Пользовательские свойства защиты

На этой странице описаны предопределённые пользовательские параметры, связанные с защитой.

Для просмотра этой страницы административной консоли выберите Защита > Глобальная защита > Пользовательские свойства. Нажмите Создать для добавления нового параметра и связанного с ним значения.

com.ibm.CSI.rmiInboundLoginConfig

Конфигурация сеанса JAAS (Служба идентификации Java), используемая для входящих запросов удалённого вызова методов (RMI).

Зная можно сеанса вы можете подключить пользовательский модуль сеанса, в котором предусмотрены особенные ситуации при идентификации RMI.

Значение по умолчанию system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Конфигурация сеанса JAAS, используемая для исходящих запросов RMI.

Этот параметр подготавливает распространяемые атрибуты в посылаемом целевому серверу субъекте. Однако для выполнения сопоставления в исходящем запросе можно использовать пользовательский модуль сеанса.

Значение по умолчанию system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Посылать одноразовые разрешения, полученные в текущей области, всем областям, указанным в поле Целевые доверенные области. Это поле доступно на панели Исходящая идентификация CSIv2. Данный параметр позволяет указанным областям выполнять входящее сопоставление данных из текущей области.

Отправка сведений об идентификации неизвестным областям не рекомендуется. Поэтому доступно указание альтернативных областей. Для открытия панели Исходящая идентификация CSIv2 выполните следующие действия:
  1. Выберите Защита > Глобальная защита.
  2. В разделе Защита RMI/IIOP выберите Исходящая идентификация CSIv2.
com.ibm.CSI.disablePropagationCallerList

Это свойство полностью выключает список инициаторов и не позволяет его изменять. Это свойство предотвращает создание нескольких сеансов.

Это свойство полностью выключает возможность добавления списка инициаторов или списка хостов в маркер распространения. Назначение этого свойства может быть полезно в тех случаях, когда в среде не требуется список инициаторов или список хостов.
Прим.: Если значение true задано как этому свойству, так и свойству com.ibm.CSI.propagateFirstCallerOnly, приоритет имеет свойство com.ibm.CSI.disablePropagationCallerList.
Значение по умолчанию false
com.ibm.CSI.propagateFirstCallerOnly

Это свойство не позволяет изменять список инициаторов, тем самым предотвращая создание записей с несколькими сеансами. Данное свойство ограничивает список инициатора только первым инициатором.

Это свойство создает запись первого инициатора в маркере распространения, который остается в нити, если включено распространение атрибутов защиты. Если это свойство не задано, в протокол вносятся все инициаторы, что снижает производительность. Обычно интерес представляет только первый инициатор.
Прим.: Если значение true задано как этому свойству, так и свойству com.ibm.CSI.disablePropagationCallerList, приоритет имеет свойство com.ibm.CSI.disablePropagationCallerList.
Значение по умолчанию false
com.ibm.security.useFIPS

Использовать алгоритмы Федерального стандарта обработки информации (FIPS). В сервере приложений будет использоваться провайдер шифрования IBMJCEFIPS вместо IBMJCE.

Значение по умолчанию false
com.ibm.websphere.security.krb.canonical_host

Это свойство указывает (значениями true или false), использует ли WebSphere Application Server при идентификации клиента каноническую форму имени хоста URL/HTTP.

Если это свойство принимает значение “false”, паспорт Kerberos может содержать имя хоста, не совпадающее с заголовочным именем хоста HTTP. Может возникнуть следующая ошибка: 
CWSPN0011E: Во время идентификации
HttpServletRequest обнаружен недопустимый ключ SPNEGO.
Ошибки можно избежать, указав для данного свойства значение “true” и разрешив WebSphere Application Server выполнять идентификацию с помощью канонической формы имени хоста URL/HTTP.
Значение по умолчанию false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

В данном выпуске действительные данные ключа LTPA недоступны для метода WSCredential.getCredentialToken() при вызове из асинхронного объекта. Для существующей конфигурации можно добавить пользовательское свойство com.ibm.ws.security.createTokenSubjectForAsynchLogin, чтобы разрешить передачу LTPAToken в асинхронные объекты. Это свойство позволяет портлетам успешно выполнять пересылку ключа LTPA.

