Proprietà personalizzate di sicurezza

Utilizzare questa pagina per comprendere le proprietà personalizzate predefinite correlate alla sicurezza.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale > Proprietà personalizzate. È possibile fare clic su Nuovo per aggiungere una nuova proprietà personalizzata ed il relativo valore associato.

com.ibm.CSI.rmiInboundLoginConfig

Tale proprietà specifica la configurazione di login JAAS (Java Authentication and Authorization Service) utilizzata per le richieste RMI (Remote Method Invocation) ricevute in entrata.

Conoscendo la configurazione di login, è possibile collegarsi ad un modulo di login personalizzato che può gestire casi specifici per login RMI.

Valore predefinito system.RMI_INBOUND
com.ibm.CSI.rmiOutboundLoginConfig

Tale proprietà specifica la configurazione di login JAAS utilizzata per le richieste RMI inviate in uscita.

Prima di tutto, questa proprietà prepara gli attributi distribuiti nel Subject da inviare al server di destinazione. Tuttavia, è possibile collegarsi ad un modulo di login personalizzato per effettuare la mappatura in uscita.

Valore predefinito system.RMI_OUTBOUND
com.ibm.CSI.supportedTargetRealms

Tale proprietà abilita le credenziali autenticate nel dominio corrente che devono essere inviate ad ogni dominio specificato nel campo Domini di destinazione sicuri. Il campo Domini di destinazione sicuri è disponibile nel pannello di autenticazione in uscita CSIv2. Tale proprietà abilita questi domini ad effettuare la mappatura in entrata dei dati dal dominio corrente.

Non è consigliabile inviare le informazioni di autenticazione ad un dominio sconosciuto. Quindi, questo fornisce un modo per specificare che i domini alternativi sono sicuri. Per accedere al pannello di autenticazione in uscita CSIv2, completare i seguenti passaggi:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Sicurezza RMI/IIOP, fare clic su Autenticazione in uscita CSIv2.
com.ibm.CSI.disablePropagationCallerList

Questa proprietà disabilita l'elenco del chiamante e non consente la modifica. Questa proprietà impedisce la creazione di più sessioni.

Questa proprietà disabilita l'aggiunta di un elenco chiamante o host nel token di propagazione. L'impostazione di questa proprietà può essere un vantaggio quando l'elenco host o chiamante nel token di propagazione non è richiesto nell'ambiente.
Nota: Se questa proprietà è impostata su true oltre a com.ibm.CSI.propagateFirstCallerOnly, com.ibm.CSI.disablePropagationCallerList ha la priorità.
Valore predefinito false
com.ibm.CSI.propagateFirstCallerOnly

Questa proprietà non consente la modifica dell'elenco chiamante e quindi impedisce la creazione di più voci di sessione. Questa proprietà limita l'elenco chiamante solo al primo chiamante.

Questa proprietà registra il primo chiamante nel token di propagazione presente sul thread quando la propagazione dell'attributo di sicurezza risulta abilitata. Senza l'impostazione di questa proprietà, tutti gli switch del chiamante vengono registrati e tale situazione influenza le prestazioni. Generalmente, solo il primo chiamante è di interesse.
Nota: Se questa proprietà è impostata su true oltre a com.ibm.CSI.disablePropagationCallerList, com.ibm.CSI.disablePropagationCallerList ha la priorità.
Valore predefinito false
com.ibm.security.useFIPS

Specifica che gli algoritmi FIPS (Federal Information Processing Standard) sono utilizzati. Il server delle applicazioni utilizza il provider crittografico IBMJCEFIPS invece del provider crittografico IBMJCE.

Valore predefinito false
com.ibm.websphere.crypto.config.certexp.notify.fromAddress

Questa proprietà di sicurezza viene utilizzata per personalizzare l'indirizzo "da" dell'e-mail di notifica di scadenza del certificato.

Il valore assegnato a questa proprietà deve essere un indirizzo Internet, ad esempio "Notification@abc-company.com". Se la proprietà non è impostata, WebSphere utilizza fromAddress dall'e-mail: "WebSphereNotification@ibm.com" .

