Angepasste Eigenschaften für die Sicherheit

Verwenden Sie diese Seite, um sich mit den angepassten Eigenschaften "psecurity.allowCustomHTTPMethodsredefined" vertraut zu machen, die sich auf die Sicherheit beziehen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit > Angepasste Eigenschaften. Klicken Sie anschließend auf Neu, um eine neue angepasste Eigenschaft und den zugehörigen Wert hinzuzufügen.

Die angepassten Eigenschaften in diesem Artikel werden in der Administrationskonsole über den zuvor aufgelisteten Pfad definiert, sofern in der Beschreibung nichts anderes angegeben ist.

Sie können auf der Seite "Angepasste Eigenschaften" die folgenden angepassten Sicherheitseigenschaften definieren:
[z/OS]

com.ibm.audit.field.length.limit

Diese Eigenschaft gilt nur für die SMF-Emitterimplementierung, die IBM für das Sicherheitsprüfungsfeature bereitstellt. Mit dieser Eigenschaft können Sie die Länge (in Bytes) angeben, bei der Prüfdaten variabler Länge abgeschnitten werden. Wenn diese angepasste Eigenschaft nicht angegeben wird und der Schwellenwert 20480 überschritten wird, werden Prüfdatenfelder variabler Länge standardmäßig auf 128 Bytes gekürzt.

Fehler vermeiden Fehler vermeiden: Sie müssen den Befehl modifyAuditEmitter für das Objekt "AdminTask" verwenden, um diese angepasste Eigenschaft zu aktivieren. Eine Beschreibung der Verwendung dieses Befehls finden Sie in der Dokumentation zur Befehlsgruppe "AuditEmitterCommands" für das Objekt "AdminTask".gotcha

Die SMF-Verlagerungsdaten haben einen Größenschwellenwert von 20480 Bytes. Wenn die Größe der Prüfdaten diesen Grenzwert überschreitet, werden die Prüfdaten gekürzt, um den Verlust der Prüfdatensätze zu verhindern.

Information Wert
Standardeinstellung 20480
Typ Ganze Zahl zwischen 1 und 512

com.ibm.audit.report.granularity

Mit dieser Eigenschaft können Sie angeben, wie viele Prüfdaten für jeden Ereignistyp aufgezeichnet werden. Wenn Sie nur die Basisinformationen zu einem Ereignis aufzeichnen müssen, z. B. wer wann welche Aktion für welche Ressource ausgeführt hat, können Sie durch Setzen dieser Eigenschaft auf high unter Umständen die Leistung Ihres Anwendungsservers verbessern.

Sie können den Wert high, medium oder low für diese Eigenschaft angeben. Der Standardwert ist low.

Tabelle 1. In der folgenden Tabelle sind die Datentypen angegeben, die für jeden Ereignistyp auf der Basis der Einstellung für "com.ibm.audit.report.granularity" aufgezeichnet werden.. In der folgenden Tabelle sind die Typen der Daten angegeben, die für jeden Ereignistyp je nach Einstellung dieser Eigenschaft aufgezeichnet werden.
Ereignistyp Einstellung high Einstellung medium Einstellung low
SessionContext sessionId sessionId, remoteHost sessionId, remoteHost, remoteAddr, remotePort
PropagationContext (wird nur aufgezeichnet, wenn SAP aktiviert ist) firstCaller (im Rahmen der Personendaten) firstCaller und bei aktivem ausführlichen Modus callerList firstCaller und bei aktivem ausführlichen Modus callerList
RegistryContext Es werden keine Daten aufgezeichnet. registry type registry type
ProcessContext Es werden keine Daten aufgezeichnet. realm realm und domain, wenn der ausführliche Modus aktiviert ist
EventContext creationTime creationTime, globalInstanceId creationTime, globalInstanceId, eventTrailId und lastTrailId, wenn der ausführliche Modus aktiviert ist
DelegationContext identityName delegationType und identityName delegationType, roleName und identityName
AuthnContext Es werden keine Daten aufgezeichnet. Typ von authn Typ von authn
ProviderContext Es werden keine Daten aufgezeichnet. provider provider und providerStatus
AuthnMappingContext mappedUserName mappedUserName und mappedSecurityRealm mappedUserName, mappedSecurityRealm und mappedSecurityDomain
AuthnTermContext terminateReason terminateReason terminateReason
AccessContext progName, action, appUserName und resourceName progName, action, appUserName, resourceName, registryUserName und accessDecision progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked und rolesGranted
PolicyContext Es werden keine Daten aufgezeichnet. policyName policyName und policyType
KeyContext keyLabel keyLabel und keyLocation keyLabel, keyLocation und certificateLifetime
MgmtContext Es werden keine Daten aufgezeichnet. mgmtType und mgmtCommand mgmtType, mgmtCommand und targetInfoAttributes

