и управления учетными данными. Стандартное применение хранилища учетных данных — это хранилище учетных данных (имен пользователей и паролей) для получения доступа к некоторым внешним системам, таким как репозиторий на основе LDAP или база данных.
Techopedia объясняет Credential Store
В структуре хранилища учетных данных (CSF) учетные данные определяются по имени ключа и имени карты.
Обычно имя карты соответствует имени приложения, и все учетные данные, имеющие одно и то же имя карты, представляют собой логический набор учетных данных, таких как учетные данные, используемые приложением.Комбинация имени ключа и имени карты должна быть уникальной для каждой записи в хранилище учетных данных.
Хранилище учетных данных по умолчанию — Oracle Wallet. Для производственной среды Oracle Internet Directory на основе LDAP идеально подходит для использования в качестве хранилища учетных данных. Также рекомендуется использовать Oracle Wallet для хранения сертификатов X.509.
Хранение цифровых сертификатов конечного пользователя не поддерживается хранилищами учетных данных. Кроме того, учетные данные могут быть предоставлены, восстановлены, настроены или удалены, но только пользователем с соответствующими правами администратора.
Для доступа к хранилищу учетных данных и выполнения операций используется CSF API. CSF включает в себя следующие функции:
- Он позволяет пользователям безопасно управлять учетными данными.
- Он предлагает API для хранения, восстановления и обслуживания учетных данных в различных внутренних репозиториях.
- Он может поддерживать управление учетными данными на основе LDAP и файлов (кошелек Oracle).
Credential Store — обзор
4.1.2 Облегчение транспортабельности PM
В настоящее время люди используют различные типы устройств, такие как ноутбуки, планшеты и смартфоны, которые могут содержать разные операционные системы и браузеры. Это проблема для функциональности и удобства использования PM, потому что для удовлетворения потребностей пользователей он должен обеспечивать доступ к паролям через все устройства пользователей. Однако некоторые PM не предоставляют своим пользователям свободу входа в систему из любого места и через любое устройство [47,52] или сервисную платформу.Это ограничение может быть связано либо с зависимостью от платформы, либо с недоступностью данных пользователей. Это ограничение переносимости является одной из основных причин, препятствующих использованию приложений PM [34]. Поэтому для лучшей переносимости предлагается подход хеширования [28,52]. Чтобы облегчить доступ к данным пользователей, Erdem et al. [53] использовали смарт-карту в качестве хранилища информации, а Wang et al. [54] использовали USB-ключ для хранения учетных данных. Однако использование оборудования для аутентификации противоречит преимуществу пароля, заключающемуся в отсутствии физического объекта для переноса [1].
Чтобы избавить людей от необходимости носить с собой оборудование, Biddle et al. [55] предложили подход, при котором пользователям нужно только носить с собой объекты, генерирующие пароли, или иметь доступ к ним в режиме онлайн. Данные пользователей могут храниться в облаке и, как следствие, проблема доступности решена. Совершенно другой и уникальный подход был представлен Гоу и Фелтеном [56], которые предложили, что вместо простого хранения и автоматического заполнения паролей, PM также должны помогать пользователям узнать свой пароль, отображая его с низким контрастом фона, поскольку в основном полагались на свою память, чтобы запоминать пароли и управлять ими.После того, как пользователи запомнили пароли, они могут входить в систему из любого места с любого устройства. В подобных ситуациях назначение мнемонических паролей с лучшей запоминаемостью [6] или персонализированных когнитивных паролей для лучшего запоминания и конфиденциальности [57] для онлайн-учетных записей снизит когнитивную (чрезмерную) нагрузку на пользователей паролей. Тем не менее, даже у этих двух механизмов паролей есть свои ограничения. Например, пользователи могут выбирать и извлекать свои пароли из очень распространенной мнемонической фразы, что упрощает их взлом [6].Кроме того, качество вопросов, используемых для когнитивных паролей, часто недостаточно личное, а это означает, что любой, кто знает пользователей, может угадать ответ [57].
Следовательно, подходящим решением может быть разработка PM, который поддерживает наиболее широко используемые устройства (например, настольные, мобильные и планшеты), ОС (например, Android, Windows, iOS, Mac OS) и веб-браузеры (например, Chrome, Internet Explorer, Firefox и Safari) [58] и хранит свои данные (т. Е. Сохраненные учетные данные) в облаке. Это позволит пользователям синхронизировать PM, установленный на их устройстве, с облаком после аутентификации и транспортировать PM на несколько различных типов устройств, независимо от типа устройства и установленной на нем ОС и веб-браузера.
Хранилище учетных данных
Хранилище учетных данных — это репозиторий пар ключ-значение учетных данных, используемых для доступа к внешним системам.
Хранилище учетных данных помогает защитить ваш пароль. Используя это хранилище учетных данных, вы назначаете ключ своему фактическому паролю. После назначения вы можете поделиться ключом с другими или встроить ключ в программы и файлы конфигурации. Используя это хранилище учетных данных, вы можете сохранить свой фактический пароль в секрете, передавая ключ другим. Кроме того, при изменении вашего пароля вы можете просто обновить хранилище учетных данных с новым паролем, не изменяя ключ.
Просмотр хранилища учетных данных
Чтобы просмотреть хранилище учетных данных для кластера:Откройте облачную службу Oracle Event Hub — выделенную консоль.
В меню кластера, для которого вы хотите просмотреть информацию о хранилище учетных данных, выберите Консоль концентратора событий.
Откроется новое окно.Если вы используете IDCS для аутентификации, укажите свои учетные данные IDCS. В противном случае, если вы не используете IDCS, предоставьте учетные данные, которые вы ввели при создании облачной службы Oracle Event Hub — выделенный кластер.
Откроется консоль концентратора событий. Выберите вкладку «Настройки», чтобы увидеть раздел «Хранилище учетных данных».
Создание новых учетных данных
В хранилище учетных данных сохраняются предоставленные вами данные в виде пары ключ-значение.Чтобы создать новую пару «ключ-значение» учетных данных:Перейдите в раздел Credential Store на вкладке Settings на странице Event Hub Console.
Щелкните New.
Откроется всплывающее окно New Entry с двумя полями ввода: Key и Credential.
Введите имя ключа по вашему выбору в поле «Ключ».
Введите фактический пароль, который вы хотите защитить, в поле Credential и отправьте.
Пример
Ниже приведен пример коннектора источника JDBC, который использует хранилище учетных данных.В приведенном ниже коде connection.user
— это фактическое имя пользователя, connection.password
— фактический пароль, connection.password.secure.key
— это ключ хранилища учетных данных для фактического пароля. Обратите внимание, что в приведенном ниже коде вам не нужно указывать connection.password
, вместо этого вы указываете connection.password.secure.key
, тем самым защищая свой фактический пароль.
POST / коннекторы HTTPS
Хозяин:
Авторизация: базовая аутентификация (укажите учетные данные, используемые при создании кластера)
Тип содержимого: приложение / json
{
"name": "myconnectorname",
"config": {
"разъем.класс ":" io.confluent.connect.jdbc.JdbcSourceConnector ",
"tasks.max": "1",
"topic.prefix": "mytopic",
"connection.url": "jdbc: mysql: // : / schemaname",
"режим": "приращение",
"incrementing.column.name": "id",
"table.whitelist": "авторы",
"key.converter": "io.confluent.connect.avro.AvroConverter",
"value.converter": "io.confluent.connect.avro.AvroConverter"
"connection.user": "myusername",
"connection.password": "",
"connection.password.secure.key": "mysecurekey",
}
}
Управление хранилищами учетных данных
- Щелкните Добавить на странице Хранилища учетных данных .Появится диалоговое окно Добавить новое хранилище учетных данных .
- В раскрывающемся списке Тип выберите, какое защищенное хранилище использовать. Доступные параметры зависят от того, какие плагины были включены.
- Следующие шаги будут отличаться, если вы создаете базу данных Orchestrator, CyberArk, CyberArk CCP или хранилище учетных данных Azure Key Vault.
📘
Примечание:
У вас может быть только одно хранилище базы данных Orchestrator.
- Щелкните Создать , хранилища баз данных Orchestrator не имеют настраиваемых свойств.
📘
Примечание:
Хранилище CyberArk настроено для нескольких клиентов с использованием одного и того же идентификатора приложения, сейфа и имени папки, что позволит получить доступ к сохраненным учетным данным для разных клиентов. Чтобы обеспечить безопасность и изоляцию на уровне клиента, убедитесь, что для каждого хранилища CyberArk используются разные конфигурации.
- В поле Имя введите имя нового хранилища учетных данных.
- В поле App ID введите идентификатор приложения для вашего экземпляра Orchestrator из интерфейса CyberArk® PVWA (Password Vault Web Access).Подробности смотрите здесь.
- В поле Safe введите имя сейфа, как определено в CyberArk® PVWA. Подробности смотрите здесь.
- В поле Папка введите расположение, в котором ваши учетные данные хранятся в CyberArk®.
- Нажмите Создать . Ваше новое хранилище учетных данных готово к использованию.
📘
Примечание:
Хранилище CyberArk, настроенное для нескольких клиентов с одним и тем же идентификатором приложения, безопасным хранилищем и именем папки, разрешит доступ к сохраненным учетным данным для разных клиентов.Чтобы обеспечить безопасность и изоляцию на уровне клиента, убедитесь, что для каждого хранилища CyberArk используются разные конфигурации.
