Angepasste Eigenschaften für die Sicherheit

Verwenden Sie diese Seite, um sich mit den vordefinierten angepassten Eigenschaften vertraut zu machen, die sich auf die Sicherheit beziehen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit > Angepasste Eigenschaften. Sie können auf Neu klicken, um eine neue angepasste Eigenschaft und den zugehörigen Wert hinzuzufügen.

com.ibm.CSI.rmiInboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration (Java Authentication and Authorization Service) an, die für eingehende RMI-Anforderungen (Remote Method Invocation) verwendet wird.

Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für RMI-Anmeldungen behandeln kann.

Standardeinstellung system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für abgehende RMI-Anforderungen verwendet wird.

Hauptsächlich bereitet diese Eigenschaft die weitergegebenen Attribute im Subjekt vor, das an den Zielserver gesendet wird. Für die Zuordnung abgehender Anforderungen können Sie aber auch ein eigenes Anmeldemodul einsetzen.

Standardeinstellung system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Diese Eigenschaft aktiviert Berechtigungsnachweise, die im aktuellen Realm authentifiziert sind und an jeden Realm gesendet werden sollen, der im Feld "Anerkannte Ziel-Realms" angegeben ist. Das Feld "Anerkannte Ziel-Realms" ist in der Anzeige "Abgehende Authentifizierung gemäß CSIv2" verfügbar. Die Eigenschaft ermöglicht diesen Realms, die vom aktuellen Realm eingehenden Daten zuzuordnen.

Es wird nicht empfohlen, Authentifizierungsinformationen an einen unbekannten Realm zu senden. Diese Eigenschaft bietet somit die Möglichkeit, anerkannte alternative Realms anzugeben. Führen Sie die folgenden Schritte aus, um auf die Anzeige "Abgehende Authentifizierung gemäß CSIv2" aufzurufen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2.
com.ibm.CSI.disablePropagationCallerList

Diese Eigenschaft inaktiviert die Caller-Liste vollständig und lässt Änderungen an der Caller-Liste nicht zu. Diese Eigenschaft verhindert, dass mehrere Sitzungen erstellt werden.

Diese Eigenschaft verhindert, dass ein Caller oder einer Hostliste im Weitergabetoken erstellt wird. Die Definition dieser Eigenschaft kann vorteilhaft sein, wenn der Caller bzw. die Hostliste im Weitergabetoken in der Umgebung nicht erforderlich ist.
Anmerkung: Wenn Sie diese Eigenschaft und die Eigenschaft com.ibm.CSI.propagateFirstCallerOnly auf true setzen, hat die Eigenschaft com.ibm.CSI.disablePropagationCallerList Vorrang.
Standardeinstellung false
com.ibm.CSI.propagateFirstCallerOnly

Diese Eigenschaft verhindert, dass die Caller-Liste geändert wird und damit die Erstellung mehrerer Sitzungseinträge. Diese Eigenschaft beschränkt die Caller-Liste auf den ersten Caller.

Diese Eigenschaft protokolliert den ersten Caller im Weitergabetoken, das im Thread bleibt, wenn die Weitergabe von Sicherheitsattributen aktiviert ist. Wenn Sie diese Eigenschaft nicht definieren, werden alle Caller-Wechsel protokolliert, was sich nachteilig auf die Leistung auswirkt. Gewöhnlich ist nur der erste Caller von Interesse.
Anmerkung: Wenn Sie diese Eigenschaft und die Eigenschaft com.ibm.CSI.disablePropagationCallerList auf true setzen, hat die Eigenschaft com.ibm.CSI.disablePropagationCallerList Vorrang.
Standardeinstellung false
com.ibm.security.useFIPS

Gibt an, dass FIPS-Algorithmen (Federal Information Processing Standard) verwendet werden. Der Anwendungsserver verwendet den Verschlüsselungsprovider IBMJCEFIPS anstelle des Verschlüsselungsproviders IBMJCE.

