Propiedades personalizadas de seguridad

Utilice esta página para comprender las propiedades personalizadas predefinidas que están relacionadas con la seguridad.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global > Propiedades personalizadas. Puede pulsar Nueva para añadir una nueva propiedad personalizada y su valor asociado.

com.ibm.CSI.rmiInboundLoginConfig

Esta propiedad especifica una configuración de inicio de sesión JAAS (Java Authentication and Authorization Service) que se utiliza para las solicitudes RMI (Remote Method Invocation) que se reciben de entrada.

Si conoce la configuración de inicio de sesión, puede conectar un módulo de inicio de sesión personalizado que puede manejar casos específicos para los inicios de sesión de RMI.

Valor predeterminado system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Esta propiedad especifica la configuración de inicio de sesión JAAS que se utiliza para solicitudes RMI que se envían de salida.

Fundamentalmente, esta propiedad prepara los atributos propagados en el Asunto para enviarlos al servidor de destino. Sin embargo, puede conectar un módulo de inicio de sesión personalizado para que realice la correlación de salida.

Valor predeterminado system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Esta propiedad permite enviar las credenciales que están autenticadas en el reino actual a cualquier reino especificado en el campo Reinos destino de confianza. El campo Reinos destino de confianza está disponible en el panel de autenticación de salida CSIv2. Esta propiedad permite a esos reinos llevar a cabo la correlación de salida de los datos del reino actual.

No se recomienda enviar información de autenticación a un reino desconocido. De este modo se proporciona una forma de especificar que los reinos alternativos son de confianza. Para acceder al panel de autenticación de salida CSIv2, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En Seguridad RMI/IIOP, pulse Autenticación de salida CSIv2.
com.ibm.CSI.disablePropagationCallerList

Esta propiedad inhabilita completamente la lista de llamada y no permite modificar a la lista de llamada. Esta propiedad impide la creación de múltiples sesiones.

Esta propiedad inhabilita completamente la adición de una lista de llamada o de host en la señal de propagación. Establecer esta propiedad puede resultar beneficioso cuando la lista de llamada o de host de la señal de propagación no es necesaria en el entorno.
Nota: Si esta propiedad se establece en true además de com.ibm.CSI.propagateFirstCallerOnly, com.ibm.CSI.disablePropagationCallerList tiene preferencia.
Valor predeterminado false
com.ibm.CSI.propagateFirstCallerOnly

Esta propiedad no permitirá a la lista de llamada modificar y, por tanto, impide la creación de múltiples entradas de sesión. Esta propiedad concretamente limita la lista de llamada sólo al primer llamador.

Esta propiedad anota el primer llamador en la señal de propagación que está en la hebra cuando se habilita la propagación del atributo de seguridad. Si no se establece esta propiedad, todos los conmutadores del llamador se anotan, lo que afecta al rendimiento. Generalmente, sólo tiene interés el primer llamador.
Nota: Si esta propiedad se establece en true además de com.ibm.CSI.disablePropagationCallerList, com.ibm.CSI.disablePropagationCallerList tiene preferencia.
Valor predeterminado false
com.ibm.security.useFIPS

Especifica que se están utilizando algoritmos FIPS (Federal Information Processing Standard). El servidor de aplicaciones utiliza el proveedor criptográfico IBMJCEFIPS en lugar del proveedor criptográfico IBMJCE.

Valor predeterminado false
com.ibm.websphere.security.krb.canonical_host

Esta propiedad especifica si (true) WebSphere Application Server utiliza o no (false) la forma canónica del nombre de host URL/HTTP al autenticar un cliente.

Si esta propiedad se establece en “false”, un ticket Kerberos puede contener un nombre de host distinto del de la cabecera de nombre de host HTTP. Puede producirse el siguiente error:
CWSPN0011E: Se ha encontrado una señal SPNEGO no válida al autenticar una HttpServletRequest
Puede evitar el mensaje de error estableciendo esta propiedad en “true” y permitiendo que WebSphere Application Server realice la autenticación utilizando la forma canónica del nombre de host URL/HTTP.
Valor predeterminado false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

En este release, los datos reales de la señal LTPA no están disponibles en una llamada de WSCredential.getCredentialToken() cuando la llamada se realiza desde un bean asíncrono. Para una configuración existente, puede añadir la propiedad personalizada com.ibm.ws.security.createTokenSubjectForAsynchLogin para permitir que LTPAToken se avance hasta los beans asíncronos. Esta propiedad permite a los portlets realizar correctamente el envío de señales LTPA.