- В поле Имя введите имя нового хранилища учетных данных.
- В поле App ID введите идентификатор приложения для вашего экземпляра Orchestrator из интерфейса CyberArk® PVWA (Password Vault Web Access). Подробности смотрите здесь.
- В поле CyberArk Safe введите имя сейфа, как определено в CyberArk® PVWA.Подробности смотрите здесь.
- В поле CyberArk Folder введите местоположение, в котором CyberArk® хранит ваши учетные данные.
- В поле URL-адрес центрального поставщика учетных данных введите адрес центрального поставщика учетных данных.
- В поле Client Certificate загрузите сертификат .pfx для аутентификации запрашивающего приложения в CCP. Это может быть либо самозаверяющий сертификат, либо сертификат, подписанный центром сертификации (CA). Импортируйте сертификат клиента или корневой центр сертификации, использованный для его подписи, в хранилище сертификатов доверенных корневых центров сертификации на компьютере CCP.
- В поле Пароль сертификата клиента введите пароль сертификата клиента.
- При желании, в поле Корневой сертификат сервера загрузите сертификат .crt , чтобы обеспечить целостность данных для связи между сервером и клиентом, в случае, если хранилище CCP использует самозаверяющий сертификат
- Нажмите Создать .Ваше новое хранилище учетных данных готово к использованию.
Key Vault используют аутентификацию типа RBAC. После создания субъекта-службы выполните следующие действия:
- В поле Имя введите имя нового хранилища учетных данных.
- В поле Key Vault Uri введите адрес своего Azure Key Vault. Это
https: // <имя_хранилища> .vault.azure.net /
. - В поле Client Id введите идентификатор приложения из раздела регистрации приложений Azure AD, в котором было зарегистрировано приложение Orchestrator.
- В поле Client Secret введите секрет, необходимый для аутентификации учетной записи клиента, введенной на предыдущем шаге.
- Нажмите Создать . Ваше новое хранилище учетных данных готово к использованию.
Из магазинов учетных данных Страница :
- В меню Дополнительные действия нужного магазина выберите Изменить . Появится диалоговое окно Edit Credential Store .
- Для магазинов CyberArk® вы можете редактировать свойства Имя , Сейф и Папка .
📘
Примечание:
Хранилище базы данных Orchestrator не имеет редактируемых свойств.
При использовании 2 или более хранилищ учетных данных у вас есть возможность выбрать хранилище по умолчанию, используемое для роботов и активов. Один и тот же магазин может использоваться по умолчанию для обоих, или вы можете выбрать другое хранилище по умолчанию для каждого из них.
Чтобы выбрать хранилище по умолчанию, в меню Дополнительные действия выберите Установить как хранилище по умолчанию для роботов и / или Установить в качестве хранилища ресурсов по умолчанию .
Чтобы удалить хранилище учетных данных, выберите Удалить из меню Дополнительные действия нужного хранилища.
Если выбранный магазин используется, появится диалоговое окно с предупреждением, в котором будет указано количество роботов и ресурсов, которые будут затронуты. Щелкните Удалить для подтверждения удаления или Отмена для отмены. Обратите внимание, что вы должны иметь по крайней мере одно активное хранилище учетных данных в любое время, если присутствует только одно, то возможность его удаления не отображается.
📘
Примечание:
Хранилище учетных данных, назначенное по умолчанию, не может быть удалено, необходимо сначала выбрать другое хранилище по умолчанию для типа учетных данных.
Глава 3. Безопасное хранение учетных данных Red Hat JBoss Enterprise Application Platform 7.2
JBoss EAP позволяет шифровать конфиденциальные строки вне файлов конфигурации. Эти строки могут храниться в хранилище ключей и впоследствии расшифровываться для приложений и систем проверки.Конфиденциальные строки могут храниться в одном из следующих мест:
Все файлы конфигурации в EAP_HOME / standalone / configuration /
и EAP_HOME / domain / configuration /
по умолчанию доступны для чтения всем. Настоятельно рекомендуется не хранить пароли в виде обычного текста в файлах конфигурации, а вместо этого помещать эти учетные данные в хранилище учетных данных или хранилище паролей.
Если вы решите поместить пароли в виде обычного текста в файлы конфигурации, то эти файлы должны быть доступны только ограниченным пользователям.Как минимум, учетная запись пользователя, под которой работает JBoss EAP 7, требует доступа для чтения и записи.
Хранилища учетных данных, представленные в подсистеме elytron
, обеспечивают безопасное хранение и использование учетных данных. Вы можете найти дополнительную справочную информацию о хранилищах учетных данных, а также о других компонентах Elytron в разделе «Основные концепции и компоненты» руководства Security Architecture .
Использование хранилища учетных данных предпочтительнее использования хранилища паролей для хранения паролей и других конфиденциальных строк.Хранилища учетных данных позволяют упростить управление учетными данными в интерфейсе командной строки управления JBoss EAP без использования внешних инструментов. Вы также можете использовать несколько хранилищ учетных данных на сервере JBoss EAP, по сравнению с ограничением только одним хранилищем паролей на сервер JBoss EAP.
Реализация хранилища учетных данных по умолчанию использует файл хранилища ключей JCEKS для хранения учетных данных. При создании нового хранилища учетных данных реализация по умолчанию также позволяет вам ссылаться на существующий файл хранилища ключей или позволить JBoss EAP автоматически создать его для вас.В настоящее время реализация по умолчанию позволяет хранить пароли только в виде открытого текста.
Подсистема elytron
не обеспечивает никаких проверок использования одного и того же файла в качестве хранилища для нескольких хранилищ учетных данных. Настоятельно рекомендуется не использовать один и тот же файл для нескольких хранилищ учетных данных или даже совместно использовать файл хранилища с помощью удаленных файловых систем.
Если вам нужно использовать файл общего хранилища, не забудьте установить флаг только для чтения
для хранилищ учетных данных, обращающихся к нему.Это предотвратит изменение файла. После обновления файла извне необходимо перезагрузить каждое хранилище учетных данных, чтобы отразить измененные значения. Аналогичный процесс необходимо выполнить при использовании хранилищ учетных данных в управляемом домене.
Поскольку хранилище учетных данных содержит конфиденциальную информацию, каталог, содержащий хранилище, должен быть доступен только ограниченным пользователям. Как минимум учетная запись пользователя, под которой работает JBoss EAP, требует доступа для чтения и записи.
JBoss EAP считывает файл хранилища учетных данных в память и записывает в него изменения в разное время.Вы должны убедиться, что у пользователя, запускающего процесс JBoss EAP, есть разрешения на файл хранилища, и что вы не изменяете файл хранилища извне во время работы JBoss EAP.
Если файл изменен извне, вы можете использовать операцию reload ()
в хранилище учетных данных, чтобы JBoss EAP перезагрузил содержимое файла хранилища.
3.1.1. Создать хранилище учетных данных
Чтобы создать хранилище учетных данных, вы должны определить путь к новому файлу хранилища учетных данных и предоставить мастер-пароль, который используется для шифрования хранилища учетных данных.Каталог, содержащий магазин, должен быть доступен только ограниченным пользователям. Как минимум учетная запись пользователя, под которой работает JBoss EAP, требует доступа для чтения и записи.
Реализации хранилища ключей JCEKS различаются между поставщиками Java, поэтому экземпляр JBoss EAP должен запускать JDK от того же поставщика, который создал хранилище ключей JCEKS.
Подобно предоставлению путей в другой конфигурации JBoss EAP, вы также можете использовать атрибут относительно
, чтобы указать путь относительно другого.
Создание хранилища учетных данных для автономного сервера
Используйте следующую команду интерфейса командной строки управления для создания нового хранилища учетных данных:
/ subsystem = elytron / credential-store = STORE_NAME : add (location = " path / to / store_file ", credential-reference = {clear-text = STORE_PASSWORD }, create = true)
Например, следующая команда создает новое хранилище с именем my_store
и создает файл jboss.server.data.dir / cred_stores / my_store.jceks
:
/subsystem=elytron/credential-store=my_store:add(location="cred_stores/my_store.jceks ", relative-to = jboss.server.data.dir, credential-reference = {clear-text = supersecretstorepassword}, создать = true)
Создание хранилища учетных данных в управляемом домене
Используйте следующую команду интерфейса командной строки управления для создания нового хранилища учетных данных в управляемом домене:
/ profile = PROFILE_NAME / subsystem = elytron / credential-store = STORE_NAME : добавить (location = path / to / store_file , credential-reference = {clear-text = " STORE_PASSWORD "}, создать = верно)
Например, следующая команда создает новое хранилище с именем my_store
и создает файл jboss.server.data.dir / cred_stores / my_store.jceks
:
/profile=full/subsystem=elytron/credential-store=my_store:add(relative-to=jboss.server.data.dir,location="cred_stores/my_store.jceks",credential-reference={clear-text= supersecretstorepassword}, create = true)
Нет необходимости определять ресурс хранилища учетных данных на каждом сервере. Каждый сервер с одним и тем же профилем, для которого создается хранилище учетных данных, содержит наше хранилище учетных данных. Поэтому рекомендуется разместить файл хранилища в каталоге данных сервера, relative-to = jboss.server.data.dir
.
Другой способ создания хранилища учетных данных в управляемом домене см. В разделе Использование хранилищ учетных данных в управляемом домене.
3.1.2. Добавить учетные данные в хранилище учетных данных
Чтобы добавить новые учетные данные в хранилище учетных данных, вы связываете псевдоним с конфиденциальной строкой, которую хотите сохранить.
