Sicherheit der Web-Container-Anwendungen (webAppSecurity)
Konfiguriert die Sicherheit der Web-Container-Anwendungen.
Attributname | Datentyp | Standardwert | Beschreibung |
---|---|---|---|
allowAuthenticationFailOverToAuthMethod |
|
Gibt die Authentifizierungsmethode für das Failover an, die verwendet wird, wenn die Zertifikatsauthentifizierung fehlschlägt. Die gültigen Werte sind BASIC (Basisauthentifizierung) und FORM (Formulargestützte Authentifizierung).
|
|
allowFailOverToBasicAuth | boolean | false | Gibt an, ob auf die Basisauthentifizierung umgestellt werden soll, wenn die Zertifikatsauthentifizierung fehlschlägt. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.wsspi.security.web.failOverToBasicAuth. |
allowLogoutPageRedirectToAnyHost | boolean | false | Warnung, Sicherheitsrisiko: Wenn Sie diese Eigenschaft auswählen, setzen Sie Ihr System damit potenziellen Attacken mit URL-Umleitung aus. Wenn Sie diese Option auswählen, kann jeder Host für die Umleitung der Anmeldeseite angegeben werden. Wenn Sie diese Option nicht auswählen und die Abmeldeseite auf einen anderen Host oder auf einen Host verweist, der nicht in der Domänenliste für die Umleitung der Abmeldeseite aufgelistet ist, wird eine generische Abmeldeseite angezeigt. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.allowAnyLogoutExitPageHost. |
displayAuthenticationRealm | boolean | false | Warnung, Sicherheitsrisiko: Wenn diese Eigenschaft ausgewählt ist und der Realmname der Benutzerregistry sensible Daten enthält, werden die Informationen dem Benutzer angezeigt. Wird beispielsweise eine LDAP-Konfiguration verwendet, werden der Hostname und der Port des LDAP-Servers angezeigt. Diese Konfiguration steuert, was im Anmeldefenster für die HTTP-Basisauthentifizierung angezeigt wird, wenn der Realmname nicht in der Datei web.xml der Anwendung definiert ist. Wenn der Realmname in der Datei web.xml der Anwendung definiert ist, wird diese Eigenschaft ignoriert. Wenn Sie diese Option auswählen, ist der angezeigte Realmname der Realmname der Benutzerregistry für den LTPA-Authentifizierungsmechanismus. Wenn Sie diese Option nicht auswählen, wird "Standardrealm" angezeigt. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.displayRealm. |
httpOnlyCookies | boolean | true | Gibt an, ob die Option für die ausschließliche Verwendung von HTTP-Cookies (HttpOnly) aktiviert wird. |
includePathInWASReqURL | boolean | false | Wenn Sie den Parameter Path definieren, kann der Client/Browser bei mehreren gleichzeitigen Anmeldungen an demselben Benutzeragenten mehrere WASReqURL-Cookies verwalten. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.setContextRootForFormLogin. |
loginFormURL | string | Gibt die globale URL einer Anmeldeseite, einschließlich des Stammkontextes, an. Die Anmeldeseite muss Teil der WAR-Datei sein. Wenn eine Anwendung mit formulargesteuerter Anmeldung keine Anmeldeseite in der Datei web.xml angibt, wird die globale URL für formulargesteuerte Anmeldung verwendet. | |
logoutOnHttpSessionExpire | boolean | false | Gibt an, ob Benutzer nach dem Ablauf des HTTP-Sitzungszeitgebers abgemeldet werden. Wenn diese Option nicht ausgewählt wird, bleibt der Benutzerberechtigungsnachweis aktiv, bis das SSO-Tokenzeitlimit (Single Sign-On Party Authentication) abläuft. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.ws.security.web.logoutOnHTTPSessionExpire. |
logoutPageRedirectDomainNames | string | Eine durch Pipezeichen (|) getrennte Liste mit Domänennamen, die für die Umleitung der Abmeldeseite zugelassen werden (localhost ist impliziert). Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.logoutExitPageDomainList. | |
postParamCookieSize | int | 16384 | Gibt die Größe des POST-Parametercookies an. Wenn die Cookiegröße den Browsergrenzwert überschreitet, kann ein nicht erwartetes Verhalten auftreten. Der Wert dieser Eigenschaft muss eine positive ganze Zahl sein und stellt die maximale Größe des Cookies in Bytes dar. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.util.postParamMaxCookieSize. |
postParamSaveMethod |
|
Cookie | Gibt an, ob POST-Parameter bei Umleitungen gespeichert werden. Die gültigen Werte sind Cookie (POST-Parameter werden in einem Cookie gespeichert), Sitzung (POST-Parameter werden in der HTTP-Sitzung gespeichert) und Ohne (POST-Parameter werden nicht beibehalten). Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.util.postParamSaveMethod.
