安全自訂內容

請利用這個頁面來瞭解與安全有關的預先定義自訂內容。

若要檢視這個管理主控台頁面,請按一下安全 > 廣域安全 > 自訂內容。 您可以按一下新建,新增新的自訂內容與其相關聯的值。

com.ibm.CSI.rmiInboundLoginConfig

這個內容指定 Java™ 鑑別和授權服務 (JAAS) 登入配置,以用在入埠接收的遠端方法呼叫 (RMI) 要求上。

藉由得知登入配置,您可以插入一個自訂登入模組,以處理特定的 RMI 登入情況。

預設值 system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

這個內容指定用於出埠傳送之 RMI 要求上的 JAAS 登入配置。

首先,這個內容會在要傳給目標伺服器的主旨中準備延伸屬性。不過,您可以插入一個自訂登入模組,以執行出埠對映。

預設值 system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

這個內容會啟用現行網域範圍中所鑑別的認證,以便將其傳送給「信任的目標網域範圍」欄位中指定的任何網域範圍。「信任的目標網域範圍」欄位可在「CSIv2 出埠鑑別」畫面中找到。這個內容可讓這些網域範圍能夠執行現行網域範圍中資料的入埠對映。

不建議您傳送鑑別資訊給不明的網域範圍。因此,這裡提供一種方法,讓您指定要信任替代的網域範圍。若要存取「CSIv2 出埠鑑別」畫面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「RMI/IIOP 安全」之下,按一下 CSIv2 出埠鑑別
com.ibm.CSI.disablePropagationCallerList

這個內容會完全停用呼叫端清單,不允許變更呼叫端清單。 這個內容會防止建立多個階段作業。

這個內容會完全停用在傳送記號中新增呼叫端或主機清單。 當環境不需要傳送記號中的呼叫端或主機清單時,設定這個內容會有好處。
註: 如果這個內容和 com.ibm.CSI.propagateFirstCallerOnly 都設為 true,則 com.ibm.CSI.disablePropagationCallerList 優先。
預設值 false
com.ibm.CSI.propagateFirstCallerOnly

這個內容不允許變更呼叫端清單,因此,會防止建立多個階段作業項目。 這個內容會將呼叫端清單明確限制為只有第一個呼叫端。

當啟用傳送安全屬性時,這個內容會將第一個呼叫端記載到停留在執行緒的傳送記號中。 如果未設定這個內容,便會記載所有呼叫端切換,從而影響效能。 通常只有第一個呼叫端是相關的。
註: 如果這個內容和 com.ibm.CSI.disablePropagationCallerList 都設為 true,則 com.ibm.CSI.disablePropagationCallerList 優先。
預設值 false
com.ibm.security.useFIPS

指定要使用「美國聯邦資訊處理標準 (FIPS)」演算法。應用程式伺服器使用的是 IBMJCEFIPS 加密提供者,而非 IBMJCE 加密提供者。

預設值 false
com.ibm.websphere.security.krb.canonical_host

這個內容指定 WebSphere® Application Server 是 (true) 否 (false) 利用 URL/HTTP 主機名稱標準格式來鑑別用戶端。

如果這個內容設為 “false”,Kerberos 通行證便可以含有不同於 HTTP 主機名稱標頭的主機名稱。 可能發生錯誤如下:
CWSPN0011E: 鑑別 HttpServletRequest 時,發現無效的 SPNEGO 記號
您可以將這個內容設為 “true”,讓 WebSphere Application Server 利用 URL/HTTP 主機名稱的標準格式來進行鑑別,以避免產生錯誤訊息。
預設值 false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

在這個版本中,當從非同步 Bean 呼叫時,無法從 WSCredential.getCredentialToken() 呼叫取得實際的 LTPA 記號資料。 如果是現有的配置,您可以新增自訂內容 com.ibm.ws.security.createTokenSubjectForAsynchLogin,以便將 LTPAToken 轉遞給非同步 Bean。 這個內容可讓 Portlet 順利執行 LTPA 記號轉遞。