Псевдонимы хранилища учетных данных по умолчанию нечувствительны к регистру. Любой сохраненный псевдоним отображается в нижнем регистре, и на него можно ссылаться, используя любую комбинацию прописных и строчных букв.
Если используется настраиваемое хранилище учетных данных, то чувствительность к регистру будет определяться настраиваемой реализацией.
Следующая команда интерфейса командной строки управления добавляет учетные данные в хранилище учетных данных:
/ subsystem = elytron / credential-store = STORE_NAME : add-alias (alias = ALIAS , secret-value = " SENSITIVE_STRING ")
Например, чтобы добавить пароль с псевдонимом database-pw
в хранилище, созданное в предыдущем разделе:
/ subsystem = elytron / credential-store = my_store: add-alias (alias = database-pw, secret-value = "speci @ l_db_pa $$ _ 01")
Редактирование псевдонимов хранилища учетных данных с помощью консоли управления
- Войдите в консоль управления и щелкните вкладку Runtime .
- Выберите сервер и выберите Security (Elytron) → Stores и щелкните View .
- Выберите хранилище учетных данных и щелкните Псевдонимы , чтобы изменить псевдонимы.
3.1.3. Использование сохраненных учетных данных в конфигурации
Чтобы сослаться на пароль или конфиденциальную строку, хранящуюся в хранилище учетных данных, используйте атрибут credential-reference
в вашей конфигурации JBoss EAP.Вы можете использовать credential-reference
в качестве альтернативы предоставлению пароля или другой конфиденциальной строки в большинстве мест в конфигурации JBoss EAP.
credential-reference = {store = STORE_NAME , alias = ALIAS }
Например, чтобы создать новый источник данных с использованием пароля, который был добавлен в хранилище учетных данных в предыдущем примере, вы можете использовать credential-reference
, как показано ниже:
добавление источника данных --name = my_DS --jndi-name = java: / my_DS --driver-name = h3 --connection-url = jdbc: h3: mem: test; DB_CLOSE_DELAY = -1; DB_CLOSE_ON_EXIT = FALSE --user-name = db_user --credential-reference = {store = my_store, alias = database-pw}
В приведенном выше примере вместо предоставления пароля с использованием --password
предоставляется ссылка на учетные данные
, включая имя магазина и псевдоним.Если вы проверите полученную конфигурацию источника данных, обратите внимание, что пароль
не определен, а вместо него определен атрибут credential-reference
.
/ подсистема = источники данных / источник данных = my_DS: чтение-ресурс () { "результат" => "успех", "result" => { ... "credential-reference" => { "store" => "my_store", "псевдоним" => "база данных-pw" }, ... "пароль" => не определено, ...} }
3.1.4. Перечислить учетные данные в хранилище учетных данных
Вы можете перечислить псевдонимы всех учетных данных, содержащихся в хранилище учетных данных, с помощью следующей команды интерфейса командной строки управления:
/ subsystem = elytron / credential-store = STORE_NAME : read-aliases ()
Например:
/ subsystem = elytron / credential-store = my_store: read-aliases () { "результат" => "успех", "результат" => [ "база данных-pw" ] }
3.1.5. Удаление учетных данных из хранилища учетных данных
Вы можете удалить учетные данные из хранилища учетных данных, используя следующую команду:
/ subsystem = elytron / credential-store = STORE_NAME : remove-alias (псевдоним = ALIAS )
Например:
/ subsystem = elytron / credential-store = my_store: remove-alias (alias = database-pw)
3.1.6. Получите мастер-пароль для хранилища учетных данных из внешнего источника
Вместо того, чтобы указывать мастер-пароль своего хранилища учетных данных в открытом виде, вы можете указать этот пароль, используя хранилище псевдо-учетных данных.У вас есть следующие возможности:
- ВНЕШНИЙ
Внешняя команда с использованием
java.lang.Runtime # exec (java.lang.String)
. Если параметры необходимы, они предоставляются с использованием списка строк, разделенных пробелами. Под внешней командой понимается любой исполняемый файл из операционной системы, например сценарий оболочки или исполняемый двоичный файл. Пароль считывается из стандартного вывода выполненной команды.Пример
{EXT} / usr / bin / getTheMasterPassswordScript.sh par1 par2
- CMD
Внешняя команда с использованием
java.lang.ProcessBuilder
. Если параметры необходимы, они предоставляются в виде списка строк, разделенных запятыми. Под внешней командой понимается любой исполняемый файл из операционной системы, например сценарий оболочки или исполняемый двоичный файл. Пароль считывается из стандартного вывода выполненной команды.Пример
{CMD} / usr / bin / getTheMasterPassswordScript.sh par1, par2
- МАСКА
Скрытый пароль с использованием PBE или шифрования на основе пароля. Он должен быть в следующем формате, который включает значения
SALT
иITERATION
:МАСКА- ЗНАЧЕНИЕ МАСКИ ; СОЛЬ ; ИТЕРАЦИЯ
Пример
MASK-NqMznhSbL3lwRpDmyuqLBW ==; 12345678; 123
EXT
, CMD
и MASK
обеспечивают обратную совместимость с устаревшим стилем хранилища безопасности с предоставлением внешнего пароля.Для MASK
необходимо использовать указанный выше формат, который включает значения SALT
и ITERATION
.
Вы также можете использовать пароль, расположенный в другом хранилище учетных данных, в качестве главного пароля для нового хранилища учетных данных.
Пример хранилища учетных данных, созданного с помощью пароля из другого хранилища учетных данных
/subsystem=elytron/credential-store=exampleCS:add(location="cred_stores/exampleCS.jceks ", relative-to = jboss.server.data.dir, create = true, credential-reference = {store = master-cred-store, alias = master-pw})
3.1.8. Используйте настраиваемую реализацию хранилища учетных данных
Чтобы использовать настраиваемую реализацию хранилища учетных данных:
- Создайте класс, расширяющий абстрактный класс Service Provider Interface (SPI)
CredentialStoreSpi
. - Создайте класс, реализующий Java Security
Provider
.Поставщик должен добавить класс хранилища настраиваемых учетных данных в качестве службы. Создайте модуль, содержащий ваше хранилище учетных данных и классы провайдера, и добавьте его в JBoss EAP с зависимостью от
org.wildfly.security.elytron
. Например:добавление модуля --name = org.jboss.customcredstore --resources = / path / to / customcredstoreprovider.jar --dependencies = org.wildfly.security.elytron --slot = main
Создайте загрузчик провайдера для своего провайдера.Например:
/subsystem=elytron/provider-loader=myCustomLoader:add(class-names=[org.wildfly.security.mycustomcredstore.CustomElytronProvider visible,module=org.jboss.customcredstore)
Создайте хранилище учетных данных, используя настраиваемую реализацию.
Убедитесь, что вы указали правильные значения поставщиков
и
типа
. Значениетипа
- это то, что используется в вашем классе провайдера, где он добавляет ваш собственный класс хранилища учетных данных в качестве службы.Например:
/ subsystem = elytron / credential-store = my_store: add (Provider = myCustomLoader, type = CustomKeyStorePasswordStore, location = "cred_stores / my_store.jceks", relative-to = jboss.server.data.dir, credential-reference = { clear-text = supersecretstorepassword}, create = true)
В качестве альтернативы, если вы создали несколько поставщиков, вы можете указать дополнительных поставщиков с помощью другого загрузчика поставщиков с
other-provider
. Это позволяет вам иметь другие дополнительные реализации для новых типов учетных данных.Эти указанные другие поставщики автоматически доступны в методеinitialize
настраиваемого хранилища учетных данных в качестве аргументаProvider []
. Например:/subsystem=elytron/credential-store=my_store:add(providers=myCustomLoader,other-providers=myCustomLoader2,type=CustomKeyStorePasswordStore,location="cred_stores/my_store.jserceks"; , credential-reference = {clear-text = supersecretstorepassword}, create = true)
3.1.9. Создание и изменение хранилищ учетных данных в автономном режиме с помощью инструмента WildFly Elytron
Вы можете использовать инструмент WildFly Elytron, доступ к которому осуществляется с помощью сценария elytron-tool
, расположенного в EAP_HOME / bin /
, для создания и изменения хранилища учетных данных для автономного или остановленного сервера JBoss EAP.
Реализации хранилища ключей JCEKS различаются между поставщиками Java, поэтому экземпляр JBoss EAP должен запускать JDK от того же поставщика, который создал хранилище ключей JCEKS.
Использование инструмента WildFly Elytron для изменения хранилища учетных данных, которое используется запущенным сервером JBoss EAP, может привести к потере изменений в хранилище. Вместо этого следует создавать и изменять хранилища учетных данных для работающего сервера с помощью интерфейса командной строки управления, как описано в предыдущих разделах.
Следующие команды показаны с использованием elytron-tool.sh
для систем Red Hat Enterprise Linux и Solaris. Для систем Windows Server используйте инструмент elytron-tool.bat
вместо этого.
Создание хранилища учетных данных с помощью инструмента WildFly Elytron
Создайте хранилище учетных данных с помощью инструмента WildFly Elytron с помощью следующей команды:
$ EAP_HOME /bin/elytron-tool.sh credential-store --create --location " path / to / store_file " --password STORE_PASSWORD
Например:
$ EAP_HOME /bin/elytron-tool.sh credential-store --create --location "../cred_stores/my_store.jceks "--password supersecretstorepassword
Если вы не хотите указывать пароль хранилища в команде, вы можете опустить этот аргумент, и вам будет предложено ввести пароль вручную, используя стандартный ввод. Вы также можете использовать замаскированный пароль, сгенерированный инструментом WildFly Elytron для пароля магазина.
