セキュリティー・カスタム・プロパティー

セキュリティーに関連する定義済みカスタム・プロパティーを理解するためには、 このページを使用します。

この管理コンソール・ページを表示するには、「セキュリティー」>「グローバル・セキュリティー」 >「カスタム・プロパティー」をクリックします。「新規」をクリックして、 新規カスタム・プロパティーおよびそれに関連する値を追加できます。

com.ibm.CSI.rmiInboundLoginConfig

このプロパティーでは、インバウンド受信したリモート・メソッド呼び出し (RMI) 要求に使用される Java™ Authentication and Authorization Service (JAAS) ログイン構成を指定します。

ログイン構成が分かると、RMI ログインの固有の設定を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

デフォルト system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

このプロパティーでは、アウトバウンド送信された RMI 要求に使用される JAAS ログイン構成を指定します。

このプロパティーは、主に、サブジェクト内の伝搬された属性がターゲット・サーバーに送信されるように準備します。 ただし、アウトバウンドのマッピングを実行するために、 カスタム・ログイン・モジュールをプラグインすることができます。

デフォルト system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

このプロパティーは、現在のレルムで認証された信任状を「Trusted target realms」フィールドで指定されたレルムに送信できるようにします。 「Trusted target realms」フィールドは、「CSIv2 outbound authentication」パネルで使用可能です。 このプロパティーは、これらのレルムが現在のレルムからのデータのインバウンド・マッピングを実行できるようにします。

認証情報を不明のレルムに送信することはお勧めしません。このようにすると、代替のレルムが信頼されていることが指定されます。 「CSIv2 outbound authentication」パネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「RMI/IIOP セキュリティー」の下の「CSIv2 アウトバウンド認証」をクリックします。
com.ibm.CSI.disablePropagationCallerList

このプロパティーは、呼び出し元のリストを完全に使用不可にし、呼び出し元リストの変更を許可しません。 このプロパティーによって、複数のセッションの作成ができなくなります。

このプロパティーは、呼び出し元リストまたはホスト・リストの伝搬トークンへの追加を完全に使用不可にします。 このプロパティーの設定は、伝搬トークン内の呼び出し元リストまたはホスト・リストが使用環境において 必要とされない場合にのみ役立ちます。
注: このプロパティーが com.ibm.CSI.propagateFirstCallerOnly と同じ 「true」に設定されている場合、 com.ibm.CSI.disablePropagationCallerList が優先されます。
デフォルト false
com.ibm.CSI.propagateFirstCallerOnly

このプロパティーは呼び出し元リストの変更を許可しないため、 複数のセッション・エントリーの作成ができなくなります。 このプロパティーは、特に、呼び出し元リストを最初の呼び出し元のみに制限します。

このプロパティーは、セキュリティー属性の伝搬が使用可能な場合に、 スレッド上にある伝搬トークン内の最初の呼び出し元をログに記録します。 このプロパティーを設定しない場合、すべての呼び出し元のスイッチがログに記録され、パフォーマンスに影響を与えます。 通常、最初の呼び出し元のみが対象となります。
注: このプロパティーが com.ibm.CSI.disablePropagationCallerList と同じ「true」に設定されている場合、 com.ibm.CSI.disablePropagationCallerList が優先されます。
デフォルト false
com.ibm.security.useFIPS

連邦情報処理標準 (FIPS) アルゴリズムを使用することを指定します。 アプリケーション・サーバーは、IBMJCE 暗号プロバイダーではなく IBMJCEFIPS 暗号プロバイダーを使用します。

デフォルト false
com.ibm.websphere.security.krb.canonical_host

このプロパティーは、WebSphere® Application Server がクライアントの認証で正規形式の URL/HTTP ホスト名を使用するか (true)、しないか (false) を指定します。

このプロパティーが「false」に設定された場合、Kerberos チケットには、HTTP ホスト名ヘッダーとは異なるホスト名が含まれる場合があります。 以下のようなエラーが発生する可能性があります。
CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
エラー・メッセージを回避するには、このプロパティーを「true」に設定することにより、WebSphere Application Server が正規形式の URL/HTTP ホスト名を使用して認証するようにします。
デフォルト false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

このリリースでは、非同期 Bean から呼び出されると、実際の LTPA トークン・データを WSCredential.getCredentialToken() 呼び出しから使用できません。 既存の構成については、カスタム・プロパティー com.ibm.ws.security.createTokenSubjectForAsynchLogin を追加して、LTPAToken を非同期 Bean へ転送することができます。このプロパティーにより、 ポートレットは LTPA トークンの転送を正常に実行できます。