com.ibm.CSI.disablePropagationCallerList

Diese Eigenschaft inaktiviert die Caller-Liste vollständig und lässt Änderungen der Caller-Liste nicht zu. Diese Eigenschaft verhindert, dass mehrere Sitzungen erstellt werden.

Diese Eigenschaft verhindert, dass eine Caller- oder Hostliste im Weitergabetoken hinzugefügt wird. Die Definition dieser Eigenschaft kann von Vorteil sein, wenn die Caller-Liste oder Hostliste im Weitergabetoken in der Umgebung nicht benötigt wird.
Fehler vermeiden Fehler vermeiden: Wenn die angepasste Eigenschaft com.ibm.CSI.propagateFirstCallerOnly auf "true" gesetzt wird, hat diese Einstellung Vorrang vor der Einstellung der hier beschriebenen Eigenschaft.gotcha
Information Wert
Standardeinstellung false
[z/OS]

com.ibm.CSI.localCommDataForNonLocalOSEnabled

Diese Eigenschaft ermöglicht die Verwendung lokaler Kommunikationsdaten als Authentifizierungsmaterial für die CSIv2-Transportschicht, wenn LocalOS nicht als Benutzerregistry definiert ist.

Wenn Sie diese Eigenschaft auf true setzen, entsprechen die Daten, die aus dem lokalen Kommunikationstransport abgerufen werden, der ASID des lokalen Clients, der eine Verbindung zu einem WAS-Prozess herstellt. Es muss ein Benutzer, der der ASID entspricht, in der Benutzerregistry vorhanden sein. Wenn eine Nachricht des Typs "CSIv2 Establish" von einem WAS-Prozess empfangen wird und die Zusicherung der Identität angefordert wurde, können die aus dem lokalen Kommunikationstransport abgerufenen Daten verwendet werden, um sicherzustellen, dass der Client berechtigt ist, den Benutzer, der im Identitätstoken in der Attributschicht angegeben wurde, zuzusichern. Falls der durch die empfangene ASID dargestellte Benutzer in der Liste der anerkannten Identitäten auf der Seite für die eingehende CSIv2-Authentifizierung in der Administrationskonsole enthalten ist, kann diese ID das Identitätstoken zusichern.

Information Wert
Standardeinstellung false

com.ibm.CSI.propagateFirstCallerOnly

Diese Eigenschaft beschränkt die Caller-Liste auf den ersten Caller, d. h., die Caller-Liste kann nicht geändert werden. Hat diese Eigenschaft den Wert "true", ist die Erstellung mehrerer Sitzungseinträge nicht mehr möglich.

Diese Eigenschaft bewirkt, dass bei aktivierter Weitergabe von Sicherheitsattributen der erste Caller im Weitergabetoken, der im Thread bleibt, protokolliert wird. Ohne diese Eigenschaft wird jeder Wechsel des Aufrufenden protokolliert. Dies kann sich negativ auf die Leistung auswirken. Gewöhnlich ist nur der erste Caller von Interesse.

