com.ibm.websphere.security.
webseal.checkViaHeader
|
TAI を構成すると、要求のトラストを妥当性検査するときに via ヘッダーを無視することができます。
via ヘッダーのホストがトラステッドになる必要のない場合、このプロパティーを false に設定します。
false に設定すると、トラステッド・ホスト名およびホスト・ポートのプロパティーを設定する必要はなくなります。via ヘッダーが false である場合、確認する必須プロパティーは、
com.ibm.websphere.security.webseal.loginId のみです。
check via ヘッダー・プロパティーのデフォルト値は false です。
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、
このプロパティーは false に設定します。
注:
via ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
|
com.ibm.websphere.security.
webseal.loginId
|
WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成
で作成されます。
ユーザー名の形式はショート・ネーム表記です。このプロパティーは必須です。これが
WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。 |
com.ibm.websphere.security.
webseal.id
|
要求に存在するヘッダーのコンマ区切りのリスト。
すべての構成されたヘッダーが要求に存在しないと、トラストを確立できません。ID プロパティーのデフォルト値は iv-creds です。WebSphere Application Server で設定される他の値はすべて、iv-creds とともに、コンマで区切ってリストに追加されます。
|
com.ibm.websphere.security.
webseal.hostnames
|
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。
このプロパティーは、要求ヘッダーにあると予想される、信頼できるホスト名 (大/小文字を区別) を指定します。
リストされていないホストから受信する要求は、信頼されない可能性があります。
checkViaHeader プロパティーが設定されていない、または false に設定されている場合、
トラステッド・ホスト名プロパティーは影響しません。
checkViaHeader プロパティーが true に設定され、トラステッド・ホスト名プロパティーが設定されていない場合、
TAI の初期化に失敗します。
|
com.ibm.websphere.security.
webseal.ports
|
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。
このプロパティーは、トラステッド・ホスト・ポートのコンマ区切りのリストです。
リストされていないポートからの着信要求は、信頼されない可能性があります。
checkViaHeader プロパティーが設定されていない、または
false に設定されている場合、このプロパティーには影響しません。
WebSphere Application Server で checkViaHeader プロパティーが
true に設定され、トラステッド・ホスト・ポート・プロパティーが設定されていない場合、
TAI の初期化が失敗します。 |
com.ibm.websphere.security.
webseal.viaDepth
|
信頼性を確認する via ヘッダーのソース・ホスト数を指定する正整数。
デフォルトでは、via ヘッダーのすべてのホストが確認され、
信頼されていないホストがあると、トラストは確立されません。
via ヘッダー内のホストの一部だけが信頼される必要がある場合、
via depth プロパティーが使用されます。
この設定は、信頼される必要があるホストの数を示します。
例えば、以下のヘッダーについて考えてみます。
Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001
viaDepth プロパティーが
設定されていないか、2 または 0 に設定されているとき、以前の via ヘッダーを伴う要求を受け取った場合には、
webseal1:7002 および webseal2:7001 の両方が信頼される必要があります。
次の構成が適用されます。
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001
via depth プロパティーが 1 に設定されていて、前の要求を受け取った場合、
via ヘッダーの最後のホストのみが信頼される必要があります。
次の構成が適用されます。
com.ibm.websphere.security.webseal.hostnames = webseal2
com.ibm.websphere.security.webseal.ports = 7001
viaDepth プロパティーは、デフォルトで 0 に設定されています。
つまり、via ヘッダーのすべてのホストについて信頼できるかどうかが確認されます。
|
com.ibm.websphere.security.
webseal.ssoPwdExpiry
|
トラストが要求のために確立されると、シングル・サインオン・ユーザー・パスワードが
キャッシュされ、TAI はすべての要求について Tivoli Access Manager でシングル・サインオン・ユーザーを
再認証する必要がなくなります。
シングル・サインオン・パスワードの有効期限プロパティーを必要な時間 (秒) に設定することによって、キャッシュ・タイムアウト期間を変更することができます。
パスワード有効期限プロパティーが 0 に設定されていると、キャッシュされるパスワードは期限切れになりません。パスワード有効期限プロパティーのデフォルト値は 600 です。
|
com.ibm.websphere.security.
webseal.ignoreProxy
|
このプロパティーを使用して、トラステッド・ホストとしてプロキシーを無視するよう TAI に通知することができます。
true に設定された場合、ホストがプロキシーであるかどうかを確認するために、
via ヘッダーのホスト・エントリーのコメント・フィールドが確認されます。 via ヘッダーで、プロキシーであるというコメントをすべてのプロキシーが挿入するわけではないということに注意する必要があります。
ignoreProxy プロパティーのデフォルト値は false です。
checkViaHeader プロパティーが false に設定されている場合、ignoreProxy プロパティーは、トラストの確立に影響しません。
|
com.ibm.websphere.security.
webseal.configURL
|
TAI が要求のトラストを確立する場合、
アプリケーション・サーバー上の Java 仮想マシンに対して SvrSslCfg を実行し、
プロパティー・ファイルが作成されている必要があります。
このプロパティー・ファイルがデフォルトの URL file://java.home/PdPerm.properties にない場合、
このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。
このプロパティーが設定されておらず、SvrSslCfg 生成済みプロパティー・ファイルが
デフォルトのロケーションにない場合、TAI の初期化が失敗します。
構成 URL プロパティーのデフォルト値は file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties です。
|