Standardeinstellung false
com.ibm.websphere.security.krb.canonical_host

Diese Eigenschaft gibt an, ob WebSphere Application Server die kanonische Form des URL/HTTP-Hostnamens für die Authentifizierung eines Clients verwendet (true) oder nicht (false).

Wenn Sie diese Eigenschaft auf "false" setzen", kann ein Kerberos-Ticket einen Hostnamen enthalten, der sich vom Header mit dem HTTP-Hostnamen unterscheidet. Es kann ein Fehler wie der folgende auftreten:
CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
Sie können eine Fehlernachricht vermeiden, indem Sie diese Eigenschaft auf "true" setzen und WebSphere Application Server die Authentifizierung unter Verwendung der kanonischen Form des URL/HTTP-Hostnamens erlauben.
Standardeinstellung false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

In diesem Release sind die tatsächlichen LTPA-Tokendaten nicht in einem Aufruf der Methode "WSCredential.getCredentialToken()" verfügbar, wenn diese Methode von einer asynchronen Bean aufgerufen wird. Für eine vorhandene Konfiguration können Sie die angepasste Eigenschaft "com.ibm.ws.security.createTokenSubjectForAsynchLogin" hinzufügen, damit das LTPA-Token an asynchrone Beans weitergeleitet wird. Diese Eigenschaft ermöglicht Portlets eine erfolgreiche Weiterleitung von LTPA-Token.

Erstellen Sie in der Administrationskonsole diese angepasste Eigenschaft wie folgt:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
  3. Klicken Sie auf Neu.
  4. Geben Sie im Feld "Name" com.ibm.ws.security.createTokenSubjectForAsynchLogin ein.
    Wichtig: Sie müssen bei der Angabe dieser angepassten Eigenschaft die Groß-/Kleinschreibung beachten.
  5. Geben Sie im Feld "Wert" true an.
  6. Klicken Sie auf Anwenden und Speichern. Starten Sie anschließend WebSphere Application Server erneut.
Anmerkung: Diese angepasste Eigenschaft gilt nur, wenn Server A EJB-Aufrufe über asynchrone Beans an Server B absetzt. Diese Eigenschaft gilt nicht für JAAS-Anmeldungen.
Standardeinstellung Nicht zutreffend
com.ibm.ws.security.defaultLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für Anmeldungen verwendet wird, die nicht unter die Anmeldekonfigurationskategorien WEB_INBOUND, RMI_OUTBOUND oder RMI_INBOUND fallen.

Interne Authentifizierung und Protokolle, die keine speziellen JAAS-Plug-Punkte haben, rufen die Systemanmeldekonfiguration auf, die mit der Eigenschaft "com.ibm.ws.security.defaultLoginConfig" angegeben ist.

Standardeinstellung system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Diese Eigenschaft bestimmt, ob LtpaToken2- und LtpaToken-Cookies als Antwort auf eine Webanforderung (interoperabel) gesendet werden.

Wenn diese Eigenschaft den Wert "false" hat, sendet der Anwendungsserver nur das neue LtpaToken2-Cookie, das stärker, aber mit einigen anderen Produkten und Application-Server-Releases vor Version 5.1.1 nicht kompatibel ist. In den meisten Fällen wird das alte LtpaToken-Cookie nicht benötigt, und Sie können diese Eigenschaft auf "false"setzen.

Standardeinstellung true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Diese Eigenschaft bestimmt das Verhalten einer SSO-LtpaToken2-Anmeldung.

Wenn das Token einen angepassten Cacheschlüssel enthält und das angepasste Subjekt nicht gefunden wird, wird das Token für eine direkte Anmeldung verwendet, da die angepassten Informationen erneut erfasst werden müssen, wenn diese Eigenschaft auf "true" gesetzt ist. Außerdem wird eine Abfrage abgesetzt, und der Benutzer muss sich erneut anmelden. Wenn diese Eigenschaft den Wert "false" hat und das angepasste Subjekt nicht gefunden wird, wird LtpaToken2 für die Anmeldung und die Erfassung aller Registry-Attribute verwendet. Das Token ist jedoch unter Umständen nicht in der Lage, spezielle Attribute abzurufen, die von Downstream-Anwendungen erwartet werden.