Utilizando la consola administrativa, cree esta propiedad personalizada como se indica a continuación:
  1. Pulse Seguridad > Seguridad global.
  2. En Propiedades adicionales, pulse Propiedades personalizadas.
  3. Pulse Nuevo.
  4. En el campo Nombre, escriba com.ibm.ws.security.createTokenSubjectForAsynchLogin
    Importante: Este nombre de propiedad personalizada es sensible a las mayúsculas y minúsculas.
  5. En el campo Valor, escriba true
  6. Pulse Aplicar y Guardar, a continuación reinicie WebSphere Application Server.
Nota: Esta propiedad personalizada sólo es aplicable a las condiciones del sistema en las que el Servidor A efectúa llamadas EJB desde beans asíncronos al Servidor B. Esta propiedad no es aplicable a situaciones de inicio de sesión JAAS.
Valor predeterminado no se aplica
com.ibm.ws.security.defaultLoginConfig

Esta propiedad es la configuración de inicio de sesión JAAS utilizada para los inicios de sesión que no corresponden a las categorías de configuración de inicio de sesión WEB_INBOUND, RMI_OUTBOUND o RMI_INBOUND.

Los protocolos y la autenticación interna que no tienen puntos de conexión JAAS específicos llaman a la configuración de inicio de sesión del sistema referida en la configuración com.ibm.ws.security.defaultLoginConfig.

Valor predeterminado system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Esta propiedad determina si se envía las cookies LtpaToken2 y LtpaToken en la respuesta a una solicitud web (interoperativa).

Cuando este valor de propiedad es falso, el servidor de aplicaciones sólo envía la nueva cookie LtpaToken2 que es más fuerte, pero no interoperativa con algunos otros productos y releases de WebSphere Application Server anteriores a la Versión 5.1.1. En la mayoría de los casos, la antigua cookie LtpaToken no se necesita y puede establecer esta propiedad en false.

Valor predeterminado true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Esta propiedad determina el comportamiento de un inicio de sesión LtpaToken2 único.

Si la señal contiene una clave de memoria caché personalizada y no se puede encontrar el sujeto personalizado, se utiliza la señal para iniciar sesión directamente puesto que es necesario volver a reunir la información personalizada si esta propiedad se establece en true. También se produce un desafío para que el usuario deba volver a iniciar sesión. Cuando el valor de esta propiedad se establece en false y no se encuentra el sujeto personalizado, LtpaToken2 se utiliza para iniciar sesión y reunir todos los atributos del registro. Sin embargo, es posible que la señal no obtenga ninguno de los atributos especiales que esperan las aplicaciones en sentido descendente.

Valor predeterminado true
com.ibm.ws.security.webInboundLoginConfig

Esta propiedad es la configuración de inicio de sesión JAAS que se utiliza para solicitudes web que se reciben de entrada.

Si conoce la configuración de inicio de sesión, puede conectar un módulo de inicio de sesión personalizado que puede manejar casos específicos para los inicios de sesión de web.

Valor predeterminado system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

Esta propiedad se utiliza para habilitar un servidor para utilizar la identidad de usuario tarea iniciada z/OS como identidad del servidor al invocar los métodos transaccionales.

Esta propiedad se utiliza para habilitar un servidor para que utilice la identidad del usuario para la tarea iniciada z/OS como identidad del servidor al invocar los métodos, como commit() y prepare(), que necesitan la identidad del servidor. Este comportamiento se produce independientemente del valor de la identidad del servidor para dicho servidor.

Por ejemplo, un servidor se puede configurar para utilizar la identidad automáticamente generada del servidor, que no es la identidad real almacenada en un repositorio de usuario. Además, es posible que este servidor necesite comunicarse con CICS 3.2, y CICS 3.2 necesita el uso de identidades SAF. Si com.ibm.ws.security.zOS.useSAFidForTransaction se establece en true, el servidor utiliza una identidad SAF para comunicarse con CICS, en lugar de utilizar la identidad generada automáticamente.

Valor predeterminado false
com.ibm.ws.security.webInboundPropagationEnabled

Esta propiedad determina si una cookie LtpaToken2 recibida debe buscar los atributos propagados de forma local antes de buscar en el servidor de inicio de sesión original que se especifica en la señal. Una vez que se reciben atributos propagados, el sujeto se regenera y los atributos personalizados se conservan.

Puede configurar el DRS (Data Replication Service) para que envíe los atributos propagados a los servidores frontales de forma que una búsqueda dynacache local pueda encontrar los atributos propagados. De lo contrario, una solicitud MBean se envía al servidor de inicio de sesión original para recuperar estos atributos.

Valor predeterminado true
com.ibm.wsspi.security.ltpa.tokenFactory

Esta propiedad especifica las fábricas de señales LTPA (Lightweight Third Party Authentication) que pueden utilizarse para validar las señales LTPA.

