com.ibm.websphere.security.
webseal.checkViaHeader
|
TAI を構成すると、要求のトラストを妥当性検査するときに via ヘッダーを無視することができます。
via ヘッダーのホストがトラステッドになる必要のない場合、このプロパティーを false に設定します。
false に設定すると、トラステッド・ホスト名およびホスト・ポートのプロパティーを設定する必要はなくなります。via ヘッダーが false である場合、確認する必須プロパティーは、
com.ibm.websphere.security.webseal.loginId のみです。
check via ヘッダー・プロパティーのデフォルト値は false です。
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、
このプロパティーは false に設定します。
注:
via ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
|
com.ibm.websphere.security.
webseal.loginId
|
WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成
で作成されます。
ユーザー名の形式はショート・ネーム表記です。このプロパティーは必須です。これが
WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。 |
com.ibm.websphere.security.
webseal.id
|
要求に存在するヘッダーのコンマ区切りのリスト。
すべての構成されたヘッダーが要求に存在しないと、トラストを確立できません。ID プロパティーのデフォルト値は iv-creds です。WebSphere Application Server で設定される他の値はすべて、iv-creds とともに、コンマで区切ってリストに追加されます。
|
com.ibm.websphere.security.
webseal.hostnames
|
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。
このプロパティーは、要求ヘッダーにあると予想される、信頼できるホスト名 (大/小文字を区別) を指定します。
リストされていないホストから受信する要求は、信頼されない可能性があります。
checkViaHeader プロパティーが設定されていない、または false に設定されている場合、
トラステッド・ホスト名プロパティーは影響しません。
checkViaHeader プロパティーが true に設定され、トラステッド・ホスト名プロパティーが設定されていない場合、
TAI の初期化に失敗します。
|
com.ibm.websphere.security.
webseal.ports
|
Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。
このプロパティーは、トラステッド・ホスト・ポートのコンマ区切りのリストです。
リストされていないポートからの着信要求は、信頼されない可能性があります。
checkViaHeader プロパティーが設定されていない、または
false に設定されている場合、このプロパティーには影響しません。
WebSphere Application Server で checkViaHeader プロパティーが
true に設定され、トラステッド・ホスト・ポート・プロパティーが設定されていない場合、
TAI の初期化が失敗します。 |
com.ibm.websphere.security.
webseal.viaDepth
|
信頼性を確認する via ヘッダーのソース・ホスト数を指定する正整数。
デフォルトでは、via ヘッダーのすべてのホストが確認され、
信頼されていないホストがあると、トラストは確立されません。
via ヘッダー内のホストの一部だけが信頼される必要がある場合、
via depth プロパティーが使用されます。
この設定は、信頼される必要があるホストの数を示します。
例えば、以下のヘッダーについて考えてみます。
Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001
viaDepth プロパティーが
設定されていないか、2 または 0 に設定されているとき、以前の via ヘッダーを伴う要求を受け取った場合には、
webseal1:7002 および webseal2:7001 の両方が信頼される必要があります。
次の構成が適用されます。
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001
via depth プロパティーが 1 に設定されていて、前の要求を受け取った場合、
via ヘッダーの最後のホストのみが信頼される必要があります。
次の構成が適用されます。
com.ibm.websphere.security.webseal.hostnames = webseal2
com.ibm.websphere.security.webseal.ports = 7001
viaDepth プロパティーは、デフォルトで 0 に設定されています。
つまり、via ヘッダーのすべてのホストについて信頼できるかどうかが確認されます。
|
com.ibm.websphere.security.
webseal.ssoPwdExpiry
|
トラストが要求のために確立されると、シングル・サインオン・ユーザー・パスワードが
キャッシュされ、TAI はすべての要求について Tivoli Access Manager でシングル・サインオン・ユーザーを
再認証する必要がなくなります。
シングル・サインオン・パスワードの有効期限プロパティーを必要な時間 (秒) に設定することによって、キャッシュ・タイムアウト期間を変更することができます。
パスワード有効期限プロパティーが 0 に設定されていると、キャッシュされるパスワードは期限切れになりません。パスワード有効期限プロパティーのデフォルト値は 600 です。
|
com.ibm.websphere.security.
webseal.ignoreProxy
|
このプロパティーを使用して、トラステッド・ホストとしてプロキシーを無視するよう TAI に通知することができます。
true に設定された場合、ホストがプロキシーであるかどうかを確認するために、
via ヘッダーのホスト・エントリーのコメント・フィールドが確認されます。 via ヘッダーで、プロキシーであるというコメントをすべてのプロキシーが挿入するわけではないということに注意する必要があります。
ignoreProxy プロパティーのデフォルト値は false です。
checkViaHeader プロパティーが false に設定されている場合、ignoreProxy プロパティーは、トラストの確立に影響しません。
|
com.ibm.websphere.security.
webseal.configURL
|
このプロパティーを、${USER_INSTALL_ROOT}/etc/pd/PolicyDirector/PDPerm.properties に設定します。
TAI が要求のトラストを確立する場合、
セル内の各ノードに PDPerm.properties ファイルが存在する必要があります。
また、このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。
このプロパティーが設定されていないか、または PDPerm.properties ファイルが指定された
ロケーションにない場合、TAI の初期化が失敗します。
PDPerm.properties ファイルは、ノードの Tivoli Access Manager 構成の一部です。
Tivoli Access Manager 構成を作成するには、
pdjrtecfg スクリプトを実行してから、セル内の各ノードに対して svrsslcfg スクリプトを実行します。
PDPerm.properties ファイルが ${USER_INSTALL_ROOT}/etc/pd/PolicyDirector/ ディレクトリーに作成されます。
|