|
preserveFullyQualifiedReferrerUrl | boolean | false | Warnung, Sicherheitsrisiko: Wenn Sie diese Einstellung auswählen, setzen Sie Ihr System damit potenziellen Attacken mit URL-Umleitung aus. Diese Eigenschaft gibt an, ob der vollständig qualifizierte Referrer-URL für Umleitungen formulargesteuerte Anmeldungen beibehalten wird. Wenn Sie diese Option nicht auswählen, wird der Referrer-URL entfernt und die Anforderung an den lokalen Host umgeleitet. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.util.fullyQualifiedURL. |
singleSignonEnabled | boolean | true | Gibt an, ob Single Sign-on (SSO) aktiviert wird. |
ssoCookieName | string | LtpaToken2 | Passt den Namen des SSO-Cookies an. Ein angepasstes Cookie ermöglicht Ihnen, die Authentifizierung zwischen SSO-Domänen logisch zu trennen und eine angepasste Authentifizierung bei einer bestimmten Umgebung zuzulassen. Bevor Sie diesen Wert festlegen beachten Sie, dass die Festlegung eines angepassten Cookienamens zu einem Authentifizierungsfehler führen kann. Eine Verbindung zu einem Server, in dem eine angepasste Cookieeigenschaft definiert ist, sendet dieses angepasste Cookie beispielsweise an den Browser. Eine nachfolgende Verbindung zu einem Server, der den Standardcookienamen oder einen anderen Cookienamen verwendet, kann die Anforderung nicht durch eine Validierung des eingehenden Cookies authentifizieren. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.websphere.security.customSSOCookieName. |
ssoDomainNames | string | Eine durch Pipezeichen (|) getrennte Liste mit Domänennamen, die SSO-Cookies bereitgestellt werden müssen. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.ws.security.config.SingleSignonConfig. | |
ssoRequiresSSL | boolean | false | Gibt an, ob ein SSO-Cookie über SSL gesendet wird. Die entsprechende Eigenschaft im vollständigen Anwendungsserverprofil ist requiresSSL. |
ssoUseDomainFromURL | boolean | false | Gibt an, ob der Domänenname aus dem Anforderungs-URL für die Cookiedomäne verwendet werden soll. |
trackLoggedOutSSOCookies | boolean | false | Gibt an, ob LTPA-SSO-Token, die auf einem Server abgemeldet werden, überwacht werden sollen, sodass sie auf demselben Server nicht mehr wiederverwendet werden können. |
useAuthenticationDataForUnprotectedResource | boolean | true | Gibt an, ob Authentifizierungsdaten beim Zugriff auf eine ungeschützte Ressource verwendet werden können. Die ungeschützte Ressource kann auf validierte authentifizierte Daten zugreifen, auf die sie zuvor nicht zugreifen konnte. Diese Option ermöglicht der ungeschützten Ressource den Aufruf der Methoden getRemoteUser, isUserInRole und getUserPrincipal für den Abruf einer authentifizierten Identität. Die entsprechende angepasste Eigenschaft im vollständigen Anwendungsserverprofil ist com.ibm.wsspi.security.web.webAuthReq=persisting. |
useOnlyCustomCookieName | boolean | false | Gibt an, ob nur der angepasste Cookiename verwendet werden soll. |
wasReqURLRedirectDomainNames | string | Eine durch Pipezeichen (|) getrennte Liste mit Domänennamen, die für die Umleitung von WASReqURL-Seiten zugelassen werden. Der in der Anforderung für formulargestützte Anmeldung gefundene Hostname ist impliziert. | |
webAlwaysLogin | boolean | false | Gibt an, ob die Methode login() eine Ausnahme auslöst, wenn bereits eine ID authentifiziert wurde. |