Создание хранилища учетных данных с помощью поставщика BouncyCastle
с помощью инструмента WildFly Elytron
Следующая процедура описывает, как создать хранилище учетных данных с помощью инструмента WildFly Elytron.
- Убедитесь, что ваша среда настроена для использования поставщика
BouncyCastle
. Определите хранилище ключей
BCFKS
. Если это хранилище ключей уже существует, переходите к следующему шагу.$ keytool -genkeypair -alias ALIAS -keyalg RSA -keysize 2048 -keypass ПАРОЛЬ -keystore KEYSTORE -storetype BCFKS -storepass ПАРОЛЬ
Пароли ключей
storepass
для хранилища ключей должны быть идентичны для хранилищ учетных данных FIPS, которые должны быть определены в подсистемеelytron
.Создайте секретный ключ для хранилища учетных данных.
$ keytool -genseckey -alias KEY_ALIAS -keyalg AES -keysize 128 -keystore KEYSTORE -storetype BCFKS -storepass ПАРОЛЬ -keypass ПАРОЛЬ
Определите хранилище учетных данных с помощью инструмента WildFly Elytron с помощью следующей команды:
$ EAP_HOME / bin / elytron-tool.sh credential-store -c -a ALIAS -x ALIAS_PASSWORD -p ПАРОЛЬ -l KEYSTORE -u "keyStoreType = BCFKSA; external KEY_ALIAS ; externalPath = CREDENTIAL_STORE "
Добавление учетных данных в хранилище учетных данных с помощью инструмента WildFly Elytron
Добавьте учетные данные в хранилище учетных данных с помощью инструмента WildFly Elytron с помощью следующей команды:
$ EAP_HOME / bin / elytron-tool.sh credential-store --location " путь / к / store_file " --password STORE_PASSWORD --add ALIAS --secret SENSITIVE_STRING
Например:
$ EAP_HOME /bin/elytron-tool.sh credential-store --location "../cred_stores/my_store.jceks" --password supersecretstorepassword --add database-pw --secret speci @ l_db_pa $$ _ 01
Подобно предоставлению пароля хранилища учетных данных, если вы не хотите указывать свой секрет в команде, вы можете опустить этот аргумент, и вам будет предложено ввести секрет вручную, используя стандартный ввод.
Список всех учетных данных в хранилище учетных данных с помощью инструмента WildFly Elytron
Перечислите учетные данные в хранилище учетных данных с помощью инструмента WildFly Elytron с помощью следующей команды:
$ EAP_HOME /bin/elytron-tool.sh credential-store --location " path / to / store_file " --password STORE_PASSWORD --aliases
Например:
$ EAP_HOME / bin / elytron-tool.sh credential-store --location "../cred_stores/my_store.jceks" --password supersecretstorepassword --aliases
Проверить наличие псевдонима в хранилище учетных данных с помощью инструмента Wildfly Elytron
Проверьте, существует ли псевдоним в хранилище учетных данных, используя инструмент WildFly Elytron с помощью следующей команды:
$ EAP_HOME /bin/elytron-tool.sh credential-store --location " path / to / store_file " --password STORE_PASSWORD --exists ALIAS
Например:
$ EAP_HOME / bin / elytron-tool.sh credential-store --location "../cred_stores/my_store.jceks" --password supersecretstorepassword --exists database-pw
Удаление учетных данных из хранилища учетных данных с помощью инструмента WildFly Elytron
Удалите учетные данные из хранилища учетных данных с помощью инструмента WildFly Elytron с помощью следующей команды:
$ EAP_HOME /bin/elytron-tool.sh credential-store --location " path / to / store_file " --password STORE_PASSWORD --remove ALIAS
Например:
$ EAP_HOME / bin / elytron-tool.sh credential-store --location "../cred_stores/my_store.jceks" --password supersecretstorepassword --remove database-pw
Добавить хранилище учетных данных, созданное с помощью WildFly Elytron Tool, на сервер JBoss EAP
После того, как вы создали хранилище учетных данных с помощью инструмента WildFly Elytron, добавьте его на свой работающий сервер JBoss EAP с помощью следующей команды интерфейса командной строки управления:
/ subsystem = elytron / credential-store = STORE_NAME : add (location = " path / to / store_file ", credential-reference = {clear-text = STORE_PASSWORD })
Например:
/ subsystem = elytron / credential-store = my_store: add (location = "../cred_stores/my_store.jceks",credential-reference={clear-text=supersecretstorepassword})
После добавления хранилища учетных данных в конфигурацию JBoss EAP вы можете обратиться к паролю или конфиденциальной строке, хранящейся в хранилище учетных данных, с помощью атрибута credential-reference
.
Для получения дополнительных сведений используйте команду EAP_HOME /bin/elytron-tool.sh credential-store --help
для получения подробного списка доступных параметров.
3.1.9.1. Создание зашифрованных строк с масками с помощью инструмента WildFly Elytron Tool
Вы можете использовать инструмент WildFly Elytron для создания зашифрованных строк MASK-
, совместимых с PicketBox, которые будут использоваться вместо обычного текстового пароля для хранилища учетных данных.
Чтобы сгенерировать замаскированную строку, используйте следующую команду и укажите значения для соли и счетчика итераций:
$ EAP_HOME /bin/elytron-tool.sh mask --salt SALT --iteration ITERATION_COUNT --secret PASSWORD
Например:
$ EAP_HOME / bin / elytron-tool.sh mask --salt 12345678 --iteration 123 --secret supersecretstorepassword МАСКА-8VzWsSNwBaR676g8ujiIDdFKwSjOBHCHgnKf17nun3v; 12345678; 123
Если вы не хотите указывать секрет в команде, вы можете опустить этот аргумент, и вам будет предложено ввести секрет вручную, используя стандартный ввод.
Для получения дополнительной информации используйте команду EAP_HOME /bin/elytron-tool.sh mask --help
для получения подробного списка доступных параметров.
3.1.9.2. Преобразование хранилища паролей в хранилище учетных данных с помощью инструмента WildFly Elytron
Вы можете использовать инструмент WildFly Elytron для преобразования хранилища паролей в хранилище учетных данных. Чтобы преобразовать хранилище паролей в хранилище учетных данных, вам потребуются значения хранилища, используемые при инициализации хранилища.
При преобразовании хранилища паролей псевдонимы в новом хранилище учетных данных именуются в следующем формате на основе их эквивалентного блока хранилища паролей и имени атрибута: VAULT_BLOCK :: ATTRIBUTE_NAME
.
Преобразование хранилища с одним паролем
Преобразуйте одно хранилище паролей в хранилище учетных данных, используя следующую команду:
$ EAP_HOME /bin/elytron-tool.sh vault --keystore "path / to / vault_file" --keystore-password VAULT_PASSWORD --enc-dir "path / to / vault_directory" - -salt SALT - итерация ITERATION_COUNT - псевдоним VAULT_ALIAS
Например, вы также можете указать имя и расположение файла нового хранилища учетных данных с помощью аргумента --location
:
$ EAP_HOME / bin / elytron-tool.sh vault --keystore ../vaults/vault.keystore --keystore-password vault22 --enc-dir ../vaults/ --salt 1234abcd --iteration 120 --alias my_vault --location ../cred_stores/my_vault_converted .cred_store
Вы также можете использовать аргумент --summary
, чтобы распечатать сводку команд интерфейса командной строки, использованных для его преобразования. Обратите внимание, что даже если используется простой текстовый пароль, он маскируется в итоговых выводах. Значения по умолчанию SALT
и ITERATION
используются, если они не указаны в команде.
Массовое преобразование нескольких хранилищ паролей
Для массового преобразования нескольких хранилищ паролей:
Поместите сведения о хранилищах, которые вы хотите преобразовать, в файл описания в следующем формате:
хранилище ключей: путь / к / vault_file пароль хранилища ключей: VAULT_PASSWORD enc-dir: путь / к / vault_directory соль: СОЛЬ 1 итерация: ITERATION_COUNT расположение: путь / к / convert_cred_store 2 псевдоним: VAULT_ALIAS свойства: ПАРАМЕТР1 = ЗНАЧЕНИЕ1 ; ПАРАМЕТР2 = ЗНАЧЕНИЕ2 ; 3
- 1
salt
иитерация
может быть опущена, если вы предоставляете простой текстовый пароль для хранилища.- 2
Задает расположение и имя файла для преобразованного хранилища учетных данных.
- 3
Необязательно: указывает список дополнительных параметров, разделенных точкой с запятой (
;
). См.EAP_HOME /bin/elytron-tool.sh vault --help
для получения списка доступных параметров.
Например:
хранилище ключей: / vaults / vault1 / vault1.хранилище ключей пароль хранилища ключей: vault11 enc-dir: / хранилища / хранилище1 / соль: 1234abcd итерация: 120 расположение: /cred_stores/vault1_converted.cred_store псевдоним: my_vault хранилище ключей: /vaults/vault2/vault2.keystore пароль хранилища ключей: vault22 enc-dir: / хранилища / хранилище2 / соль: abcd1234 итерация: 130 расположение: /cred_stores/vault2_converted.cred_store псевдоним: my_vault2
Запустите команду массового преобразования с файлом описания из предыдущего шага:
$ EAP_HOME / bin / elytron-tool.sh vault --bulk-convert vaultdescriptions.txt
Для получения дополнительных сведений используйте команду EAP_HOME /bin/elytron-tool.sh vault --help
для получения подробного списка доступных параметров.