Valore predefinito Nessuno
com.ibm.websphere.crypto.config.certexp.notify.textEncoding

Questa proprietà di sicurezza è utilizzata per personalizzare il il set di caratteri di codifica testo per l'e-mail di notifica di scadenza del certificato.

WebSphere Application Server invia un'e-mail di notifica la scadenza del certificato in inglese o nel set di caratteri predefinito della macchina (se viene utilizzata una locale non inglese). Se si desidera utilizzare un set di caratteri di codifica testo per l'e-mail di notifica di scadenza del certificato, è possibile utilizzare questa proprietà per personalizzare il set di caratteri.

Valore predefinito Nessuno
com.ibm.websphere.security.krb.canonical_host

Questa proprietà specifica se WebSphere Application Server utilizza (true) o meno (false) la forma canonica del nome host URL/HTTP nell'autenticazione di un client.

Se questa proprietà è impostata su “false”, un ticket Kerberos può contenere un nome host che differisce dall'intestazione del nome host HTTP. È possibile che si verifichi un errore:
CWSPN0011E: Un token SPNEGO non valido è stato rilevato durante l'autenticazione di unHttpServletRequest
È possibile evitare un messaggio di errore impostando questa proprietà su “true” e consentendo a WebSphere Application Server di autenticarsi mediante la forma canonica del nome host URL/HTTP.
Valore predefinito false
com.ibm.ws.security.createTokenSubjectForAsynchLogin

In questo release, i dati del token LTPA effettivi non sono disponibili da una chiamata WSCredential.getCredentialToken() quando vengono richiamati da un bean asincrono. Per una configurazione esistente, è possibile aggiungere la proprietà personalizzata com.ibm.ws.security.createTokenSubjectForAsynchLogin e un valore true per consentire l'inoltro di LTPAToken ai bean asincroni. Questa proprietà consente l'inoltro del token LTPA corretto da parte dei portlet. Questa proprietà personalizzata è sensibile al maiuscolo/minuscolo. È necessario riavviare il server delle applicazioni dopo aver aggiunto questa proprietà personalizzata.

Nota: Questa proprietà personalizzata si applica solo alle condizioni di sistema in cui il server A effettua chiamate EJB dai bean asincroni al server B. Questa proprietà non si applica per le situazioni di login JAAS.
Valore predefinito Non applicabile
com.ibm.ws.security.defaultLoginConfig

Tale proprietà è la configurazione di login JAAS utilizzata per i login che non rientrano nelle categorie di configurazione di login WEB_INBOUND, RMI_OUTBOUND o RMI_INBOUND RMI_INBOUND.

L'autenticazione interna e protocolli che non hanno punti di collegamento JAAS specifici richiamano la configurazione di login del sistema indicata dalla configurazione com.ibm.ws.security.defaultLoginConfig.

Valore predefinito system.DEFAULT
com.ibm.ws.security.ssoInteropModeEnabled

Tale proprietà determina se inviare i cookie LtpaToken2 e LtpaToken nella risposta alla richiesta Web (interoperabile).

Quando questo valore della proprietà è false, il server delle applicazioni invia solo il nuovo cookie LtpaToken2 che è più forte, ma non interoperabile con alcuni prodotti e versioni del Server delle applicazioni precedenti alla versione 5.1.1. Nella maggior parte dei casi, il vecchio cookie LtpaToken non è richiesto ed è possibile impostare tale proprietà su false.

Valore predefinito true
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Tale proprietà determina il comportamento di un login LtpaToken2 SSO (single sign-on).

Se il token contiene una chiave di cache personalizzata e non può essere trovato il Subject personalizzato, quindi il token viene utilizzato per accedere direttamente in quanto è necessario che le informazioni personalizzate siano raccolte se questo valore di proprietà è impostato su true. Si verifica una richiesta in modo che l'utente si ricolleghi di nuovo. Quando questo valore della proprietà è impostato su false e il Subject personalizzato non viene trovato, LtpaToken2 viene utilizzato per accedere e raccogliere tutti gli attributi del registro. Tuttavia, il token potrebbe non ottenere nessuno degli attributi speciali previsti dalle applicazioni a valle.

