Přizpůsobené vlastnosti zabezpečení

Tato stránka vám usnadní porozumění předdefinovaným přizpůsobeným vlastnostem souvisejícím se zabezpečením.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení > Přizpůsobené vlastnosti. Po klepnutí na volbu Nová můžete přidat novou přizpůsobenou vlastnost a příslušnou hodnotu.

com.ibm.CSI.rmiInboundLoginConfig

Tato vlastnost určuje konfiguraci přihlašování JAAS (Java Authentication and Authorization Service) použitou pro požadavky na vzdálené volání metod (RMI) přijaté jako příchozí.

Pokud znáte konfiguraci přihlašování, můžete do cesty zpracování zapojit vlastní přihlašovací modul, který zpracuje specifické případy přihlašování RMI.

Výchozí hodnota system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Tato vlastnost určuje konfiguraci přihlašování JAAS použitou pro požadavky RMI odesílané jako odchozí.

Tato vlastnost slouží primárně k přípravě předávaných vlastností v předmětu, které mají být zaslány cílovému serveru. V případě potřeby však můžete do cesty zpracování zapojit vlastní přihlašovací modul, který bude provádět odchozí mapování.

Výchozí hodnota system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Tato vlastnost povoluje odeslání pověřovacích údajů, ověřovaných v aktuální sféře, do libovolné sféry určené obsahem pole Důvěryhodné cílové sféry. Pole Důvěryhodné cílové sféry je k dispozici na panelu Odchozí ověřování CSIv2. Tato vlastnost umožňuje těmto sférám provádět příchozí mapování dat z aktuální sféry.

Nedoporučuje se odesílat ověřovací informace do neznámé sféry. Tato vlastnost proto představuje metodu určení důvěryhodnosti alternativních sfér. Chcete-li získat přístup k panelu Odchozí ověřování CSIv2, postupujte takto:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Zabezpečení RMI/IIOP klepněte na volbu Odchozí ověřování CSIv2.
com.ibm.CSI.disablePropagationCallerList

Tato vlastnost zcela zakáže seznam volajících a neumožní změnu seznamu volajících. Tato vlastnost zabrání vytvoření více relací.

Tato vlastnost zcela zakáže přidání seznamu hostitelů či volajících do tokenu šíření. Nastavení této vlastnosti může být výhodné v situaci, kdy v prostředí není potřebný seznam hostitelů či volajících v tokenu šíření.
Poznámka: Pokud je tato vlastnost nastavena na hodnotu true stejně jako vlastnost com.ibm.CSI.propagateFirstCallerOnly, pak má přednost vlastnost com.ibm.CSI.disablePropagationCallerList.
Výchozí hodnota false
com.ibm.CSI.propagateFirstCallerOnly

Tato vlastnost neumožní změnu seznamu volajících, a tím zabrání vytvoření více relací. Tato vlastnost omezuje seznam volajících pouze na prvního volajícího.

Tato vlastnost zaznamená prvního volajícího v tokenu šíření, který zůstane v podprocesu, je-li povoleno šíření atributu zabezpečení. Bez nastavení této vlastnosti budou zaznamenány všechny přepínače volajících, což bude mít vliv na výkon. Obvykle je zajímavá pouze informace o prvním volajícím.
Poznámka: Pokud je tato vlastnost nastavena na hodnotu true stejně jako vlastnost com.ibm.CSI.disablePropagationCallerList, pak má přednost vlastnost com.ibm.CSI.disablePropagationCallerList.
Výchozí hodnota false
com.ibm.security.useFIPS

Určuje, že jsou používány algoritmy FIPS (Federal Information Processing Standard). Aplikační server používá poskytovatele šifrování IBMJCEFIPS namísto poskytovatele šifrování IBMJCE.

Výchozí hodnota false
com.ibm.websphere.security.krb.canonical_host

Tato vlastnost určuje, zda bude (true) nebo nebude (false) produkt WebSphere Application Server používat kanonickou formu názvu hostitele URL/HTTP při ověření klienta.