請利用管理主控台,依照下列方式來建立這個自訂內容:
  1. 按一下安全 > 廣域安全
  2. 在「其他內容」之下,按一下自訂內容
  3. 按一下新建
  4. 在「名稱」欄位中,輸入 com.ibm.ws.security.createTokenSubjectForAsynchLogin
    重要: 這個自訂內容名稱會區分大小寫。
  5. 在「值」欄位中,輸入 true
  6. 按一下套用儲存,再重新啟動 WebSphere Application Server。
註: 這個自訂內容只適用於下列系統條件:A 伺服器從非同步 Bean,向 B 伺服器發出 EJB 呼叫。這個內容不適合 JAAS 登入狀況。
預設值 不適用
com.ibm.ws.security.defaultLoginConfig

這個內容為 JAAS 登入配置,適用於不屬於 WEB_INBOUND、RMI_OUTBOUND 或 RMI_INBOUND 登入配置種類的登入。

沒有特定 JAAS 插入點的內部鑑別和通訊協定會呼叫 com.ibm.ws.security.defaultLoginConfig 配置所參照的系統登入配置。

預設值 system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

這個內容決定是否要在 Web 要求的回應中傳送 LtpaToken2 和 LtpaToken Cookie(可交互作業的)。

當這個內容值為 false 時,則應用程式伺服器只會傳送新的 LtpaToken2 Cookie,這種 Cookie 較強但無法與其他某些產品和 5.1.1 版以前的應用程式伺服器交互作業。在大部分情況下,不需要舊有 LtpaToken Cookie,且您可將這個內容設為 false。

預設值 true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

這個內容決定單一登入 LtpaToken2 登入的行為。

如果記號含有一個自訂快取鍵,且找不到自訂主體,若這個內容值設為 true,當需要重新收集自訂資訊時,會使用記號直接登入。 這時也會進行盤查,因此使用者需要重新登入。 當這個內容值設為 false 時,如果找不到自訂主旨,將會使用 LtpaToken2 來登入,並收集所有的登錄屬性。不過,記號可能不會取得下游應用程式可能預期的任何特殊屬性。

預設值 true
com.ibm.ws.security.webInboundLoginConfig

這個內容為 JAAS 登入配置,適用於入埠接收的 Web 要求。

藉由得知登入配置,您可以插入一個自訂登入模組,以處理特定的 Web 登入情況。

預設值 system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

這個內容使伺服器在呼叫交易式方法時,能夠利用 z/OS 啟動作業的使用者身分來作為伺服器身分。

這個內容使伺服器在呼叫 commit() 和 prepare() 等需要伺服器身分的交易式方法時,能夠利用 z/OS 啟動作業的使用者身分來作為伺服器身分。 不論這部伺服器的伺服器身分設定為何,都會出現這個行為。

例如,伺服器可以配置成使用自動產生的伺服器身分,而這個身分並不是儲存在使用者儲存庫中的實際身分。 不但如此,這部伺服器還可能需要與 CICS 3.2 通訊,而 CICS 3.2 需要使用 SAF 身分。 如果 com.ibm.ws.security.zOS.useSAFidForTransaction 設為 true,伺服器便會利用 SAF 身分與 CICS 通訊,而不是用自動產生的身分。

預設值 false
com.ibm.ws.security.webInboundPropagationEnabled

這個內容決定所接收的 LtpaToken2 Cookie 在搜尋記號中指定的原始登入伺服器前,是否應先在本端環境中搜尋延伸屬性。在收到延伸屬性後,會重新產生「主旨」並保留自訂屬性。

您可以配置資料抄寫服務 (DRS),以便將傳播的屬性傳給前端系統伺服器,讓本端動態快取查閱可以找到傳播的屬性。 否則,會傳送一個 MBean 要求給原始登入伺服器,以擷取這些屬性。