3.1.10. Использование хранилищ учетных данных с клиентом Elytron
Клиенты, подключающиеся к JBoss EAP, такие как EJB, могут аутентифицироваться с помощью Elytron Client. Пользователи без доступа к работающему серверу JBoss EAP могут создавать и изменять хранилища учетных данных с помощью инструмента WildFly Elytron, а затем клиенты могут использовать Elytron Client для доступа к конфиденциальным строкам внутри хранилища учетных данных.
В следующем примере показано, как использовать хранилище учетных данных в файле конфигурации Elytron Client.
Пример custom-config.xml
с хранилищем учетных данных
<конфигурация>... <хранилища учетных данных> 1 <параметры-защиты-учетные данные> ...2 <атрибуты> 3 ... <использование-поставщик-sasl-factory /> <учетные данные> 4
- 1
Имя хранилища учетных данных для использования в файле конфигурации Elytron Client.
- 2
Главный пароль для хранилища учетных данных.
- 3
Путь к файлу хранилища учетных данных.
- 4
Ссылка на учетные данные для конфиденциальной строки, хранящейся в хранилище учетных данных.
См. JBoss EAP How to Configure Identity Management Guide для получения дополнительной информации о настройке аутентификации клиента с помощью Elytron Client.
3.1.11. Использование хранилищ учетных данных в управляемом домене
Существует несколько различных способов создания и настройки хранилища учетных данных в управляемом домене. Один из способов:
- Используйте инструмент WildFly Elytron Tool, чтобы подготовить хранилище учетных данных.Дополнительные сведения об этом см. В разделе Создание и изменение хранилищ учетных данных в автономном режиме с помощью инструмента WildFly Elytron.
- Распространите созданный файл хранилища хранилища учетных данных. Например, распространите его на каждый сервер, например, используя
scp
, или сохраните его в NFS и используйте его для всех созданных хранилищ учетных данных. Затем вы можете создать хранилище учетных данных со свойством
create
, для которого установлено значениеfalse
, используя уже созданный файл./profile=full/subsystem=elytron/credential-store=test:add(relative-to=jboss.server.data.dir,location="store.keystore",credential-reference={clear-text="secret2 "}, create = false)
При использовании одного хранилища учетных данных для хранения всех хранилищ учетных данных при хранении его в NFS необходимо использовать хранилище учетных данных в режиме
только для чтения
.только для чтения Режим
используется для поддержания согласованности. В этом случае также предпочтительно использовать абсолютный путь./ profile = full / subsystem = elytron / credential-store = test: add (location = / absolute / path / to / store.хранилище ключей, credential-reference = {clear-text = "secret2"}, create = false, modifiable = false)
Чтобы узнать о других способах создания хранилища учетных данных в управляемом домене, см. Создание хранилища учетных данных в управляемом домене.
Конфигурация JBoss EAP и связанных приложений требует потенциально конфиденциальной информации, такой как имена пользователей и пароли. Вместо того, чтобы хранить пароль в виде простого текста в файлах конфигурации, можно использовать функцию хранилища паролей, чтобы замаскировать информацию о пароле и сохранить ее в зашифрованном хранилище ключей.После того, как пароль сохранен, ссылки могут быть включены в команды интерфейса командной строки управления или приложения, развернутые в JBoss EAP.
Хранилище паролей использует хранилище ключей Java в качестве механизма хранения. Хранилище паролей состоит из двух частей: хранилища и хранилища ключей. Хранилище ключей Java используется для хранения ключа, который используется для шифрования или дешифрования конфиденциальных строк в хранилище Vault.
Утилита keytool, предоставляемая Java Runtime Environment (JRE), используется для этих шагов.Найдите путь к файлу, который в Red Hat Enterprise Linux - / usr / bin / keytool
.
Реализации хранилища ключей JCEKS различаются между поставщиками Java, поэтому хранилище ключей должно быть создано с помощью утилиты keytool от того же поставщика, что и используемый JDK. Использование хранилища ключей, созданного keytool из JDK одного поставщика, в экземпляре JBoss EAP 7, запущенном на JDK другого поставщика, приводит к следующему исключению: java.io.IOException: com.sun.crypto.provider.SealedObjectForKeyProtector
3.2.1. Настройка хранилища паролей
Выполните следующие действия, чтобы настроить и использовать хранилище паролей.
Создайте каталог для хранения хранилища ключей и другой зашифрованной информации.
Дальнейшая часть этой процедуры предполагает, что это каталог
EAP_HOME / vault /
. Поскольку этот каталог будет содержать конфиденциальную информацию, он должен быть доступен только ограниченным пользователям. Как минимум учетная запись пользователя, под которой работает JBoss EAP, требует доступа для чтения и записи.Определите параметры для использования с утилитой keytool.
Определитесь со значениями следующих параметров:
- псевдоним
- Псевдоним - это уникальный идентификатор хранилища или других данных, хранящихся в хранилище ключей. Псевдонимы нечувствительны к регистру.
- тип магазина
- Тип хранилища определяет тип хранилища ключей. Рекомендуется значение
jceks
. - кейалг
- Алгоритм шифрования.Используйте документацию для JRE и операционной системы, чтобы узнать, какие другие варианты доступны.
- размер ключа
- Размер ключа шифрования влияет на то, насколько сложно его расшифровать с помощью грубой силы. Для получения информации о соответствующих значениях см. Документацию, поставляемую с утилитой keytool.
- магазин
- Значение storepass - это пароль, который используется для аутентификации в хранилище ключей, чтобы ключ можно было прочитать.Пароль должен состоять не менее чем из 6 символов и должен предоставляться при доступе к хранилищу ключей. Если этот параметр не указан, утилита keytool предложит ввести его после выполнения команды.
- пароль
- Значение keypass - это пароль, используемый для доступа к определенному ключу, и он должен соответствовать значению параметра storepass.
- срок действия
- Значение срока действия - это период (в днях), в течение которого ключ будет действителен.
- хранилище ключей
Значение хранилища ключей - это путь к файлу и имя файла, в котором должны храниться значения хранилища ключей. Файл хранилища ключей создается при первом добавлении в него данных. Убедитесь, что используется правильный разделитель путей к файлам: / (косая черта) для Red Hat Enterprise Linux и аналогичных операционных систем, \ (обратная косая черта) для Windows Server.
Утилита
keytool
имеет много других возможностей. Дополнительную информацию см. В документации по JRE или операционной системе.
Запустите команду keytool, убедившись, что
keypass
иstorepass
содержат одинаковое значение.$ keytool -genseckey -alias vault -storetype jceks -keyalg AES -keysize 128 -storepass vault22 -keypass vault22 -validity 730 -keystore EAP_HOME /vault/vault.keystore
В результате создается хранилище ключей в файле
EAP_HOME /vault/vault.keystore
.Он хранит единственный ключ с хранилищем псевдонимов, который будет использоваться для хранения зашифрованных строк, таких как пароли, для JBoss EAP.
3.2.2. Инициализировать хранилище паролей
Хранилище паролей можно инициализировать либо в интерактивном режиме, когда вам будет предложено ввести значение каждого параметра, либо в неинтерактивном режиме, когда все значения параметров указываются в командной строке. Каждый метод дает одинаковый результат, поэтому можно использовать любой из них.
Потребуются следующие параметры:
- URL хранилища ключей (KEYSTORE_URL)
- Путь к файловой системе или URI файла хранилища ключей.В примерах используется
EAP_HOME /vault/vault.keystore
. - пароль хранилища ключей (KEYSTORE_PASSWORD)
- Пароль, используемый для доступа к хранилищу ключей.
- Соль (SALT)
- Значение соли - это случайная строка из восьми символов, которая используется вместе со счетчиком итераций для шифрования содержимого хранилища ключей.
- Псевдоним хранилища ключей (KEYSTORE_ALIAS)
- Псевдоним, по которому известно хранилище ключей.
- Счетчик итераций (ITERATION_COUNT)
- Количество запусков алгоритма шифрования.
- Каталог для хранения зашифрованных файлов (ENC_FILE_DIR)
- Путь, по которому должны храниться зашифрованные файлы. Обычно это каталог, содержащий хранилище паролей. Удобно, но не обязательно, хранить всю зашифрованную информацию в том же месте, что и хранилище ключей. Этот каталог должен быть доступен только для ограниченных пользователей.Как минимум учетная запись пользователя, под которой работает JBoss EAP 7, требует доступа для чтения и записи. Хранилище ключей должно находиться в каталоге, который вы создали при настройке хранилища паролей. Обратите внимание, что в имени каталога требуется обратная или прямая косая черта в конце. Убедитесь, что используется правильный разделитель путей к файлам: / (косая черта) для Red Hat Enterprise Linux и аналогичных операционных систем, \ (обратная косая черта) для Windows Server.
- Блок хранилища (VAULT_BLOCK)
- Имя, которое будет присвоено этому блоку в хранилище паролей.
- Атрибут (ATTRIBUTE)
- Имя, которое будет присвоено сохраняемому атрибуту.
- Атрибут безопасности (SEC-ATTR)
- Пароль, который хранится в хранилище паролей.