Pokud je tato vlastnost nastavena na “false”, může lístek Kerberos obsahovat název hostitele, který je odlišný od záhlaví názvu hostitele HTTP. Může dojít k následující chybě:
CWSPN0011E: Při ověřování požadavku HttpServletRequest byl zaznamenán
neplatný token protokolu SPNEGO.
Této chybové zprávě lze zamezit nastavením této vlastnosti na “true” s povolením produktu WebSphere Application Server ověřovat pomocí kanonické formy ověřování názvu hostitele URL/HTTP.
Výchozí hodnota false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

V této verzi nejsou vlastní data tokenu LTPA k dispozici ve volání WSCredential.getCredentialToken() při volání z asynchronních objektů bean. Pro stávající konfiguraci můžete přidat přizpůsobenou vlastnost com.ibm.ws.security.createTokenSubjectForAsynchLogin a umožnit předání tokenu LTPAToken asynchronnímu objektu bean. Tato vlastnost umožňuje portletům úspěšně provádět předávání tokenu LTPA.

Pomocí administrativní konzoly vytvořte následujícím způsobem tuto přizpůsobenou vlastnost:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Další vlastnosti klepněte na volbu Přizpůsobené vlastnosti.
  3. Klepněte na volbu Nový.
  4. Do pole Název zadejte hodnotu com.ibm.ws.security.createTokenSubjectForAsynchLogin
    Důležité: V tomto názvu přizpůsobené vlastnosti jsou rozlišována malá a velká písmena.
  5. Do pole Hodnota zadejte hodnotu true.
  6. Klepněte na tlačítka Použít a Uložit a poté restartujte server WebSphere Application Server.
Poznámka: Tato přizpůsobená vlastnost platí pouze pro stavy systému, ve kterých Server A provede volání EJB z asynchronních objektů bean na Server B. Tato vlastnost neplatí pro situace přihlášení JAAS.
Výchozí hodnota nelze použít
com.ibm.ws.security.defaultLoginConfig

Tato vlastnost určuje konfiguraci přihlašování JAAS určenou pro přihlášení, která nespadají do kategorií konfigurací přihlašování WEB_INBOUND, RMI_OUTBOUND a RMI_INBOUND.

Interní ověřování a protokoly, u nichž není určen specifický bod připojení JAAS, volají konfiguraci přihlášení k systému, na niž odkazuje konfigurace com.ibm.ws.security.defaultLoginConfig.

Výchozí hodnota system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Tato vlastnost určuje, zda mají být v reakci na webové požadavky zasílány položky cookie LtpaToken2 a LtpaToken (interoperabilní).

Pokud má tato vlastnost hodnotu false, aplikační server odešle pouze novou položku cookie LtpaToken2, jejíž zabezpečení je silnější, ale neumožňuje spolupráci s některými jinými produkty a se staršími verzemi aplikačního serveru než 5.1.1. Ve většině případů není starší položka cookie LtpaToken potřebná a nastavení této vlastnosti tedy můžete ponechat na hodnotě false.

Výchozí hodnota true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Tato vlastnost určuje chování tokenů LtpaToken2 v oblasti jednotného přihlašování.

Pokud je tato vlastnost nastavena na hodnotu true, token obsahuje vlastní klíč mezipaměti a nelze najít vlastní předmět, bude token použit k novému přímému přihlášení, protože je nutné znovu shromáždit vlastní informace. Uživateli bude zaslána výzva k novému přihlášení. Pokud je tato vlastnost nastavena na hodnotu false a není-li nalezen vlastní předmět, bude token LtpaToken2 použit k přihlášení a k shromáždění všech atributů registru. V takovém případě však token nemusí shromáždit speciální atributy, které očekávají další aplikace po směru zpracování.