Valore predefinito true
com.ibm.ws.security.webInboundLoginConfig

Tale proprietà è la configurazione di login JAAS utilizzata per le richieste Web ricevute in entrata.

Conoscendo la configurazione di login, è possibile collegarsi ad un modulo di login personalizzato che può gestire casi specifici per login Web.

Valore predefinito system.WEB_INBOUND
com.ibm.ws.security.zOS.useSAFidForTransaction [z/OS]

Questa proprietà viene utilizzata per abilitare un server per utilizzare l'identità utente per l'attività avviata da z/OS come l'identità server quando vengono chiamati i metodi transazionali.

Questa proprietà viene utilizzata per abilitare un server per utilizzare l'identità utente per l'attività avviata da z/OS come l'identità server quando vengono chiamati i metodi transazionali, quali commit() e prepare(), che richiedono l'identità server. Questo comportamento si verifica indipendentemente dall'impostazione dell'identità server per quel server.

Ad esempio, un server può essere configurato per usare l'identità server generata automaticamente, che non è l'identità effettiva memorizzata in un repository utente. Inoltre, questo server potrebbe dover comunicare con CICS 3.2 e CICS 3.2 richiede l'uso di identità SAF (System Authorization Facility). Se com.ibm.ws.security.zOS.useSAFidForTransaction è impostato su true, il server utilizza un'identità SAF per comunicare con CICS invece di utilizzare un'identità generata automaticamente.

Valore predefinito false
com.ibm.ws.security.webInboundPropagationEnabled

Tale proprietà determina se un cookie LtpaToken2 ricevuto debba ricercare localmente gli attributi distribuiti prima di ricercare il server di login originale specificato nel token. Dopo che gli attributi distribuiti sono stati ricevuti, il Subject viene rigenerato e gli attributi personalizzati conservati.

È possibile configurare il DRS (Data Replication Service) per inviare gli attributi distribuiti ai server front-end cosicché la ricerca dynacache locale può trovare gli attributi distribuiti. Altrimenti, una richiesta MBean viene inviata al server di login originale per richiamare questi attributi.

Valore predefinito true
com.ibm.wsspi.security.ltpa.tokenFactory

Questa proprietà specifica le produzioni token LTPA (Lightweight Third Party Authentication) che possono essere utilizzate per convalidare i token LTPA.

La convalida si verifica nell'ordine in cui le produzioni token vengono specificate poiché i token LTPA non presentano OID (object identifiers) che specificano il tipo di token. Il server delle applicazioni convalida i token utilizzando ogni produzione token finché la convalida non ha esito positivo. L'ordine specificato per questa proprietà è molto probabilmente l'ordine dei token ricevuti. Specificare le produzioni multiple di token separandole con una barra verticale (|) senza spazi né prima né dopo.

Valore predefinito com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.authenticationTokenFactory

Tale proprietà specifica l'implementazione utilizzata per un token di autenticazione nel framework di distribuzione dell'attributo. La proprietà fornisce una vecchia implementazione del token LTPA da utilizzare come token di autenticazione.

Valore predefinito com.ibm.ws.security.ltpa.LTPATokenFactory
com.ibm.wsspi.security.token.authorizationTokenFactory

Tale proprietà specifica l'implementazione utilizzata per un token di autorizzazione. Questa produzione token codifica le informazioni di autorizzazione.

Valore predefinito com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.propagationTokenFactory

Tale proprietà specifica l'implementazione utilizzata per un token di distribuzione. Questa produzione token codifica le informazioni del token di distribuzione.

Il token di distribuzione si trova sul thread dell'esecuzione e non è associato ad alcun Subject dell'utente specifico. Il token segue il richiamo a valle ovunque conduca il processo.

