Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI
Die Funktionsweise des SPNEGO TAI (Simple and Protected GSS-API Negotiation Mechanism Trust Association Interceptor) wird über angepasste Eigenschaften der Java™ Virtual Machine gesteuert.

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.
depfeatName der angepassten Eigenschaft | Erforderlich | Wertetyp | Standardwert | Empfohlener Wert |
---|---|---|---|---|
com.ibm.ws.security.spnego.isEnabled | Nein | Boolean | False | True |
com.ibm.ws.security.spnego.propertyReloadFile | Nein | String | Ohne | Für Windows
Für UNIX
|
com.ibm.ws.security.spnego.propertyReloadTimeout | Nein | Integer | Ohne | 120 |
com.ibm.ws.security.spnego.useHttpFilterClass2 | Nein | Boolean | False | True |
- com.ibm.ws.security.spnego.isEnabled
- Mit dieser angepassten Eigenschaft können Sie die Verwendung des SPNEGO TAI für einen gegebenen Anwendungsserver aktivieren oder inaktivieren. Wenn das Attribut auf false gesetzt ist, ist der SPNEGO TAI inaktiviert und wird vom Webauthentifizierungsmodul nicht für die Authentifizierung von Webanforderungen verwendet. Wenn das Attribut auf true gesetzt ist, ist der SPNEGO TAI aktiviert und wird vom Webauthentifizierungsmodul für die Authentifizierung von Webanforderungen verwendet.
- com.ibm.ws.security.spnego.propertyReloadFile
- Mit dieser angepassten Eigenschaft können Sie die Datei mit den Konfigurationseigenschaften des
SPNEGO TAI identifizieren, wenn es nicht wünschenswert ist, den Anwendungsserver zu stoppen und neu zu starten. Die
Eigenschaften in dieser Datei können neu geladen werden, um den
SPNEGO TAI zu konfigurieren.Wichtig: Die in der angegebenen Datei definierten Eigenschaften setzen alle Eigenschaften außer Kraft, die in der Administrationskonsole definiert wurden.
Hier sehen Sie ein Beispiel dieser erneut geladenen Datei:
########################################################## # Schabloneneigenschaftendatei für SPNEGO TAI # # Soweit möglich, wurden Standardwerte angegeben # ########################################################## #--------------------------------------------------------- # Hostname #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.HostName=wsecurity.austin.ibm.com #--------------------------------------------------------- # (Optional) SpnegoNotSupportedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.SpnegoNotSupportedPage= #--------------------------------------------------------- # (Optional) NTLMTokenReceivedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.NTLMTokenReceivedPage= #--------------------------------------------------------- # (Optional) FilterClass #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.FilterClass=com.ibm.ws.spnego.HTTPHeaderFilter #--------------------------------------------------------- # (Optional) Filter #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.Filter=
Wichtig: Falls die angepasste Eigenschaft "com.ibm.ws.security.spnego.propertyReloadFile" gesetzt ist, die angepasste Eigenschaft "com.ibm.ws.security.spnego.propertyReloadTimeout" jedoch nicht, wird der SPNEGO TAI nicht initialisiert. - com.ibm.ws.security.spnego.propertyReloadTimeout
- Mit dieser angepassten Eigenschaft können Sie das Zeitintervall in Sekunden angeben, nach dem der SPNEGO TAI die Konfigurationseigenschaften neu lädt. Der SPNEGO TAI lädt die Konfigurationseigenschaften ebenfalls neu, wenn sich die von der angepassten Eigenschaft "com.ibm.ws.security.spnego.propertyReloadFile" angegebene Datei seit dem letzten Abruf der angepassten Konfigurationseigenschaften geändert hat. Für dieses Zeitintervall (in Sekunden) muss eine positive ganze Zahl angegeben werden.
- com.ibm.ws.security.spnego.useHttpFilterClass2
- Verwenden Sie diese angepasste Eigenschaft, um festzulegen, dass die HttpHeaderFilter-Klassen verwendet werden sollen. Die HttpHeaderFilter-Klassen bieten Folgendes:
- Sie aktivieren den für SPNEGO-TAI-Filter zu verwendenden Operator !=.
- Sie unterstützen Leerzeichen in einem SPNEGO-TAI-Filter.
