Propriedades Customizadas de Segurança

Utilize esta página para entender as propriedades customizadas predefinidas que estão relacionadas à segurança.

Para visualizar essa página do console administrativo, clique em Segurança > Segurança Global > Propriedades Customizadas. Você pode clicar em Novo para incluir uma nova propriedade customizada e seu valor associado.

com.ibm.CSI.rmiInboundLoginConfig

Essa propriedade especifica a configuração de login JAAS (Java Authentication and Authorization Service) que é utilizada para pedidos RMI (Chamada de Método Remoto) de entrada recebidos.

Conhecendo a configuração de login, é possível efetuar plug-in em um módulo de login que pode manipular casos específicos para logins de RMI.

Padrão system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Essa propriedade especifica a configuração de login JAAS utilizada para pedidos de RMI que são enviados externamente.

Essa propriedade prepara principalmente os atributos propagados no Subject para envio para o servidor de destino. No entanto, é possível efetuar plug-in de um módulo de login customizado para executar o mapeamento de saída.

Padrão system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Essa propriedade permite que credenciais autenticadas na região atual sejam enviadas a qualquer região especificada no campo Regiões de Destino Confiáveis. O campo Regiões de Destino Confiáveis está disponível no painel Autenticação de Saída do CSIv2. Essa propriedade permite que essas regiões executem mapeamento de entrada dos dados a partir da região atual.

Não é recomendável enviar informações de autenticação para uma região desconhecida. Assim, isso fornece uma maneira de especificar que as regiões alternativas são confiáveis. Para acessar o painel Autenticação de Saída CSIv2, execute as seguintes etapas:
  1. Clique em Segurança > Segurança Global.
  2. Em Segurança de RMI/IIOP, clique em Autenticação de Saída de CSIv2.
com.ibm.CSI.disablePropagationCallerList

Essa propriedade desativa completamente a lista de responsáveis pela chamada e não permitirá que essa lista seja alterada. Essa propriedade impede a criação de várias sessões.

Essa propriedade desativa completamente a inclusão de uma lista de responsáveis pela chamada ou hosts no token de propagação. A configuração dessa propriedade pode ser um benefício quando a lista de responsáveis pela chamada ou hosts no token de propagação não é necessária no ambiente.
Nota: Se essa propriedade for configurada como true, assim como com.ibm.CSI.propagateFirstCallerOnly, o com.ibm.CSI.disablePropagationCallerList terá precedência.
Padrão falso
com.ibm.CSI.propagateFirstCallerOnly

Essa propriedade não permitirá que a lista de responsáveis pela chamada seja alterada e, portanto, impedirá a criação de várias entradas de sessão. Ela limita especificamente a lista de responsáveis pela chamada apenas ao primeiro responsável pela chamada.

Essa propriedade registra o primeiro responsável pela chamada no token de propagação que permanece no encadeamento quando a propagação do atributo de segurança está ativada. Sem configurar essa propriedade, todos os comutadores do responsável pela chamada são registrados, o que afeta o desempenho. Geralmente, apenas o primeiro responsável pela chamada é de interesse.
Nota: Se essa propriedade for configurada como true, assim como com.ibm.CSI.disablePropagationCallerList, o com.ibm.CSI.disablePropagationCallerList terá precedência.
Padrão falso
com.ibm.security.useFIPS

Especifica que algoritmos FIPS (Federal Information Processing Standard) são utilizados. O servidor de aplicativos utiliza o provedor criptográfico IBMJCEFIPS em vez do provedor criptográfico IBMJCE.

Padrão falso
com.ibm.websphere.security.krb.canonical_host

Essa propriedade especifica se é verdadeiro (true) ou falso (false) que o WebSphere Application Server utiliza o formato canônico do nome do host de URL/HTTP ao autenticar um cliente.

Se essa propriedade for configurada como “false”, um bilhete Kerberos poderá conter um nome de host que difere do cabeçalho do nome do host de HTTP. Pode ocorrer um erro, conforme a seguir:
CWSPN0011E: Um token SPNEGO inválido foi encontrado ao autenticar um HttpServletRequest
Você pode evitar uma mensagem de erro configurando essa propriedade como “true” e permitindo que o WebSphere Application Server seja autenticado utilizando o formato canônico do nome do host de URL/HTTP.
Padrão falso
com.ibm.ws.security.createTokenSubjectForAsynchLogin

Neste release, os dados reais do token LTPA não estão disponíveis a partir de uma chamada WSCredential.getCredentialToken() quando chamados a partir de um bean assíncrono. Para uma configuração existente, você pode incluir a propriedade customizada com.ibm.ws.security.createTokenSubjectForAsynchLogin para permitir que o LTPAToken seja redirecionado para beans assíncronos. Essa propriedade permite que os portlets desempenhem o redirecionamento de token LTPA com êxito.