Výchozí hodnota true
com.ibm.ws.security.webInboundLoginConfig

Tato vlastnost určuje konfiguraci přihlašování JAAS použitou pro webové požadavky přijaté jako příchozí.

Pokud znáte konfiguraci přihlašování, můžete do cesty zpracování zapojit vlastní přihlašovací modul, který zpracuje specifické případy webového přihlašování.

Výchozí hodnota system.WEB_INBOUND
com.ibm.ws.security.webInboundPropagationEnabled

Tato vlastnost určuje, zda má přijatá položka cookie LtpaToken2 vyhledat předávané atributy v lokálním kontextu a teprve poté prohledávat původní přihlašovací server uvedený v tokenu. Po přijetí předávaných atributů je znovu vygenerován předmět a vlastní atributy zůstávají zachovány.

Službu replikace dat (DRS) lze konfigurovat pro zasílání předávaných atributů serverům ve vyšší vrstvě, takže lze tyto atributy najít při prohledávání lokální dynamické mezipaměti. V opačném případě je pro načtení těchto atributů zasílán požadavek MBean původnímu přihlašovacímu serveru.

Výchozí hodnota true
com.ibm.wsspi.security.ltpa.tokenFactory

Tato vlastnost určuje faktorie tokenů LTPA (Lightweight Third Party Authentication), které lze použít k ověřování tokenů LTPA.

Ověřování probíhá v pořadí, v němž jsou faktorie tokenů zadány, protože tokeny LTPA neobsahují identifikátory objektů (OID) určující typ. Aplikační server ověřuje tokeny postupně pomocí jednotlivých faktorií tokenů, dokud se je nepodaří úspěšně ověřit. Pořadí zadané v této vlastnosti odpovídá nejpravděpodobnějšímu pořadí přijatých tokenů. Zadáváte-li více faktorií tokenů, oddělte jednotlivé faktorie svislou čarou (|) bez mezer před čarou nebo za ní.

Výchozí hodnota com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Tato vlastnost určuje implementaci, která je použita pro ověřovací token v rámci šíření atributů. Jedná se o vlastnost poskytující starší implementaci tokenu LTPA, kterou lze použít pro ověřovací token.

Výchozí hodnota com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Tato vlastnost určuje implementaci použitou pro autorizační token. Jedná se o faktorii tokenů kódující autorizační informace.

Výchozí hodnota com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Tato vlastnost určuje implementaci použitou pro token šíření. Jedná se o faktorii tokenů kódující informace o tokenu šíření.

Token šíření je obsažen v prováděcím podprocesu a není přiřazen k předmětům žádného konkrétního uživatele. Token postupuje ve směru volání metod spolu s procesem.

Výchozí hodnota com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Tato vlastnost určuje implementaci použitou pro token jednotného přihlášení (SSO). Tato implementace tvoří položku cookie, která se nastavuje v případě, že je šíření povoleno, bez ohledu na stav vlastnosti com.ibm.ws.security.ssoInteropModeEnabled.

Standardně je pro tuto implementaci použita položka cookie LtpaToken2.

Výchozí hodnota com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Tato vlastnost již není nadále používána. Místo ní použijte konfiguraci přihlašování WEB_INBOUND.

Chcete-li upravit konfiguraci přihlašování WEB_INBOUND, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Služba JAAS (Java Authentication and Authorization Service) klepněte na volbu Přihlášení k systému.
Výchozí hodnota true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Tato vlastnost definuje systémovou konfiguraci přihlášení JAAS, která se používá pro provádění mapování činitelů specifických pro konkrétní aplikaci.

Výchozí hodnota Žádný
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Je-li tato vlastnost nastavena na hodnotu true (ano), povolí možnost mapování činitelů specifických pro konkrétní aplikaci.

Výchozí hodnota false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Je-li tato vlastnost nastavena na hodnotu true (ano), povolí obnovení původního předmětu volajícího vloženého do objektu WSSubjectWrapper.

Výchozí hodnota false



Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy


Název souboru: usec_seccustomprop.html