安全性定制属性

使用此页面来了解与安全性相关的预定义定制属性。

要查看此管理控制台页面,请单击安全性 > 全局安全性 > 定制属性。可以单击新建以添加新的定制属性及相关的值。

com.ibm.CSI.rmiInboundLoginConfig

此属性指定用于所接收入站远程方法调用(RMI)请求的 Java™ 认证和授权服务(JAAS)登录配置。

通过了解登录配置,您就可以插入能处理特定的 RMI 登录情况的定制登录模块。

缺省值 system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

此属性指定用于所发送出站 RMI 请求的 JASS 登录配置。

此属性主要用来在要发送到目标服务器的主体集中准备传播的属性。但是,可以插入定制登录模块以执行出站映射。

缺省值 system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

此属性允许将当前域中认证的凭证发送到“可信目标域”字段中指定的任何域。“可信目标域”字段在“CSIv2 出站认证”面板上。此属性使那些域能够对来自当前域的数据执行入站映射。

建议您不要将认证信息发送到未知的域。因此,这样就能够指定可信的备用域。要访问 CSIv2 出站认证面板,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“RMI/IIOP 安全性”下,单击 CSIv2 出站认证
com.ibm.CSI.disablePropagationCallerList

此属性将彻底禁用调用者列表并且不允许调用者列表更改。此属性可防止创建多个会话。

此属性将彻底禁止在传播令牌中添加调用者或主机列表。当环境中不需要使用传播令牌中的调用者或主机列表时,设置此属性就很有用。
注: 如果此属性设置为 truecom.ibm.CSI.propagateFirstCallerOnly,那么 com.ibm.CSI.disablePropagationCallerList 优先。
缺省值 false
com.ibm.CSI.propagateFirstCallerOnly

此属性将不允许调用者列表更改,因此可防止创建多个会话条目。此属性特地将调用者列表仅限于第一个调用者。

当启用了安全性属性传播时,此属性将记录传播令牌中的存在于线程上的第一个调用者。如果未设置此属性,那么将记录所有调用者开关,这将影响性能。通常,只对第一个调用者感兴趣。
注: 如果此属性设置为 truecom.ibm.CSI.disablePropagationCallerList,那么 com.ibm.CSI.disablePropagationCallerList 优先。
缺省值 false
com.ibm.security.useFIPS

指定使用的联邦信息处理标准(FIPS)算法。应用程序服务器使用 IBMJCEFIPS 加密提供程序而不是 IBMJCE 加密提供程序。

缺省值 false
com.ibm.websphere.security.krb.canonical_host

此属性指定 WebSphere® Application Server 是否(true/false)使用规范格式的 URL/HTTP 主机名来认证客户机。

如果此属性已设置为“false”,那么 Kerberos 凭单可包含一个有别于 HTTP 主机名头的主机名。会发生如下所示的错误:
CWSPN0011E: 认证 HttpServletRequest 时遇到了无效的 SPNEGO 令牌
通过将此属性设置为“true”并允许使用规范格式的 URL/HTTP 主机名对 WebSphere Application Server 进行认证,可避免错误消息。
缺省值 false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

在此发行版中,当从异步 bean 中调用时,WSCredential.getCredentialToken() 调用不会提供实际的 LTPA 令牌数据。对于现有配置,可以添加定制属性 com.ibm.ws.security.createTokenSubjectForAsynchLogin 以允许将 LTPA 令牌转发至异步 bean。此属性允许 portlet 成功执行 LTPA 令牌转发。

使用管理控制台按如下所示创建此定制属性:
  1. 单击安全性 > 全局安全性
  2. 在“其他属性”下,单击定制属性
  3. 单击新建
  4. 在“名称”字段中,输入 com.ibm.ws.security.createTokenSubjectForAsynchLogin
    重要: 此定制属性名区分大小写。
  5. 在“值”字段中,输入 true
  6. 单击应用保存,然后重新启动 WebSphere Application Server。
注: 此定制属性仅适用于服务器 A 从异步 bean 中对服务器 B 进行 EJB 调用的系统情况。此属性不适用于 JAAS 登录情况。
缺省值 不适用
com.ibm.ws.security.defaultLoginConfig

此属性是 JAAS 登录配置,用于不属于 WEB_INBOUND、RMI_OUTBOUND 或 RMI_INBOUND 登录配置类别的登录。

没有特定 JAAS 插入点的内部认证和协议调用 com.ibm.ws.security.defaultLoginConfig 配置所引用的系统登录配置。

缺省值 system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

此属性确定是否在对 Web 请求的响应中发送 LtpaToken2 和 LtpaToken cookie(可互操作)。

当此属性值为 false 时,应用程序服务器将仅发送较为强壮的新 LtpaToken2 cookie,但该 cookie 无法与某些其他产品以及 V5.1.1 以前的 Application Server 发行版进行互操作。在大多数情况下,不需要旧的 LtpaToken cookie,可以将此属性设置为 false。

缺省值 true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

此属性确定单点登录 LtpaToken2 登录的行为。

当此属性值设置为 true 时,如果令牌中包含定制高速缓存密钥并且找不到定制主体集,那么由于需要再次收集定制信息,因此将使用该令牌来直接登录。还会出现提问,因此用户需要再次登录。当此属性值设置为 false 并且找不到定制主体集时,将使用 LtpaToken2 来登录并收集所有注册表属性。但是,此令牌可能未包含下游应用程序所需的特殊属性。