Valore predefinito com.ibm.ws.security.ltpa.AuthzPropTokenFactory
com.ibm.wsspi.security.token.singleSignonTokenFactory

Questa proprietà specifica l'implementazione utilizzata per un token SSO (Single Sign-on). Questa implementazione è il cookie impostato quando la distribuzione è abilitata a prescindere dallo stato della proprietà com.ibm.ws.security.ssoInteropModeEnabled.

Per impostazione predefinita, questa implementazione è il cookie LtpaToken2.

Valore predefinito com.ibm.ws.security.ltpa.LTPAToken2Factory
security.enablePluggableAuthentication

Tale proprietà non viene più utilizzata. Utilizzare invece, la configurazione di login WEB_INBOUND.

Completare i seguenti passaggi per modificare la configurazione di login WEB_INBOUND:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In JAAS (Java Authentication and Authorization Service), fare clic su Login di sistema.
Valore predefinito true
com.ibm.CSI.rmiInboundMappingConfig [AIX Solaris HP-UX Linux Windows] [z/OS]

Questa proprietà definisce la configurazione di login JAAS di sistema utilizzata per eseguire associazioni di principali specifiche dell'applicazione.

Valore predefinito Nessuno
com.ibm.CSI.rmiInboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Questa proprietà, se impostata su true, abilita la funzione di associazione dei principali specifici dell'applicazione.

Valore predefinito false
com.ibm.CSI.rmiOutboundMappingEnabled [AIX Solaris HP-UX Linux Windows] [z/OS]

Questa proprietà, se impostata su true, abilita l'oggetto Caller originale integrato nell'oggetto WSSubjectWrapper da ripristinare.

Valore predefinito false
security.useDefaultPolicyWhenJ2SDisabled

Il metodo NullDynamicPolicy.getPermissions fornisce un'opzione per delegare una classe di politiche predefinite per creaere un oggetto Permissions quando la proprietà personalizzata security.useDefaultPolicyWhenJ2SDisabled è impostata su true. Quando questa proprietà è impostata su false, viene restituito un oggetto Autorizzazioni vuoto.

Valore predefinito false
com.ibm.websphere.security.krb.authenticateInCRandSR [z/OS]

Questa proprietà è utilizzata quando il meccanismo di autenticazione attivo è Kerberos e il server è in esecuzione sulla piattaforma z/OS.

Se KDC emette ticket del servizio Kerberos a lunga durata, si consiglia di impostare il valore di questa proprietà su false. Quando il valore è true, l'autenticazione viene effettuata in entrambe control region e servant region, poiché il ticket servizio Kerberos potrebbe scadere mentre effettua il processo da una regione all'altra. Tuttavia, se i ticket Kerberos sono di lunga durata, non è necessaria questa elaborazione extra. Quando si imposta questo valore su false, l'autenticazione si verifica solo in region servant, migliorando pertanto le prestazioni.

Valore predefinito true
com.ibm.websphere.lookupRegistryOnProcess

Questa proprietà può essere impostata quando le ricerche del registro realm sono elaborate mediante un MBean su un server remoto se il realm è la sicurezza del SO locale.

Per impostazione predefinita, le attività del registro utente listRegistryUsers elistRegistryGroups eseguono le ricerche dal processo corrente. In caso di Network Deployment (ND), questo è dmgr.

Quando si utilizza un registro utente SO locale, la ricerca dovrebbe essere eseguita sul server corrente su cui si trova il registro. In un ambiente ND che potrebbe essere una macchina remota. Per eseguire una ricerca sul processo del server su cui si trova il registro, la proprietà personalizzata com.ibm.websphere.lookupRegistryOnProcess deve essere impostata su true.