Чтобы запустить команду хранилища паролей в неинтерактивном режиме, можно вызвать сценарий хранилища
, расположенный в EAP_HOME / bin /
, с параметрами для получения соответствующей информации:
$ хранилище.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --vault-block VAULT_BLOCK --attribute ATTRIBUTE --sec-attr SEC-attr SEC ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT
Пример: инициализация хранилища паролей
$ vault.sh --keystore EAP_HOME /vault/vault22. -keystore - password - keystore alias vault --vault-block vb --attribute password --sec-attr 0penS3sam3 --enc-dir EAP_HOME / vault / --iteration 120 --salt 1234abcd
Пример: вывод
========================================== =============================== JBoss Vault JBOSS_HOME: EAP_HOME JAVA: Java ================================================== ======================= 9 ноября 2015 г. 21:02:47 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX00361: Реализация хранилища безопасности по умолчанию инициализирована и готова WFLYSEC0047: защищенное значение атрибута сохранено в Vault. Обратите внимание на следующее: ******************************************* Блок Убежища: vb Имя атрибута: пароль Конфигурация должна производиться следующим образом: VAULT :: vb :: пароль :: 1 ******************************************* WFLYSEC0048: Конфигурация хранилища в файле конфигурации WildFly: ******************************************* <хранилище>... *******************************************
Чтобы запустить команду хранилища паролей в интерактивном режиме, необходимо выполнить следующие действия:
Запустите команду хранилища паролей в интерактивном режиме.
Запустите
EAP_HOME /bin/vault.sh
в Red Hat Enterprise Linux и аналогичных операционных системах илиEAP_HOME \ bin \ vault.bat
в Windows Server. Начните новый интерактивный сеанс, набрав0
(ноль).Заполните предложенные параметры.
Следуйте подсказкам, чтобы ввести необходимые параметры.
Запишите скрытую информацию о пароле.
Скрытый пароль, соль и счетчик итераций выводятся на стандартный вывод. Запишите их в безопасном месте. Они необходимы для добавления записей в хранилище паролей. Доступ к файлу хранилища ключей и эти значения могут позволить злоумышленнику получить доступ к конфиденциальной информации в хранилище паролей.
Выйдите из интерактивной консоли
Введите
2
(два), чтобы выйти из интерактивной консоли.
Пример: ввод и вывод
Введите цифру :: 0: начать интерактивный сеанс 1: удалить интерактивный сеанс 2: выйти 0 Запуск интерактивного сеанса Введите каталог для хранения зашифрованных файлов: EAP_HOME / vault / Введите URL-адрес хранилища ключей: EAP_HOME / vault / vault.keystore Введите пароль хранилища ключей: vault22 Введите пароль хранилища ключей еще раз: vault22 Ценности совпадают Введите соль из 8 символов: 1234abcd Введите количество итераций в виде числа (например: 44): 120 Введите псевдоним хранилища ключей: vault Инициализация Vault 9 ноября 2015 г., 21:24:36 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX000361: Реализация хранилища безопасности по умолчанию инициализирована и готова Конфигурация хранилища в конфигурационном файле AS7: ******************************************* ... <хранилище>... ******************************************* Хранилище инициализировано и готово к использованию Рукопожатие с Vault завершено
+ Пароль хранилища ключей замаскирован для использования в файлах конфигурации и развертываниях. Кроме того, хранилище инициализировано и готово к использованию.
3.2.3. Используйте хранилище паролей
Прежде чем пароли и другие конфиденциальные атрибуты можно будет замаскировать и использовать в файлах конфигурации, JBoss EAP 7 должен быть осведомлен о хранилище паролей, в котором они хранятся и расшифровываются.
Следующую команду можно использовать для настройки JBoss EAP 7 для использования хранилища паролей:
/ core-service = vault: add (vault-options = [("KEYSTORE_URL" => PATH_TO_KEYSTORE ), ("KEYSTORE_PASSWORD" => MASKED_PASSWORD ), ("KEYSTORE_ALIAS" => ALIAS »=> ALIAS "SALT" => SALT ), ("ITERATION_COUNT" => ITERATION_COUNT ), ("ENC_FILE_DIR" => ENC_FILE_DIR )]) / core-service = vault: add (vault-options = [("KEYSTORE_URL" => " EAP_HOME / vault / vault.хранилище ключей "), (" KEYSTORE_PASSWORD "=>" MASK-5dOaAVafCSd "), (" KEYSTORE_ALIAS "=>" хранилище "), (" SALT "=>" 1234abcd "), (" ITERATION_COUNT "=>" 120 "), ("ENC_FILE_DIR" => " EAP_HOME / vault /")])
Если используется Microsoft Windows Server, используйте две обратные косые черты (\\) в пути к файлу вместо одной. Например, C: \ data \ vault \ vault.keystore
. Это связано с тем, что для экранирования символов используется один символ обратной косой черты (\).
3.2.4. Сохраните конфиденциальную строку в хранилище паролей
Включение паролей и других конфиденциальных строк в файлы конфигурации с открытым текстом представляет собой угрозу безопасности. Вместо этого сохраните эти строки в хранилище паролей для повышения безопасности, где на них можно будет ссылаться в файлах конфигурации, командах интерфейса командной строки управления и приложениях в их замаскированной форме.
Конфиденциальные строки могут храниться в хранилище паролей либо в интерактивном режиме, когда инструмент запрашивает значение каждого параметра, либо в неинтерактивном режиме, когда значения всех параметров указываются в командной строке.Каждый метод дает одинаковый результат, поэтому можно использовать любой из них. Оба эти метода вызываются с помощью сценария хранилища
.
Чтобы запустить команду хранилища паролей в неинтерактивном режиме, можно вызвать сценарий хранилища
(расположенный в EAP_HOME / bin /
) с параметрами для получения соответствующей информации:
$ vault.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --vault-block VAULT_BLOCK --attribute ATTRIBUTE- аттрибут --enc-dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT
Пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
$ vault.sh --keystore EAP_HOME /vault/vault.keystore --keystore-password vault22 --alias vault --vault-block vb - пароль атрибута --sec-attr 0penS3sam3 --enc-dir EAP_HOME / vault / --iteration 120 --salt 1234abcd
Пример: вывод
============================ ============================================= JBoss Vault JBOSS_HOME: EAP_HOME JAVA: Java ================================================== ======================= 9 ноября 2015 г., 21:24:36 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX00361: Реализация хранилища безопасности по умолчанию инициализирована и готова WFLYSEC0047: защищенное значение атрибута сохранено в Vault. Обратите внимание на следующее: ******************************************* Блок Убежища: vb Имя атрибута: пароль Конфигурация должна производиться следующим образом: VAULT :: vb :: пароль :: 1 ******************************************* WFLYSEC0048: Конфигурация хранилища в файле конфигурации WildFly: ******************************************* ... <хранилище>... *******************************************
После вызова сценария хранилища
на стандартный вывод выводится сообщение, показывающее блок хранилища, имя атрибута, замаскированную строку и рекомендации по использованию строки в вашей конфигурации.Запишите эту информацию в безопасном месте. Выдержка из выходных данных выглядит следующим образом:
Блок хранилища: vb Имя атрибута: пароль Конфигурация должна производиться следующим образом: VAULT :: vb :: пароль :: 1
Чтобы запустить команду хранилища паролей в интерактивном режиме, необходимо выполнить следующие действия:
Запустите команду Password Vault в интерактивном режиме.
Запустите интерфейс командной строки операционной системы и запустите
EAP_HOME / bin / vault.sh
(в Red Hat Enterprise Linux и аналогичных операционных системах) илиEAP_HOME \ bin \ vault.bat
(в Microsoft Windows Server). Начните новый интерактивный сеанс, набрав0
(ноль).Заполните предложенные параметры.
Следуйте подсказкам, чтобы ввести необходимые параметры. Эти значения должны совпадать со значениями, указанными при создании хранилища паролей.
Пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
Заполните запрошенные параметры чувствительной строки.
Введите
0
(ноль), чтобы начать сохранение конфиденциальной строки. Следуйте подсказкам, чтобы ввести необходимые параметры.Обратите внимание на информацию о замаскированной строке.
На стандартный вывод выводится сообщение, в котором отображается блок хранилища, имя атрибута, замаскированная строка и рекомендации по использованию строки в конфигурации.Запишите эту информацию в безопасном месте. Выдержка из выходных данных выглядит следующим образом:
Блок хранилища: ds_Example1 Имя атрибута: пароль Конфигурация должна производиться следующим образом: VAULT :: ds_Example1 :: пароль :: 1
Закройте интерактивную консоль.
Введите
2
(два), чтобы выйти из интерактивной консоли.
