計画、パスワード・レベルの変更

パスワード・レベルの変更は、慎重に計画する必要があります。 パスワード・レベルの変更の計画が適切でない場合、 他のシステムでの操作が失敗したり、 ユーザーがシステムにサインオンできなくなることがあります。

QPWDLVL システム値を変更する前に、SAVSECDTA または SAVSYS コマンドを使用して、 セキュリティー・データを必ず保管してください。 現行の状態のバックアップがあれば、低位のパスワード・レベルに戻る必要がある場合でも、 すべてのユーザー・プロファイルのパスワードを再設定できます。

システムで使用する製品、およびシステム・インターフェースを使用するクライアントでは、パスワード・レベル (QPWDLVL) システム値が 2、3、 または 4に設定されていると、問題が発生する可能性があります。 ユーザーがサインオン画面で入力する平文ではなく、片方向暗号化形式でパスワードをシステムに送信する製品またはクライアントは、QPWDLVL 2、3、 、または 4のパスワード暗号化規則を使用するようにアップグレードする必要があります。 片方向暗号化パスワードを送信することは、パスワード置換と呼ばれます。 パスワード置換は、ネットワーク上に伝送中のパスワードが読み取られるのを防ぐために 使用します。 QPWDLVL 2、3、 または 4のアルゴリズムをサポートしない古いクライアントによって生成されたパスワード置換は、入力された特定の文字が正しい場合でも受け入れられません。 これは、 IBM® i から IBM i へのピア・アクセスにも適用されます。このピア・アクセスでは、片方向暗号化値を使用して、あるシステムから別のシステムへの認証を行います。

この問題は、影響を受けるいくつかの製品 ( IBM Toolbox for Java™など) がミドルウェアとして提供されていることによって複雑化しています。 これらの製品の以前のバージョンを組み込んでいるサード・パーティー製品は、 ミドルウェアの更新済みバージョンを使用して再作成しないと、正常に動作しません。

これらのシナリオや他のシナリオを考えると、QPWDLVL システム値を変更する前に慎重な計画が必要となる理由が分かりやすくなります。