預設值 true
com.ibm.wsspi.security.ltpa.tokenFactory

這個內容指定可用來驗證 LTPA 記號的「小型認證機構 (LTPA)」記號 Factory。

系統會按照記號 Factory 的指定順序來進行驗證,這是因為 LTPA 記號並沒有指定記號類型的物件 ID (OID)。應用程式伺服器會使用每一個記號 Factory 來驗證記號,直到驗證成功為止。指定給這個內容的順序很有可能是所接收記號的順序。請指定多個記號 Factory,以垂直線 (|) 來隔開它們,且垂直線前後不含空格。

預設值 com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

這個內容指定屬性延伸架構中之鑑別記號所用的實作。這個內容提供舊有的 LTPA 記號實作來作為鑑別記號。

預設值 com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

這個內容指定授權記號所用的實作。這個記號 Factory 會編碼授權資訊。

預設值 com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

這個內容指定延伸記號所用的實作。這個記號 Factory 會編碼延伸記號資訊。

延伸記號位於執行緒上,且不關聯於任何特定的使用者主旨。記號會沿著程序所引導的往下進行呼叫。

預設值 com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

這個內容指定單一登入 (SSO) 記號所用的實作。 這項實作是在啟用延伸時所設的 Cookie (而不管 com.ibm.ws.security.ssoInteropModeEnabled 內容的狀態)。

依預設,此實作為 LtpaToken2 Cookie。

預設值 com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

這個內容已不再使用。請改用 WEB_INBOUND 登入配置。

請完成下列步驟,以修改 WEB_INBOUND 登入配置:
  1. 按一下安全 > 廣域安全
  2. 在「Java 鑑別和授權服務」之下,按一下系統登入
預設值 true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

這個內容定義用來執行應用程式特定主體對映的系統 JAAS 登入配置。

預設值
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

這個內容在設為 true 時,會啟用應用程式特定主體對映功能。

預設值 false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

這個內容在設為 true 時,會啟用要還原的 WSSubjectWrapper 物件中所內嵌的原始呼叫端主體。

預設值 false
security.useDefaultPolicyWhenJ2SDisabled

當這個自訂安全設為 true 時,NullDynamicPolicy.getPermissions 方法會提供委派預設原則類別來建構 Permissions 物件的選項。 當這個內容設為 false 時,會傳回空的 Permissions 物件。

完成下列步驟來設定這個內容:
  1. 登入管理主控台。
  2. 按一下安全 > 安全管理、應用程式和基礎架構 > 自訂內容
  3. 按一下新建,新增下列值:
    名稱欄位
    security.useDefaultPolicyWhenJ2SDisabled
    值欄位
    true
  4. 按一下確定,然後按一下儲存
預設值 false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

當作用中鑑別機制是 Kerberos,而伺服器是執行於 z/OS 平台時,便使用這個內容。

如果您的 KDC 發出長效的 Kerberos 服務通行證,建議您將這個內容值設為 true。 當這個值是 false 時,在控制區域和服務者區域中都會進行鑑別,因為從一個區域進行到另一個區域,Kerberos 服務通行證有可能在這期間到期。 不過,如果 Kerberos 通行證是長效的,就不需要這項額外的處理。 當您將這個值設為 true 時,只會在服務者區域中進行鑑別,因此,可以改進效能。

com.ibm.websphere.lookupRegistryOnProcess

當透過遠端伺服器上的 MBean 來執行網域範圍登錄查閱時,如果網域範圍是 LocalOS 安全,便可以設定這個內容。

如果安全網域含有並非執行於 dmgr 機器的伺服器,且安全網域使用 LocalOS 安全,使用者查閱通常會傳回在 dmgr 機器上的使用者。

如果設定這個內容,便會在遠端伺服器上呼叫 MBean,且會傳回這部伺服器機器上的使用者。




標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考


檔名: usec_seccustomprop.html