Wenn diese Eigenschaft auf true gesetzt ist, funktioniert die folgende Filterspezifikation ordnungsgemäß.
user-agent!=IBM Web Services Explorer;request-url!=noSPNEGO
Wenn diese Eigenschaft auf false gesetzt oder nicht angegeben wird, funktioniert der vorherige Filter nicht ordnungsgemäß.
- Falls die angepassten Eigenschaften "com.ibm.ws.security.spnego.propertyReloadFile" und "com.ibm.ws.security.spnego.propertyReloadTimeout" nicht gesetzt sind, werden die Eigenschaften des SPNEGO TAI nur einmal geladen. Bei diesen geladenen Eigenschaften handelt es sich um die angepassten Eigenschaften des SPNEGO TAI, die in den Konfigurationsdaten von WebSphere Application Server festgelegt sind. Das einmalige Laden der Eigenschaften erfolgt bei Initialisierung der JVM.
- Falls die angepasste Eigenschaft "com.ibm.ws.security.spnego.propertyReloadTimeout" gesetzt ist, die angepasste Eigenschaft "com.ibm.ws.security.spnego.propertyReloadFile" jedoch nicht, wird der SPNEGO TAI nicht initialisiert. Im Artikel Angepasste JVM-Eigenschaften konfigurieren, HTTP-Anforderungen filtern und SPNEGO-TAI in WebSphere Application Server aktivieren (nicht mehr unterstützt) wird beschrieben, wie Sie die angepassten JVM-Eigenschaften für SPNEGO TAI konfigurieren.
Name der angepassten Eigenschaft | Erforderlich | Wertetyp | Standardwert | Empfohlener Wert |
---|---|---|---|---|
com.ibm.security.jgss.debug | Nein | String | Ohne | "off" oder "all" |
com.ibm.security.krb5.Krb5Debug | Nein | String | Ohne | "off" oder "all" |
java.security.properties | Nein | String | Ohne | |
javax.security.auth.useSubjectCredsOnly | Ja | Boolean | True | False |
- com.ibm.security.jgss.debug
- Diese angepasste Eigenschaft ist optional. Mit dieser optionalen angepassten Eigenschaft können Diagnosetraceinformationen für die Fehlerbestimmung in der JGSS-API-Implementierung (Java Generic Security Service) erfasst werden. Die Eigenschaft kann auf den Wert all oder off gesetzt werden, um die Tracefunktion zu aktivieren bzw. zu inaktivieren. Spezifische Informationen zur JGSS-API finden Sie in der Veröffentlichung Java Generic Security Service User's Guide.
- com.ibm.security.krb5.Krb5Debug
- Diese angepasste Eigenschaft ist optional. Sie können sie verwenden, um zusätzliche Diagnosetraceinformationen für die Problembestimmung in der JGSS-Implementierung zu erfassen. Die Eigenschaft kann auf den Wert all oder off gesetzt werden, um die Tracefunktion zu aktivieren bzw. zu inaktivieren.
- java.security.properties
- Diese Eigenschaft ist optional. Sie können sie verwenden, wenn verschiedene Anwendungsserver in einer Zelle unterschiedliche Sicherheitsanforderungen haben und es nicht wünschenswert ist, die globale Datei java.security für die gesamte Zelle zu modifizieren. In solchen Situationen wird mit der angepassten Eigenschaft "java.security.properties" die Position der Datei java.security angegeben, die von der JVM für jeden einzelnen Server verwendet wird.
- javax.security.auth.useSubjectCredsOnly
- Zum JGSS gehört eine optionale JAAS-Anmeldefunktion (Java Authentication and Authorization Service), die
Principal-Berechtigungsnachweise und geheime Schlüssel im
Subject des JAAS-Anmeldekontextes der Anwendung speichert. JGSS ruft standardmäßig Berechtigungsnachweise und geheime Schlüssel aus dem Subject ab. Dieses
Feature können Sie inaktivieren, indem Sie die Java-Eigenschaft "javax.security.auth.useSubjectCredsOnly" auf false setzen. Achtung: Der SPNEGO TAI verwendet das optionale JAAS-Anmeldemodul nicht. Die Eigenschaft "javax.security.auth.useSubjectCredsOnly" muss auf false gesetzt sein.