Standardeinstellung true
com.ibm.ws.security.webInboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für eingehende Webanforderungen verwendet wird.

Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für Webanmeldungen behandeln kann.

Standardeinstellung system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

Diese Eigenschaft wird verwendet, um einem Server die Verwendung der Benutzeridentität für die gestartete z/OS-Task als Serveridentität zu verwenden, wenn transaktionsorientierte Methoden aufgerufen werden.

Diese Eigenschaft wird verwendet, um einem Server die Verwendung der Benutzeridentität für die gestartete z/OS-Task als Serveridentität zu verwenden, wenn transaktionsorientierte Methoden, wie z. B. commit() oder prepare(), aufgerufen werden, die die Serveridentität erfordern. Dieses Verhalten gilt unabhängig von der Einstellung der Serveridentität für diesen Server.

Beispiel: Ein Server kann so konfiguriert sein, dass die automatisch generierte Serveridentität verwendet wird, die nicht die tatsächliche Identität ist, die in einem Benutzer-Repository gespeichert wird. Außerdem muss dieser Server mit CICS 3.2 kommunizieren, und CICS 3.2 erfordert die Verwendung von SAF-Identitäten. Wenn com.ibm.ws.security.zOS.useSAFidForTransaction auf true gesetzt ist, verwendet der Server eine SAF-Identität anstelle der automatisch generierten Identität, um mit CICS zu kommunizieren.

Standardeinstellung false
com.ibm.ws.security.webInboundPropagationEnabled

Diese Eigenschaft bestimmt, ob ein empfangenes LtpaToken2-Cookie lokal nach den weitergegebenen Attributen suchen soll, bevor es den ursprünglichen Anmeldeserver durchsucht, der im Token angegeben ist. Nachdem die weitergegebenen Attribute empfangen wurden, wird das Subject erneut generiert, und die angepassten Attribute werden beibehalten.

Sie können den Datenreplikationsservice (DRS) so konfigurieren, dass er die weitergegebenen Attribute an Frontend-Server sendet, so dass eine lokale Lookup-Operation im dynamischen Cache die weitergegebenen Attribute finden kann. Andernfalls wird eine MBean-Anforderung an den ursprünglichen Anmeldeserver gesendet, um diese Attribute abzurufen.

Standardeinstellung true
com.ibm.wsspi.security.ltpa.tokenFactory

Diese Eigenschaft gibt die LTPA-Token-Factorys (Lightweight Third Party Authentication) an, die für die Validierung der LTPA-Token verwendet werden können.

Die Validierung wird in der Reihenfolge durchgeführt, in der die Token-Factorys angegeben sind, weil LTPA-Token keine Objektkennungen (OID, Object Identifier) haben, die den Tokentyp angeben. Der Anwendungsserver validiert die Token nacheinander mit den Token-Factorys, bis ein positives Ergebnis erzielt wird. Die Reihenfolge, die für diese Eigenschaft festgelegt ist, ist wahrscheinlich die Reihenfolge, in der die Token empfangen wurden. Wenn Sie mehrere Token-Factorys angeben, müssen Sie sie durch ein Pipe-Zeichen (|) ohne Leerzeichen davor und danach angeben.

Standardeinstellung com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Authentifizierungstoken im Framework für Attributweitergabe verwendet wird. Die Eigenschaft ist eine alte LTPA-Tokenimplementierung, die als Authentifizierungstoken verwendet werden kann.

Standardeinstellung com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Berechtigungstoken verwendet wird. Diese Token-Factory verschlüsselt die Berechtigungsdaten.

Standardeinstellung com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Weitergabetoken verwendet wird. Diese Token-Factory verschlüsselt die Daten für das Weitergabetoken.

Das Weitergabe-Token befindet sich im Ausführungs-Thread und ist keinem speziellen Benutzer-Subject zugeordnet. Das Token folgt dem Aufruf downstream, wohin der Prozess auch führt.