La validación se produce en el orden en que se especifican las fábricas de señales porque las señales LTPA no tienen identificadores de objetos (OID) que especifiquen el tipo de señal. El servidor de aplicaciones valida las señales utilizando cada fábrica de señales hasta que la validación es satisfactoria. El orden especificado para esta propiedad es el orden más probable de las señales recibidas. Especifique varias fábricas de señales separándolas mediante una barra vertical (|) sin espacios delante o después de la barra vertical.

Valor predeterminado com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Esta propiedad especifica la implementación utilizada para una señal de autorización en la infraestructura de propagación de atributos. La propiedad proporciona una implementación de señales LTPA antigua para utilizarla como señal de autenticación.

Valor predeterminado com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Esta propiedad especifica la implementación utilizada para una señal de autorización. Esta fábrica de señales codifica la información de autorización.

Valor predeterminado com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Esta propiedad especifica la implementación utilizada para una señal de propagación. Esta fábrica de señales codifica la información de señal de propagación.

La señal de propagación se encuentra en la hebra de ejecución y no está asociada con ningún sujeto de usuario específico. La señal sigue la invocación en sentido descendente a donde conduzca el proceso.

Valor predeterminado com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Esta propiedad especifica la implementación que se utiliza para una señal SSO (Single Sign-on - Inicio de sesión único). Esta implementación es la cookie que se establece cuando se habilita la propagación con independencia del estado de la propiedad com.ibm.ws.security.ssoInteropModeEnabled.

De manera predeterminada, esta implementación es la cookie LtpaToken2.

Valor predeterminado com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Esta propiedad ya no se utiliza. En su lugar, debe utilizar la configuración de inicio de sesión WEB_INBOUND.

Efectúe los pasos siguientes para modificar la configuración de inicio de sesión WEB_INBOUND:
  1. Pulse Seguridad > Seguridad global.
  2. En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema.
Valor predeterminado true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Esta propiedad define la configuración de inicio de sesión JAAS del sistema que se utiliza para realizar la correlación de principales específica de la aplicación.

Valor predeterminado Ninguno
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Esta propiedad, cuando se establece en true, habilita la función de correlación de principales específicos de la aplicación.

Valor predeterminado false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Esta propiedad, cuando se establece en true, habilita el asunto de interlocutor original incluido en el objeto WSSubjectWrapper que se va a restaurar.

Valor predeterminado false
security.useDefaultPolicyWhenJ2SDisabled

El método NullDynamicPolicy.getPermissions ofrece una opción para delegar una clase de política predeterminada y construir un objeto Permisos cuando la seguridad personalizada se establece en true. Cuando esta propiedad se establece en false, se devuelve un objeto Permisos vacío.

Efectúe los pasos siguientes para establecer esta propiedad:
  1. Inicie la sesión en la consola administrativa.
  2. Pulse Seguridad > Proteger la administración, las aplicaciones y la infraestructura > Propiedades personalizadas.
  3. Pulse Nuevo y añada los siguientes valores:
    Campo Nombre
    security.useDefaultPolicyWhenJ2SDisabled
    Campo Valor
    true
  4. Pulse Aceptar y, a continuación, Guardar
Valor predeterminado false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

Esta propiedad se utiliza cuando el mecanismo de autenticación activo es Kerberos y el servidor se está ejecutando en la plataforma z/OS.

Si el KDC admite tickets de servicio de Kerberos de larga duración, se recomienda establecer el valor de la propiedad en true. Si el valor es false, la autenticación se realiza en la región de control y en la región de servicio, dado que es posible que el ticket de servicio de Kerberos caduque en el tiempo que lleva realizar el proceso de una región a otra. Sin embargo, si los tickets de Kerberos son de larga duración, no se necesita un procesamiento adicional. Si este valor se establece en true, la autenticación sólo se producirá en la región de servicio, con lo que el rendimiento mejorará.

com.ibm.websphere.lookupRegistryOnProcess

Esta propiedad se puede establecer cuando las búsquedas en el registro de reino se realicen mediante un MBean en un servidor remoto si el reino es seguridad LocalOS.

Si un dominio de seguridad contiene un servidor que no se está ejecutando en una máquina dmgr y el dominio de seguridad utiliza la seguridad LocalOS, las búsquedas de usuario suelen devolver los usuarios de la máquina dmgr.

Si la propiedad está establecida, se invoca MBean en el servidor remoto y se devuelven los usuarios de las máquinas del servidor.




Los enlaces marcados (en línea) requieren acceso a Internet.

Tareas relacionadas
Referencia relacionada


Nombre de fichero: usec_seccustomprop.html