С помощью административной консоли данное пользовательское свойство можно создать следующим образом:
  1. Выберите Защита > Глобальная защита.
  2. В разделе дополнительных свойств выберите Пользовательские свойства.
  3. Нажмите Создать.
  4. В поле Имя введите com.ibm.ws.security.createTokenSubjectForAsynchLogin.
    Важное замечание: В имени свойства учитывается регистр символов.
  5. В поле Значение введите true.
  6. Нажмите Применить и Сохранить, затем перезапустите WebSphere Application Server.
Прим.: Это пользовательское свойство применимо только в таких системных условиях, когда сервер A выполняет вызовы EJB из асинхронных объектов на сервер B. Это свойство неприменимо для сеансов JAAS.
Значение по умолчанию Неприменимо
com.ibm.ws.security.defaultLoginConfig

Конфигурация сеанса JAAS, используемая для сеансов, не входящих ни в одну из категорий WEB_INBOUND, RMI_OUTBOUND и RMI_INBOUND.

Для внутренней идентификации и протоколов, не имеющих специальных точек подключения JAAS, используется конфигурация сеанса системы, указанная в com.ibm.ws.security.defaultLoginConfig.

Значение по умолчанию system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Посылать ли cookie ключей LtpaToken2 и LtpaToken в ответ на Web-запрос (для совместимости).

Если равно false, сервер приложений посылает только новый cookie ключа LtpaToken2, являющийся лучшим, не неподдерживаемым некоторыми другими продуктами и версиями WebSphere Application Server до 5.1.1. В большинстве случаев устаревший LtpaToken не требуется, поэтому этот параметр можно установить в false.

Значение по умолчанию true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Поведение ключа LtpaToken2 одиночного входа.

Если в ключ идентификации помещается пользовательский ключ кэша, а пользовательский Subject найти не удается, ключ идентификации используется для непосредственного входа в систему, поскольку в случае указания для этого свойства значения true пользовательская информация должна быть собрана заново. Пользователю также предлагается войти в систему заново. Если равно false и пользовательский объект не найден, для входа в систему и сбора атрибутов реестра используется LtpaToken2. Однако ключ может не получить некоторые атрибуты, ожидаемые подчинённым сервером.

Значение по умолчанию true
com.ibm.ws.security.webInboundLoginConfig

Конфигурация сеанса JAAS, используемая для входящих Web-запросов.

Зная конфигурацию сеанса вы можете подключить пользовательский модуль сеанса, в котором предусмотрены особенные ситуации при Web-идентификации.

Значение по умолчанию system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

Это свойство используется при вызове методов транзакции для разрешения серверу использовать в качестве идентификации сервера идентификацию пользователя для задачи, запущенной в z/OS.

Это свойство используется при вызове методов транзакции, требующих идентификации сервера, таких как commit() и prepare(), для разрешения серверу использовать в качестве идентификации сервера идентификацию пользователя для задачи, запущенной в z/OS. Такое поведение имеет место независимо от параметров идентификации сервера, указанных для данного сервера.

Например, можно настроить сервер так, чтобы использовать автоматически созданный идентификатор сервера, не являющийся действительным идентификатором, сохраненным в хранилище пользователей. Более того, такому серверу может потребоваться связь с CICS 3.2, а для CICS 3.2 требуется использование идентификаторов SAF. Если для свойства com.ibm.ws.security.zOS.useSAFidForTransaction указано значение true, то для связи с CICS сервер использует идентификатор SAF, а не автоматически созданный идентификатор.

Значение по умолчанию false
com.ibm.ws.security.webInboundPropagationEnabled

Искать ли при получении cookie ключа LtpaToken2 распространяемые атрибуты локально перед тем, как искать их на исходном сервере, указанном в ключе. после получения распространяемых атрибутов субъект генерируется заново и пользовательские атрибуты сохраняются.

Служба репликации данных (DRS) может передавать распространяемые атрибуты внешним серверам, так чтобы распространяемые атрибуты находились при локальном поиске в динамическом кэше. В противном случае запрос MBean посылается серверу, на котором выполнялась идентификация.

Значение по умолчанию true
com.ibm.wsspi.security.ltpa.tokenFactory

Фабрики ключей LTPA, предназначенные для проверки ключей LTPA.