Standardeinstellung com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein SSO-Token (Single Sign-On) verwendet wird. Diese Implementierung ist das Cookie, das unabhängig vom Status der Eigenschaft "com.ibm.ws.security.ssoInteropModeEnabled" gesetzt wird, wenn die Weitergabe aktiviert ist.

Standardmäßig ist diese Implementierung das LtpaToken2-Cookie.

Standardeinstellung com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Diese Eigenschaft wird nicht mehr verwendet. Verwenden Sie stattdessen die Anmeldekonfiguration WEB_INBOUND.

Führen Sie die folgenden Schritte aus, um die Anmeldekonfiguration WEB_INBOUND zu ändern:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen.
Standardeinstellung true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Diese Eigenschaft definiert die JAAS-Anmeldekonfiguration des Systems, die für die Durchführung anwendungsspezifischer Principal-Zuordnungen verwendet wird.

Standardeinstellung Ohne
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Wenn Sie diese Eigenschaft auf "true" setzen, werden die Funktionen für anwendungsspezifische Principal-Zuordnungen aktiviert.

Standardeinstellung false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Wenn Sie diese Eigenschaft auf "true" setzen, kann das in das WSSubjectWrapper-Objekt eingebettete ursprüngliche Caller-Subjekt wiederhergestellt werden.

Standardeinstellung false
security.useDefaultPolicyWhenJ2SDisabled

Die Methode "NullDynamicPolicy.getPermissions" bietet die Möglichkeit, eine Standardrichtlinienklasse zu delegieren, um ein Berechtigungsobjekt zu erstellen, wenn diese angepasste Eigenschaft auf true gesetzt ist. Wenn diese Eigenschaft auf false gesetzt ist, wird ein leeres Berechtigungsobjekt zurückgegeben.

Führen Sie die folgenden Schritte aus, um diese Eigenschaft zu definieren:
  1. Melden Sie sich an der Administrationskonsole an.
  2. Klicken Sie auf Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur > Angepasste Eigenschaften .
  3. Klicken Sie auf Neu, und fügen Sie die folgenden Werte hinzu:
    Name
    security.useDefaultPolicyWhenJ2SDisabled
    Wert
    true
  4. Klicken Sie auf OK und anschließend auf Speichern.
Standardeinstellung false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

Diese Eigenschaft wird verwendet, wenn das aktive Authentifizierungsverfahren Kerberos ist und Ihr Server auf der Plattform z/OS ausgeführt wird.

Wenn Ihr Key-Distribution-Center (KDC) Kerberos-Servicetickets mit langer Lebensdauer sendet, wird empfohlen, diese Eigenschaft auf "true" zu setzen. Setzen Sie die Eigenschaft auf "false", wird die Authentifizierung in der Steuerregion und in der Servant-Region durchgeführt, da das Kerberos-Serviceticket während der Verarbeitung von einer Region zur anderen verfallen könnte. Für Kerberos-Tickets mit langer Lebensdauer ist diese zusätzliche Verarbeitung jedoch nicht erforderlich. Wenn Sie die Eigenschaft auf "true" setzen, findet die Authentifizierung nur in der Servant-Region statt, was der Leistung dienlich ist.

com.ibm.websphere.lookupRegistryOnProcess

Diese Eigenschaft kann gesetzt werden, wenn Lookup-Operationen in der Realm-Registry über eine Managed Bean auf einem fernen Server durchgeführt werden und der Realm die Registry des lokalen Betriebssystems (LocalOS) ist.

Wenn eine Sicherheitsdomäne einen Server enthält, der nicht auf einer Deployment-Manager-Maschine ausgeführt wird, und die Sicherheitsdomäne die LocalOS-Sicherheit verwendet, geben die Benutzer-Lookup-Operationen normalerweise die Benutzer auf der Deployment-Manager-Maschine zurück.

Wenn die Eigenschaft gesetzt ist, wird eine Managed Bean auf dem fernen Server aufgerufen, und die Benutzer auf den Maschinen des Servers werden zurückgegeben.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise


Dateiname: usec_seccustomprop.html