管理コンソールを使用して、このカスタム・プロパティーを次のように作成します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
  3. 新規」をクリックします。
  4. 「名前」フィールドに、com.ibm.ws.security.createTokenSubjectForAsynchLogin と入力します。
    重要: このカスタム・プロパティーでは、大/小文字を区別します。
  5. 「値」フィールドに true と入力します。
  6. 適用」および「保存」をクリックし、WebSphere Application Server を再始動します。
注: このカスタム・プロパティーは、サーバー A が、 非同期 Bean からサーバー B に EJB 呼び出しを行うシステム条件にのみ適用されます。 このプロパティーは、JAAS ログイン状況には適用されません。
デフォルト 該当なし
com.ibm.ws.security.defaultLoginConfig

このプロパティーは WEB_INBOUND、RMI_OUTBOUND、または RMI_INBOUND ログイン構成カテゴリーに属さないログインに使用する JAAS ログイン構成です。

特定の JAAS プラグ・ポイントのない内部認証およびプロトコルは、com.ibm.ws.security.defaultLoginConfig 構成によって参照されるシステム・ログイン構成を呼び出します。

デフォルト system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

このプロパティーは、Web 要求への応答で LtpaToken2 および LtpaToken Cookies を送信するかどうかを決定します (相互操作可能)。

このプロパティー値が false の場合、 アプリケーション・サーバーはより強力なほうの新規 LtpaToken2 Cookie を送信するだけであり、 他のなんらかの製品およびバージョン 5.1.1 より古いリリースのアプリケーション・サーバーと相互操作を行うことはできません。 ほとんどの場合、古い LtpaToken Cookie は必要ないため、このプロパティーを false に設定できます。

デフォルト true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

このプロパティーは、シングル・サインオン LtpaToken2 ログインの振る舞いを決定します。

トークンにカスタム・キャッシュ・キーが含まれており、 カスタム・サブジェクトが見つからない場合、このプロパティー値が true に設定されていると カスタム情報を再度収集する必要があるため、トークンが直接ログインに使用されます。 また、信用情報の入力が求められ、ユーザーは再度ログインするよう要求されます。 このプロパティー値が false に設定され、 カスタム・サブジェクトが見つからない場合、LtpaToken2 がログインおよびすべてのレジストリー属性の収集に使用されます。ただし、トークンは、ダウンストリームのアプリケーションが期待する特別な属性を取得しないことがあります。

デフォルト true
com.ibm.ws.security.webInboundLoginConfig

このプロパティーは、インバウンド受信した Web 要求に使用する JAAS ログイン構成です。

ログイン構成が分かると、Web ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

デフォルト system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

このプロパティーは、トランザクション・メソッドを呼び出す際のサーバー ID として、サーバーが z/OS 開始タスクのユーザー ID を使用できるようにする場合に使用します。

このプロパティーは、サーバー ID を要求するトランザクション・メソッド (commit() や prepare() など) を呼び出す際のサーバー ID として、サーバーが z/OS 開始タスクのユーザー ID を使用できるようにする場合に使用します。 この動作は、そのサーバーのサーバー ID の設定値とは無関係に実行されます。

例えば、ユーザー・リポジトリーに格納されている実際の ID ではない、自動生成されたサーバー ID を使用するようにサーバーを構成することができます。 また、このサーバーでは CICS 3.2 との通信が必要になる場合があります。CICS 3.2 では SAF の ID を使用する必要があります。 com.ibm.ws.security.zOS.useSAFidForTransactiontrue に設定した場合、サーバーは CICS と通信する際に、自動生成された ID ではなく SAF の ID を使用します。

デフォルト false
com.ibm.ws.security.webInboundPropagationEnabled

このプロパティーは、受信した LtpaToken2 Cookie が、トークン内で指定された元のログイン・サーバーを検索する前に、伝搬された属性をローカルに検索するかどうかを決定します。 伝搬された属性が受信されると、サブジェクトが再生成され、カスタム属性が保存されます。

データ複製サービス (DRS) を構成して、 伝搬された属性をフロントエンド・サーバーに送信し、 ローカル dynacache 検索に、 伝搬された属性を検索させることができます。 そのようにしない場合、MBean 要求が元のログイン・サーバーに送信され、 これらの属性を取得します。

デフォルト true
com.ibm.wsspi.security.ltpa.tokenFactory

このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンの検証に使用できる LTPA トークン・ファクトリーを指定します。