Проверка выполняется в порядке, в котором указаны фабрики, т.к. в ключах LTPA нет идентификаторов объекта (OID), определяющих тип ключа. Сервер приложений последовательно проверяет ключ с помощью всех фабрик до первой успешной проверки. Порядок в этом параметре обычно соответствует порядку приёма ключей. Для разделения фабрик используется символ конвейера (|) без пробелов перед ним или после.

Значение по умолчанию com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Реализация, используемая для ключа идентификации в инфраструктуре распространения атрибутов. Этот параметр предоставляет устаревшую реализацию ключей LTPA для использования в качестве ключа идентификации.

Значение по умолчанию com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Реализация, используемая для ключа проверки прав доступа в инфраструктуре распространения атрибутов. Эта фабрика кодирует информацию о правах доступа.

Значение по умолчанию com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Реализация, используемая для ключа распространения в инфраструктуре распространения атрибутов. Эта фабрика кодирует информацию о распространении.

Ключ распространения входит в нить выполнения и не связан с какими-либо отдельными субъектами. Этот ключ следует за вызовом.

Значение по умолчанию com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Реализация, используемая для ключа одиночного входа (SSO). Она представляет собой cookie, сохраняемый при включенном распространении атрибутов независимо от параметра com.ibm.ws.security.ssoInteropModeEnabled.

По умолчанию эта опция реализация - cookie ключа LtpaToken2.

Значение по умолчанию com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Этот параметр устарел. Используйте вместо него конфигурацию сеанса WEB_INBOUND.

Выполните следующие действия для настройки конфигурации сеанса WEB_INBOUND:
  1. Выберите Защита > Глобальная защита.
  2. В разделе Служба идентификации Java выберите Сеансы системы.
Значение по умолчанию true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Свойство определяет конфигурацию сеанса системы JAAS, используемую для выполнения специфическое для приложения преобразование субъекта.

Значение по умолчанию Нет
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Если это свойство установлено в значение true, то включен режим возможности специфического для приложения преобразования субъекта.

Значение по умолчанию false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Если это свойство установлено в значение в true, то разрешено восстановление встроенного в объект WSSubjectWrapper субъекта исходного инициатора.

Значение по умолчанию false
security.useDefaultPolicyWhenJ2SDisabled

Метод NullDynamicPolicy.getPermissions дает возможность делегировать класс стратегии по умолчанию для создания объекта Permissions, если для данного свойства пользовательской защиты указано значение true. Если для этого свойства указано значение false, то возвращается пустой объект Permissions.

Для того чтобы задать значение данному свойству, выполните следующие действия:
  1. Войдите в административную консоль.
  2. Выберите Защита > Администрирование защиты, приложения и инфраструктура > Пользовательские свойства.
  3. Нажмите кнопку Создать и добавьте следующие значения:
    Поле Имя
    security.useDefaultPolicyWhenJ2SDisabled
    Поле Значение
    true
  4. Нажмите OK, затем Сохранить.
Значение по умолчанию false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

Это свойство используется в случае, когда действующим механизмом идентификации является Kerberos, а сервер запущен на платформе z/OS.

Если ваш KDC выдает долгосрочные служебные паспорта Kerberos, рекомендуется указать для этого свойства значение true. Если указано значение false, идентификация выполняется как в управляющей, так и в подчиненной областях, поскольку служебный паспорт Kerberos может оказаться просроченным в момент выполнения перехода из одной области в другую. Но если паспорта Kerberos являются долгосрочными, то эти дополнительные меры не требуются. Если это свойство имеет значение true, идентификация выполняется только в подчиненной области, что повышает производительность.

com.ibm.websphere.lookupRegistryOnProcess

Этому свойству можно задать значение, когда поиск в реестре области выполняется посредством объекта MBean на удаленном сервере, если для области задана защита LocalOS.

Если в домене защиты имеется сервер, запущенный не в системе dmgr, а домен защиты использует защиту LocalOS, то обычно в результате поисков пользователей возвращаются пользователи в системе dmgr.

Если свойство задано, то вызывается объект MBean на удаленном сервере и возвращаются пользователи, имеющиеся в системах этого сервера.



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной

Имя файла: usec_seccustomprop.html