Se la proprietà com.ibm.websphere.lookupRegistryOnProcess non è impostata o se è impostata su false, allora la ricerca viene eseguita sul processo corrente. La proprietà può essere impostata mediante l'attività setAdminActiveSecuritySettings per la sicurezza globale o mediante l'attività setAppActiveSecuritySettings per un dominio di sicurezza.

com.ibm.websphere.security.InvokeTAIbeforeSSO

L'ordine di richiamo predefinito dei TAI (Trust Association Interceptor) in relazione all'autenticazione utente SSO (Single Sign On) può essere modificato utilizzando questa proprietà. L'ordine predefinito consiste nel richiamare i TAI dopo l'SSO. Questa proprietà è utilizzata per modificare l'ordine predefinito del richiamo di TAI con SSO. Il valore della proprietà è un elenco separato da virgola (,) di nomi di classi TAI da richiamare prima di SSO.

Valore predefinito nessuno
Tipo stringa
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal

Per impostazione predefinita, quando le voci dei dati di autenticazione JAAS sono create a livello di sicurezza globale, il nome alias per la voce avrà il formato nomenodo/nomealias. È possibile disabilitare l'aggiunta del nome nodo al nome alias per la voce impostando un valore true per la proprietà a livello di sicurezza globale.

Valore predefinito false
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain

Per impostazione predefinita, quando le voci dei dati di autenticazione JAAS sono create a livello di sicurezza del dominio, il nome alias per la voce avrà il formato nomealias. . È possibile consentire l'aggiunta del nome nodo al nome alias in modo da poter creare il nome alias nel formato nomenodo/nomealias per la voce impostando la seguente proprietà a livello di sicurezza globale.

Nota: è possibile impostare la proprietà com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true a livello di sicurezza globale per consentire l'aggiunta del nome nodo al nome alias delle voci dei dati di autenticazione JAAS per tutti i domini di sicurezza.
Valore predefinito false
com.ibm.security.multiDomain.setNamingReadUnprotected

Questa proprietà può essere impostata su true o su false per determinare se il ruolo CosNamingRead protegge tutte le operazioni di lettura di denominazione. L'impostazione di questa proprietà su true è equivalente all'assegnazione del ruolo all'oggetto speciale Everyone. Se questa proprietà è impostata, allora sovrascriverà tutte le assegnazioni effettuate al ruolo CosNamingRead.

Valore predefinito nessuno
com.ibm.security.SAF.overrideStartupAPPL [z/OS]

Questa proprietà può essere utilizzata per sovrascrivere il valore per il profilo APPL, in particolare per le due chiamate RACROUTE effettuate durante l'avvio del server. Per queste chiamate infatti, il valore APPL non viene utilizzato per il processo di controllo delle autorizzazioni, ma è reso disponibile per la routine exit di installazione. Il valore del profilo APPL utilizzato dal controllo delle autorizzazioni non è controllato da questa proprietà, ma è impostato invece su CBS390 o sul valore del prefissoSAF.

Valore predefinito nessuno
com.ibm.websphere.security.logoutExitPageDomainList

Questa si utilizza il login e il logout del modulo delle applicazioni, è possibile fornire un URL per una pagina di logout personalizzata. Per impostazione predefinita, l'URL deve puntare all'host a cui viene effettuata la richiesta o al relativo dominio. Se ciò non si verifica, allora viene visualizzata una pagina di logout generica e non una personalizzata. Se è necessario puntare a un host differente, allora è possibile completare questa proprietà in security.xml con un elenco separato da caratteri pipe (|) degli URL consentiti per la pagina di logout.

Valore predefinito nessuno
com.ibm.websphere.security.allowAnyLogoutExitPageHost

Questa si utilizza il login e il logout del modulo delle applicazioni, è possibile fornire un URL per una pagina di logout personalizzata. Per impostazione predefinita, l'URL deve puntare all'host a cui viene effettuata la richiesta o al relativo dominio. Se ciò non si verifica, allora viene visualizzata una pagina di logout generica e non una personalizzata. Se si desidera poter puntare a qualsiasi host, allora è necessario impostare questa proprietà nel file security.xml su un valore true. È possibile che impostando la proprietà su true il sistema possa essere soggetto a potenziali attacchi di reindirizzamento URL.

Valore predefinito false



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati


Nome file: usec_seccustomprop.html