LTPA トークンにはトークン・タイプを指定するオブジェクト ID (OID) がないため、妥当性検査は、 トークン・ファクトリーが指定された順序で行われます。 アプリケーション・サーバーは、 妥当性検査が成功するまで各トークン・ファクトリーを使用してトークンを検証します。 このプロパティーに指定された順序として最も可能性が高いのは、受信したトークンの順序です。 複数のトークン・ファクトリーを指定する場合は、 パイプ (|) で区切ります。 パイプの前後には、スペースを入れないでください。

デフォルト com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

このプロパティーは、属性伝搬フレームワーク内で認証トークンに使用される実装を指定します。 このプロパティーは、 認証トークンとして使用するための、古い LTPA トークンの実装を提供します。

デフォルト com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

このプロパティーは、許可トークンに使用される実装を指定します。 このトークン・ファクトリーは、許可情報をエンコードします。

デフォルト com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

このプロパティーは、伝搬トークンに使用される実装を指定します。 このトークン・ファクトリーは、伝搬トークン情報をエンコードします。

伝搬トークンは実行のスレッド上にあり、特定のユーザー・サブジェクトとは関連付けられていません。 トークンは、 プロセスが先導する呼び出しダウンストリームに従います。

デフォルト com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

このプロパティーは、シングル・サインオン (SSO) トークンに使用される実装を指定します。 これは、com.ibm.ws.security.ssoInteropModeEnabled プロパティーの状態に関係なく、伝搬が使用可能の場合に設定される Cookie です。

デフォルトでは、この実装は LtpaToken2 Cookie です。

デフォルト com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

このプロパティーは、現在使用されていません。代わりに、WEB_INBOUND ログイン構成を使用してください。

以下のステップを実行して、WEB_INBOUND ログイン構成を変更します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「Java Authentication and Authorization Service」の下の「システム・ログイン」をクリックします。
デフォルト true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

このプロパティーは、アプリケーション固有のプリンシパル・マッピングを実行するために使用する、 システムの JAAS ログイン構成を定義します。

デフォルト なし
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

このプロパティーは、true に設定された場合、 アプリケーション固有のプリンシパル・マッピング機能を使用可能にします。

デフォルト false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

このプロパティーは、true に設定された場合、 WSSubjectWrapper オブジェクトに組み込まれた元の呼び出し元サブジェクトを復元できるようにします。

デフォルト false
security.useDefaultPolicyWhenJ2SDisabled

NullDynamicPolicy.getPermissions メソッドには、このカスタム・セキュリティーが true に設定されている場合に、デフォルトのポリシー・クラスを代行者に指定して許可オブジェクトを作成するオプションが用意されています。 このプロパティーを false に設定すると、空の許可オブジェクトが返されます。

このプロパティーを設定するには、以下の手順を実行します。
  1. 管理コンソールにログインします。
  2. セキュリティー」>「Secure administration, applications, and infrastructure」>「カスタム・プロパティー」をクリックします。
  3. 新規」をクリックして、以下の値を追加します。
    「名前」フィールド
    security.useDefaultPolicyWhenJ2SDisabled
    「値」フィールド
    true
  4. OK」をクリックしてから「保管」をクリックします。
デフォルト false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

このプロパティーは、アクティブな認証メカニズムが Kerberos で、かつ、サーバーが z/OS プラットフォーム上で稼働している場合に使用されます。

KDC が期間の長い Kerberos サービス・チケットを発行する場合は、このプロパティーの値を true に設定することをお勧めします。 この値が false の場合、一方の領域からもう一方の領域へと処理を行う間に Kerberos サービス・チケットの有効期限が切れる可能性があるため、制御領域とサーバント領域の両方で認証が行われます。 しかし、Kerberos チケットの期間が長い場合は、この余分な処理が不要になります。 この値を true に設定すると、サーバント領域でのみ認証が行われるようになり、パフォーマンスが向上します。

com.ibm.websphere.lookupRegistryOnProcess

このプロパティーは、レルムが LocalOS セキュリティーである場合に、レルムのレジストリー検索をリモート・サーバー上の MBean によって実行する場合に設定できます。

セキュリティー・ドメインに、dmgr マシン上で稼働していないサーバーが含まれていて、かつ、そのセキュリティー・ドメインが LocalOS セキュリティーを使用している場合、ユーザー検索を実行すると、通常は dmgr マシン上のユーザーが返されます。

このプロパティーを設定すると、リモート・サーバー上で MBean が起動され、サーバーの各マシン上のユーザーが返されます。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料


ファイル名: usec_seccustomprop.html