缺省值 true
com.ibm.ws.security.webInboundLoginConfig

此属性是用于所接收入站 Web 请求的 JAAS 登录配置。

通过了解登录配置,您就可以插入定制登录模块以处理特定的 Web 登录情况。

缺省值 system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

通过使用此属性,可以使服务器在调用事务性方法时能够将 z/OS 已启动的任务的用户标识用作服务器标识。

通过使用此属性,可以使服务器在调用需要服务器标识的事务性方法(例如,commit())时能够将 z/OS 已启动的任务的用户标识用作服务器标识。无论该服务器的服务器标识设置如何,此行为将保持不变。

例如,可以将服务器配置为使用自动生成的服务器标识,此标识并不是存储在用户资源库中的实际标识。而且,此服务器可能需要与 CICS 3.2 通信,而 CICS 3.2 需要使用 SAF 标识。如果将 com.ibm.ws.security.zOS.useSAFidForTransaction 设置为 true,那么服务器将使用 SAF 标识而不是使用自动生成的标识来与 CICS 通信。

缺省值 false
com.ibm.ws.security.webInboundPropagationEnabled

此属性确定接收到的 LtpaToken2 cookie 在搜索令牌中指定的原始登录服务器之前是否应该在本地搜索传播的属性。在接收到传播的属性之后,将重新生成主体集并保留定制属性。

可以配置数据复制服务(DRS)以将传播的属性发送到前端服务器,以使本地动态高速缓存查询操作能够找到传播的属性。否则,将向原始登录服务器发送 MBean 请求以检索这些属性。

缺省值 true
com.ibm.wsspi.security.ltpa.tokenFactory

此属性指定可用来验证 LTPA 令牌的轻量级第三方认证(LTPA)令牌工厂。

由于 LTPA 令牌没有用于指定令牌类型的对象标识(OID),所以将按照指定令牌工厂的顺序来执行验证。Application Server 将使用每个令牌工厂来验证令牌,直到验证成功为止。对此属性指定的顺序最有可能是接收令牌的顺序。可以指定多个令牌工厂并用竖线(|)进行分隔,竖线前后没有空格。

缺省值 com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

此属性指定用于属性传播框架中的认证令牌的实现。此属性提供旧的 LTPA 令牌实现来用作认证令牌。

缺省值 com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

此属性指定用于授权令牌的实现。此令牌工厂对授权信息进行编码。

缺省值 com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

此属性指定用于传播令牌的实现。此令牌工厂对传播令牌信息进行编码。

传播令牌在执行线程中,不与任何特定用户主体集相关。此令牌将顺着调用下游到进程所到达的位置。

缺省值 com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

此属性指定用于单点登录(SSO)令牌的实现。此实现是当传播处于启用状态时设置的 cookie,与 com.ibm.ws.security.ssoInteropModeEnabled 属性的状态无关。

缺省情况下,此实现是 LtpaToken2 cookie。

缺省值 com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

此属性不再使用。取而代之的是,使用 WEB_INBOUND 登录配置。

完成以下步骤以修改 WEB_INBOUND 登录配置:
  1. 单击安全性 > 全局安全性
  2. 在“Java 认证和授权服务”下,单击系统登录
缺省值 true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

此属性定义用来执行特定于应用程序的主体映射的系统 JAAS 登录配置。

缺省值 None
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

当此属性设置为 true 时,它会启用特定于应用程序的主体映射功能。

缺省值 false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

当此属性设置为 true 时,它会启用嵌入在要恢复的 WSSubjectWrapper 对象中的原始调用者主体集。

缺省值 false
security.useDefaultPolicyWhenJ2SDisabled

NullDynamicPolicy.getPermissions 方法提供了一个选项,当此定制安全性设置为 true 时,将委托缺省策略类来构造许可权对象。当此属性设置为 false 时,将返回一个空的许可权对象。

完成下列步骤以设置此属性:
  1. 登录管理控制台。
  2. 单击安全性 > 安全管理、应用程序和基础结构 > 定制属性
  3. 单击新建并添加下列值:
    “名称”字段
    security.useDefaultPolicyWhenJ2SDisabled
    “值”字段
    true
  4. 单击确定,然后单击保存
缺省值 false
com.ibm.websphere.security.krb.longLivedTicket [z/OS]

当处于活动状态的认证机制为 Kerberos 并且服务器正在 z/OS 平台上运行时,使用此属性。

如果 KDC 发布了长期有效的 Kerberos 服务凭单,那么建议您将此属性的值设置为 true。当值为 false 时,将在控制区域和服务方区域都进行认证,这是因为从一个区域到另一个区域处理 Kerberos 服务凭单时此服务凭单可能已到期。但是,如果 Kerberos 凭单长期有效,那么不需要进行此额外处理。将此值设置为 true 时,将仅在服务方区域中进行认证,因此提高了性能。

com.ibm.websphere.lookupRegistryOnProcess

如果域启用了 LocalOS 安全性,那么通过远程服务器上的 MBean 来执行域注册表查询时可以设置此属性。

如果安全域中包含一个不在 dmgr 机器上运行的服务器,并且此安全域使用 LocalOS 安全性,那么用户查询操作通常将返回 dmgr 机器上的用户。

如果设置了此属性,那么在远程服务器上将调用 MBean,并且将返回该服务器上的用户。




标有(在线)的链接要求访问因特网。

相关任务
相关参考


文件名: usec_seccustomprop.html