Utilizando o console administrativo, crie essa propriedade customizada da seguinte forma:
  1. Clique em Segurança > Segurança Global.
  2. Em Propriedade Adicional, clique em Propriedades Customizadas.
  3. Clique em Novo.
  4. No campo Nome, digite com.ibm.ws.security.createTokenSubjectForAsynchLogin
    Importante: O nome dessa propriedade customizada faz distinção entre maiúsculas e minúsculas.
  5. No campo Valor, digite true
  6. Clique em Aplicar e Salvar, em seguida, reinicie o WebSphere Application Server.
Nota: Esa propriedade customizada aplica-se apenas a condições do sistema em que o Servidor A faz chamadas EJB de beans assíncronos para o Servidor B. Essa propriedade não se aplica a situações de login JAAS.
Padrão não aplicável
com.ibm.ws.security.defaultLoginConfig

Essa propriedade é a configuração de login JAAS que é utilizada para logins que não ficam sob as categorias de configuração de login WEB_INBOUND, RMI_OUTBOUND ou RMI_INBOUND.

Autenticação interna e protocolos que não têm pontos de conexão JAAS específicos chamam a configuração de login do sistema que é referida pela configuração com.ibm.ws.security.defaultLoginConfig.

Padrão system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Essa propriedade determina se cookies LtpaToken2 e LtpaToken devem ser enviados na resposta para um pedido da Web (interoperável).

Quando esse valor de propriedade for false, o servidor de aplicativos envia somente o novo cookie LtpaToken2 que é mais forte, mas não interoperável com alguns outros produtos e releases do Application Server anteriores à Versão 5.1.1. Na maioria dos casos, o antigo cookie LtpaToken não é necessário e você pode configurar essa propriedade para false.

Padrão true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Essa propriedade determina o comportamento de um login LtpaToken2 de conexão única.

Se o token contiver uma chave de cache customizado e o Subject customizado não puder ser localizado, o token será utilizado para efetuar login diretamente quando as informações customizadas precisarem ser novamente reunidas, se esse valor da propriedade for configurado como true. Uma contestação também ocorre para que o usuário precise efetuar login novamente. Quando o valor dessa propriedade é configurado para false e o Subject customizado não é localizado, LtpaToken2 é utilizado para efetuar login e reunir todos os atributos de registro. No entanto, o token pode não obter nenhum atributo especial que os aplicativos de recebimento de dados possam esperar.

Padrão true
com.ibm.ws.security.webInboundLoginConfig

Essa propriedade é a configuração de login JAAS que é utilizada para pedidos da Web que são recebidos internamente.

Conhecendo a configuração de login, é possível efetuar plug-in em um módulo de login que pode manipular casos específicos para logins da Web.

Padrão system.WEB_INBOUND
com.ibm.ws.security.webInboundPropagationEnabled

Essa propriedade determina se um cookie LtpaToken2 recebido deve procurar pelos atributos propagados localmente antes de procurar o servidor de login original especificado no token. Após os atributos propagados serem recebidos, o Subject é regenerado e os atributos customizados são preservados.

É possível configurar o DRS (Data Replication Service) para enviar os atributos propagados a servidores de front-end, de forma que uma consulta dynacache local possa localizar os atributos propagados. Caso contrário, um pedido MBean é enviado ao servidor de login original para recuperar esses atributos.

Padrão true
com.ibm.wsspi.security.ltpa.tokenFactory

Essa propriedade especifica os depósitos de informações do provedor de tokens LTPA (Lightweight Third Party Authentication) que podem ser utilizados para validar os tokens LTPA.

A validação ocorre na ordem em que os depósitos de informações do provedor de tokens são especificados, pois tokens LTPA não têm OIDs (Object Identifiers) que especificam o tipo de token. O Application Server valida os tokens utilizando cada depósito de informações do provedor de token até a validação ser bem-sucedida. A ordem especificada para essa propriedade é a ordem mais provável dos tokens recebidos. Especifique vários factories de token separando-os por uma barra vertical (|) sem espaços antes ou após a barra.

Padrão com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de autenticação na estrutura da propagação do atributo. A propriedade fornece a implementação de um token LTPA antigo para utilização como o token de autenticação.

Padrão com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de autorização. Esse depósito de informações do provedor de token codifica as informações de autorização.

Padrão com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de propagação. Esse depósito de informações do provedor de token codifica as informações do token de propagação.

O token de propagação está no encadeamento de execução e não está associado a nenhum Subject de usuário específico. O token segue o recebimento de dados de chamada para onde quer que seja que o processo leve.

Padrão com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Essa propriedade especifica a implementação utilizada para um token SSO (conexão única). Essa implementação é o cookie que é configurado quando a propagação é ativada, independentemente do estado da propriedade com.ibm.ws.security.ssoInteropModeEnabled.

Por padrão, essa implementação é o cookie LtpaToken2.

Padrão com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Essa propriedade não é mais utilizada. Em vez disso, utilize a configuração de login WEB_INBOUND.

Conclua as etapas a seguir para modificar a configuração de login WEB_INBOUND:
  1. Clique em Segurança > Segurança Global.
  2. Em Java Authentication and Authorization Service, clique em Logins do Sistema.
Padrão true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Essa propriedade define a configuração de login do JAAS do sistema que é utilizado para executar mapeamento de proprietário específico do aplicativo.

Padrão Nenhum
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Essa propriedade, quando definida como true, ativa o recurso de mapeamento de proprietário específico de aplicativo.

Padrão falso
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Essa propriedade, quando definida como true, ativa o assunto do responsável pela chamada original incorporado no objeto WSSubjectWrapper a ser restaurado.

Padrão falso



Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas


Nome do arquivo: usec_seccustomprop.html