Пример: ввод и вывод
===================================== ==================================== JBoss Vault JBOSS_HOME: EAP_HOME JAVA: Java ================================================== ======================= ********************************** **** JBoss Vault *************** ********************************** Введите цифру :: 0: начать интерактивный сеанс 1: удалить интерактивный сеанс 2: выйти 0 Запуск интерактивного сеанса Введите каталог для хранения зашифрованных файлов: EAP_HOME / vault / Введите URL-адрес хранилища ключей: EAP_HOME / vault / vault.хранилище ключей Введите пароль хранилища ключей: Введите пароль хранилища ключей еще раз: Ценности совпадают Введите соль из 8 символов: 1234abcd Введите количество итераций в виде числа (например: 44): 120 Введите псевдоним хранилища ключей: vault Инициализация Vault 9 ноября 2015 г., 21:24:36 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX000361: Реализация хранилища безопасности по умолчанию инициализирована и готова Конфигурация хранилища в конфигурационном файле AS7: ******************************************* ... <хранилище>... ******************************************* Хранилище инициализировано и готово к использованию Рукопожатие с Vault завершено Введите цифру :: 0: сохранить защищенный атрибут 1: проверить, существует ли защищенный атрибут 2: удалить защищенный атрибут 3: выйти 0 Задача: сохранить защищенный атрибут Введите значение защищенного атрибута (например, пароль): Пожалуйста, введите значение защищенного атрибута (например, пароль) еще раз: Ценности совпадают Введите блок хранилища: ds_Example1 Введите имя атрибута: пароль Защищенное значение атрибута сохранено в хранилище.Обратите внимание на следующее: ******************************************* Блок Хранилища: ds_Example1 Имя атрибута: пароль Конфигурация должна производиться следующим образом: VAULT :: ds_Example1 :: пароль :: 1 ******************************************* Введите цифру :: 0: сохранить защищенный атрибут 1: проверить, существует ли защищенный атрибут 2: удалить защищенный атрибут 3: выйти из
3.2.5. Использовать зашифрованную конфиденциальную строку в конфигурации
Любая конфиденциальная строка, которая была зашифрована, может использоваться в файле конфигурации или команде интерфейса командной строки управления в ее замаскированной форме, при условии, что выражения разрешены.
Чтобы подтвердить, разрешены ли выражения в конкретной подсистеме, выполните следующую команду интерфейса командной строки управления для этой подсистемы:
/ subsystem = SUBSYSTEM : read-resource-description (рекурсивный = true)
В выходных данных выполнения этой команды найдите значение параметра разрешенных выражений
. Если это истинно
, тогда выражения могут использоваться в конфигурации этой подсистемы.
Используйте следующий синтаксис, чтобы заменить любую строку открытого текста замаскированной формой.
$ {VAULT :: VAULT_BLOCK :: ATTRIBUTE_NAME :: MASKED_STRING}
Пример: определение источника данных с использованием пароля в замаскированной форме
...<источники данных> ...<драйверы> <имя драйвера = "h3" module = "com.h3database.h3 "> jdbc: h3: mem: test; DB_CLOSE_DELAY = -1 h3 <безопасность> sa <пароль> $ {VAULT :: ds_ExampleDS :: пароль :: 1}org.h3.jdbcx.JdbcDataSource
3.2.6. Использование зашифрованной конфиденциальной строки в приложении
Зашифрованные строки, хранящиеся в хранилище паролей, можно использовать в исходном коде приложения. Приведенный ниже пример представляет собой отрывок из исходного кода сервлета, иллюстрирующий использование замаскированного пароля в определении источника данных вместо пароля в виде обычного текста.Версия с открытым текстом закомментирована, чтобы вы могли увидеть разницу.
Пример: сервлет с использованием сохраненного пароля
@DataSourceDefinition ( name = "java: jboss / datasources / LoginDS", user = "sa", пароль = "VAULT :: DS :: thePass :: 1", className = "org.h3.jdbcx.JdbcDataSource", url = "jdbc: h3: tcp: // localhost / mem: test" ) / * старое (открытый текст) определение @DataSourceDefinition ( name = "java: jboss / datasources / LoginDS", user = "sa", пароль = "sa", className = "org.h3.jdbcx.JdbcDataSource ", url = "jdbc: h3: tcp: // localhost / mem: test" ) * /
3.2.7. Проверьте, есть ли конфиденциальная строка в хранилище паролей
Прежде чем пытаться сохранить или использовать конфиденциальную строку в хранилище паролей, может быть полезно сначала подтвердить, что она уже сохранена.
Эта проверка может выполняться либо в интерактивном режиме, когда пользователю предлагается ввести значение каждого параметра, либо в неинтерактивном режиме, когда значения всех параметров указываются в командной строке.Каждый метод дает одинаковый результат, поэтому можно использовать любой из них. Оба эти метода вызываются с помощью сценария хранилища
.
Используйте неинтерактивный метод, чтобы указать значения всех параметров сразу. Описание всех параметров см. В разделе Инициализация хранилища паролей. Чтобы запустить команду хранилища паролей в неинтерактивном режиме, можно вызвать сценарий хранилища
, расположенный в EAP_HOME / bin /
, с параметрами для получения соответствующей информации:
$ хранилище.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --check-sec-attr --vault-block VAULT_BLOCK --attribute ATTRIBUTE --enc-dir_dir --enc-dir_dir 9013 итерация ITERATION_COUNT --salt SALT
Замените значения заполнителей фактическими значениями. Значения параметров KEYSTORE_URL , KEYSTORE_PASSWORD и KEYSTORE_ALIAS должны совпадать со значениями, указанными при создании хранилища паролей.
Пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
Если конфиденциальная строка хранится в указанном блоке хранилища, будет отображаться следующее сообщение:
Пароль уже существует.
Если значение не сохранено в указанном блоке, отобразится следующее сообщение:
Пароль не существует.
Чтобы запустить команду хранилища паролей в интерактивном режиме, необходимо выполнить следующие действия:
Запустите команду хранилища паролей в интерактивном режиме.
Запустите
EAP_HOME /bin/vault.sh
(в Red Hat Enterprise Linux и аналогичных операционных системах) илиEAP_HOME \ bin \ vault.bat
(в Windows Server). Начните новый интерактивный сеанс, набрав0
(ноль).Заполните предложенные параметры. Следуйте инструкциям по вводу необходимых параметров аутентификации. Эти значения должны совпадать со значениями, указанными при создании хранилища паролей.
При запросе аутентификации пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
- Введите
1
(один), чтобы выбрать . Проверьте, существует ли защищенный атрибут . - Введите имя блока хранилища, в котором хранится конфиденциальная строка.
- Введите имя проверяемой конфиденциальной строки.
- Введите
Если конфиденциальная строка хранится в указанном блоке хранилища, будет выведено подтверждающее сообщение, подобное приведенному ниже:
Имеется значение для (VAULT_BLOCK, ATTRIBUTE)
Если конфиденциальная строка не хранится в указанном блоке, будет выведено следующее сообщение:
Не было сохранено значение для (VAULT_BLOCK, ATTRIBUTE)
Пример: интерактивная проверка чувствительной строки
========================= ================================================== JBoss Vault JBOSS_HOME: EAP_HOME JAVA: Java ================================================== ======================= ********************************** **** JBoss Vault *************** ********************************** Введите цифру :: 0: начать интерактивный сеанс 1: удалить интерактивный сеанс 2: выйти 0 Запуск интерактивного сеанса Введите каталог для хранения зашифрованных файлов: EAP_HOME / vault Введите URL-адрес хранилища ключей: EAP_HOME / vault / vault.хранилище ключей Введите пароль хранилища ключей: Введите пароль хранилища ключей еще раз: Ценности совпадают Введите соль из 8 символов: 1234abcd Введите количество итераций в виде числа (например: 44): 120 Введите псевдоним хранилища ключей: vault Инициализация Vault 9 ноября 2015 г., 21:24:36 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX000361: Реализация хранилища безопасности по умолчанию инициализирована и готова Конфигурация хранилища в конфигурационном файле AS7: ******************************************* ... <хранилище>... ******************************************* Хранилище инициализировано и готово к использованию Рукопожатие с Vault завершено Введите цифру :: 0: сохранить защищенный атрибут 1: проверить, существует ли защищенный атрибут 2: удалить защищенный атрибут 3: выйти 1 Задача: проверить, существует ли защищенный атрибут Введите блок хранилища: vb Введите имя атрибута: пароль Значение существует для (vb, пароль) Введите цифру :: 0: сохранить защищенный атрибут 1: проверить, существует ли защищенный атрибут 2: удалить защищенный атрибут 3: выйти из
3.2.8. Удаление конфиденциальной строки из хранилища паролей
По соображениям безопасности лучше удалить конфиденциальные строки из хранилища паролей, когда они больше не требуются. Например, если приложение выводится из эксплуатации, все конфиденциальные строки, используемые в определениях источников данных, должны быть удалены одновременно.
В качестве предварительного условия перед удалением конфиденциальной строки из хранилища паролей убедитесь, что она используется в конфигурации JBoss EAP.
Эта операция может выполняться либо в интерактивном режиме, когда пользователю предлагается ввести значение каждого параметра, либо в неинтерактивном режиме, когда значения всех параметров указываются в командной строке. Каждый метод дает одинаковый результат, поэтому можно использовать любой из них. Оба эти метода вызываются с помощью сценария хранилища
.
Используйте неинтерактивный метод, чтобы указать значения всех параметров сразу. Описание всех параметров см. В разделе Инициализация хранилища паролей.Чтобы запустить команду хранилища паролей в неинтерактивном режиме, можно вызвать сценарий хранилища
(расположенный в EAP_HOME / bin /
) с параметрами для получения соответствующей информации:
$ vault.sh --keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --remove-sec-attr --vault-block VAULT_BLOCK --attributec -dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT
Замените значения заполнителей фактическими значениями.Значения параметров KEYSTORE_URL , KEYSTORE_PASSWORD и KEYSTORE_ALIAS должны совпадать со значениями, указанными при создании хранилища паролей.
Пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
Если конфиденциальная строка успешно удалена, отобразится подтверждающее сообщение, подобное приведенному ниже:
Защищенный атрибут [VAULT_BLOCK :: ATTRIBUTE] успешно удален из хранилища
Если конфиденциальная строка не удалена, отобразится следующее сообщение:
Защищенный атрибут [VAULT_BLOCK :: ATTRIBUTE] не был удален из хранилища, проверьте, существует ли он
Пример: выход
$./vault.sh --keystore EAP_HOME /vault/vault.keystore --keystore-password vault22 --alias vault --remove-sec-attr --vault-block vb --attribute password --enc-dir EAP_HOME / vault / --iteration 120 --salt 1234abcd ================================================== ======================= JBoss Vault JBOSS_HOME: EAP_HOME JAVA: Java ================================================== ======================= 23 декабря 2015 г. 13:54:24 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX000361: Реализация хранилища безопасности по умолчанию инициализирована и готова Защищенный атрибут [vb :: password] успешно удален из хранилища.
Удалить конфиденциальную строку в интерактивном режиме
Чтобы запустить команду хранилища паролей в интерактивном режиме, необходимо выполнить следующие действия:
Запустите команду хранилища паролей в интерактивном режиме.
Запустите
EAP_HOME /bin/vault.sh
(в Red Hat Enterprise Linux и аналогичных операционных системах) илиEAP_HOME \ bin \ vault.bat
(в Microsoft Windows Server). Начните новый интерактивный сеанс, набрав0
(ноль).Заполните предложенные параметры.
Следуйте инструкциям по вводу необходимых параметров аутентификации. Эти значения должны совпадать со значениями, указанными при создании хранилища паролей.
При запросе аутентификации пароль хранилища ключей должен быть указан в виде открытого текста, а не в маскированной форме.
- Введите
2
(два), чтобы выбрать опцию Удалить защищенный атрибут. - Введите имя блока хранилища, в котором хранится конфиденциальная строка.
- Введите имя конфиденциальной строки, которую нужно удалить.
- Введите
Если конфиденциальная строка успешно удалена, отобразится подтверждающее сообщение, подобное приведенному ниже:
Защищенный атрибут [VAULT_BLOCK :: ATTRIBUTE] успешно удален из хранилища
Если конфиденциальная строка не удалена, отобразится следующее сообщение:
Защищенный атрибут [VAULT_BLOCK :: ATTRIBUTE] не был удален из хранилища, проверьте, существует ли он
Пример: Выход
********************* ************* **** JBoss Vault *************** ********************************** Введите цифру :: 0: начать интерактивный сеанс 1: удалить интерактивный сеанс 2: выйти 0 Запуск интерактивного сеанса Введите каталог для хранения зашифрованных файлов: EAP_HOME / vault / Введите URL-адрес хранилища ключей: EAP_HOME / vault / vault.хранилище ключей Введите пароль хранилища ключей: Введите пароль хранилища ключей еще раз: Ценности совпадают Введите соль из 8 символов: 1234abcd Введите количество итераций в виде числа (например: 44): 120 Введите псевдоним хранилища ключей: vault Инициализация Vault 23 декабря 2014 г. 13:40:56 org.picketbox.plugins.vault.PicketBoxSecurityVault init ИНФОРМАЦИЯ: PBOX000361: Реализация хранилища безопасности по умолчанию инициализирована и готова Конфигурация хранилища в файле конфигурации: ******************************************* ... <хранилище>.... ******************************************* Хранилище инициализировано и готово к использованию Рукопожатие с Vault завершено Введите цифру :: 0: сохранить защищенный атрибут 1: проверить, существует ли защищенный атрибут 2: удалить защищенный атрибут 3: выйти 2 Задача: удалить защищенный атрибут Введите блок хранилища: vb Введите имя атрибута: пароль Защищенный атрибут [vb :: password] успешно удален из хранилища
3.2.9. Настройте платформу приложений Red Hat JBoss Enterprise для использования пользовательской реализации хранилища паролей
Помимо использования предоставленной реализации хранилища паролей, также может использоваться пользовательская реализация SecurityVault
.
Чтобы использовать настраиваемую реализацию для хранилища паролей:
- Создайте класс, реализующий интерфейс
SecurityVault
. - Создайте модуль, содержащий класс из предыдущего шага, и укажите зависимость от
org.picketbox
, где используется интерфейсSecurityVault
. Включите настраиваемое хранилище паролей в конфигурации JBoss EAP, добавив элемент хранилища со следующими атрибутами:
- код - полное имя класса, реализующего
SecurityVault
. - модуль - Имя модуля, содержащего настраиваемый класс.
- код - полное имя класса, реализующего
Дополнительно можно использовать параметры vault-options
для инициализации настраиваемого класса для хранилища паролей.
Пример: использование параметров vault-options для инициализации специального класса
/core-service=vault:add(code="custom.vault.implementation.CustomSecurityVault ", module =" custom.vault.module ", vault -options = [("KEYSTORE_URL" => PATH_TO_KEYSTORE ), ("KEYSTORE_PASSWORD" => MASKED_PASSWORD ), ("KEYSTORE_ALIAS" => ALIAS ), ("SALT" => ITERATION_COUNT "=> ITERATION_COUNT ), (" ENC_FILE_DIR "=> ENC_FILE_DIR )])
3.2.10. Получить пароль хранилища ключей из внешнего источника
Методы EXT
, EXTC
, CMD
, CMDC
или CLASS
можно использовать в конфигурации хранилища для получения пароля хранилища ключей Java.
Описание методов представлено как:
- {EXT}…
- Относится к точной команде, где
…
- это точная команда.Например:{EXT} / usr / bin / getmypassword --section 1 --query company
, запустите команду/ usr / bin / getmypassword
, которая выводит пароль на стандартный вывод и использует его в качестве пароля для Security Vault хранилище ключей. В этом примере команда использует два параметра:--section 1
и--query company
. - {EXTC [: expiration_in_millis]}…
- Относится к точной команде, где
…
- это точная командная строка, которая передается в среду выполнения.exec (String)
для выполнения команды платформы. Первая строка вывода команды используется в качестве пароля. Вариант EXTC кэширует пароли наexpiration_in_millis
миллисекунд. Срок действия кеша по умолчанию -0 = бесконечность
. Например:{EXTC: 120000} / usr / bin / getmypassword --section 1 --query company
проверяет, содержит ли кеш выход/ usr / bin / getmypassword
, если он содержит результат, используйте его. Если он не содержит вывода, запустите команду, чтобы вывести его в кеш и использовать.В этом примере срок действия кеша истекает через 2 минуты, то есть 120000 миллисекунд. - {CMD}… или {CMDC [: expiration_in_millis]}…
- Общая команда - это строка, разделенная цифрами
,
(запятая), где первая часть - это фактическая команда, а последующие части представляют параметры. Для запятой можно использовать обратную косую черту, чтобы она оставалась частью параметра. Например,{CMD} / usr / bin / getmypassword, - раздел, 1, - запрос, компания
. - {КЛАСС [@jboss_module_spec]} имя класса [: ctorargs]
- Где
[: ctorargs]
- это необязательная строка, разделенная знаком:
(двоеточие) из имени класса передается в имя классаctor
.ctorargs
- это список строк, разделенных запятыми. Например,{[email protected]}org.test.passwd.ExternamPassworProvider
. В этом примере классorg.test.passwd.ExternamPassworProvider
загружается из модуляorg.test.passwd
и использует методtoCharArray ()
для получения пароля. ЕслиtoCharArray ()
недоступен, используется методtoString ()
. Классorg.test.passwd.ExternamPassworProvider
должен иметь конструктор по умолчанию.
Ubuntu Manpage: git-credential-store - помощник для хранения учетных данных на диске
Предоставлено: git-man_1.7.9.5-1_allНАИМЕНОВАНИЕ
git-credential-store - помощник для хранения учетных данных на дискеОБЗОР
git config credential.helper 'store [параметры]'ОПИСАНИЕ
Примечание Использование этого помощника сохранит ваши пароли в незашифрованном виде на диске, защищенном только разрешения файловой системы.Если это недопустимый компромисс с безопасностью, попробуйте git- credential-cache (1), или найдите помощника, который интегрируется с безопасным хранилищем, предоставляемым ваша операционная система. Эта команда хранит учетные данные на диске на неопределенный срок для использования в будущих программах git. Вероятно, вы не захотите вызывать эту команду напрямую; он предназначен для использования в качестве помощник по учетным данным другими частями git. См. gitcredentials (7) или ПРИМЕРЫ ниже.ОПЦИИ
--store = <путь> Используйте <путь> для хранения учетных данных. Для файла будут установлены права доступа к файловой системе запретить другим пользователям системы читать его, но не будет зашифрован или иным образом защищены. По умолчанию ~ / .git-credentials.ПРИМЕРЫ
Цель этого помощника - уменьшить количество раз, когда вы должны вводить свое имя пользователя или пароль.Например: $ git config credential.helper store $ git push http://example.com/repo.git Имя пользователя: <введите свое имя пользователя> Пароль: <введите свой пароль> [несколько дней спустя] $ git push http://example.com/repo.git [ваши учетные данные используются автоматически]ХРАНЕНИЕ ФОРМАТ
Файл .git-credentials хранится в виде открытого текста. Каждая учетная запись хранится отдельно строка как URL-адрес, например: https: // user: pass @ example.ком Когда git требуется аутентификация для определенного контекста URL-адреса, хранилище учетных данных будет учитывать в этом контексте шаблон для сопоставления с каждой записью в файле учетных данных.