Fehler vermeiden Fehler vermeiden: Wenn die angepasste Eigenschaft com.ibm.CSI.disablePropagationCallerList auf "true" gesetzt wird, hat diese Einstellung Vorrang vor der Einstellung der hier beschriebenen Eigenschaft.gotcha
Information Wert
Standardeinstellung true
Anmerkung: Der Standardwert der angepassten Sicherheitseigenschaft "com.ibm.CSI.propagateFirstCallerOnly" lautet true. Wenn diese angepasste Eigenschaft auf true gesetzt ist, wird bei aktivierter Weitergabe von Sicherheitsattributen der erste Caller im Weitergabetoken, der im Thread bleibt, protokolliert. Wenn diese Eigenschaft auf false gesetzt wird, werden Wechsel des Aufrufenden protokolliert. Dies kann sich negativ auf die Leistung auswirken.

com.ibm.CSI.rmiInboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration (Java Authentication and Authorization Service) an, die für eingehende RMI-Anforderungen (Remote Method Invocation) verwendet wird.

Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für RMI-Anmeldungen behandeln kann.

Information Wert
Standardeinstellung system.RMI_INBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingConfig

Diese Eigenschaft definiert die JAAS-Anmeldekonfiguration des Systems, die für die Durchführung anwendungsspezifischer Principalzuordnungen verwendet wird.

Information Wert
Standardeinstellung Ohne
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingEnabled

Wenn Sie diese Eigenschaft auf true setzen, wird die Funktionalität für anwendungsspezifische Principaluuordnungen aktiviert.

Information Wert
Standardeinstellung false

com.ibm.CSI.rmiOutboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für abgehende RMI-Anforderungen verwendet wird.

Hauptsächlich bereitet diese Eigenschaft die weitergegebenen Attribute im Subject vor, das an den Zielserver gesendet wird. Für die Zuordnung abgehender Anforderungen können Sie aber auch ein eigenes Anmeldemodul einsetzen.

Information Wert
Standardeinstellung system.RMI_OUTBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiOutboundMappingEnabled

Wenn Sie diese Eigenschaft auf true setzen, kann das in das WSSubjectWrapper-Objekt eingebettete ursprüngliche Caller-Subjekt wiederhergestellt werden.

Information Wert
Standardeinstellung false

com.ibm.CSI.supportedTargetRealms

Diese Eigenschaft aktiviert Berechtigungsnachweise, die im aktuellen Realm authentifiziert sind und an jeden Realm gesendet werden sollen, der im Feld "Anerkannte Zielrealms" angegeben ist. Das Feld "Anerkannte Zielrealms" ist in der Anzeige "Authentifizierung abgehender CSIv2-Anforderungen" verfügbar. Die Eigenschaft ermöglicht diesen Realms, die vom aktuellen Realm eingehenden Daten zuzuordnen.

Es wird empfohlen, Authentifizierungsinformationen nicht an einen unbekannten Realm zu senden. Diese Eigenschaft bietet somit die Möglichkeit, anerkannte alternative Realms anzugeben. Führen Sie die folgenden Schritte aus, um auf die Anzeige "Authentifizierung abgehender CSIv2-Anforderungen" aufzurufen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2.

com.ibm.security.multiDomain.setNamingReadUnprotected

Diese Eigenschaft kann auf true gesetzt werden, wenn die Rolle "CosNamingRead" alle NamingRead-Operationen schützen soll. Wenn Sie diese Eigenschaft auf "true" setzen, entspricht dies dem Zuordnen der Rolle "CosNamingRead" zum Sondersubjekt "Everyone" (Jeder). Wenn diese Eigenschaft gesetzt ist, werden alle vorgenommenen Zuordnungen zur Rolle "CosNamingRead" ignoriert.

Information Wert
Standardeinstellung Ohne
[z/OS]

com.ibm.security.SAF.forceDelegation

Bestimmt, ob die SAF-Delegierung (System Authorization Facility) unabhängig von der SAF-Berechtigung verwendet werden kann. Wenn Sie diese Eigenschaft auf true setzen, kann die SAF-Delegierung verwendet werden, wenn die Benutzerregistry eine Benutzerregistry für eingebundene Repositorys und mit der SAF-Benutzerregistry-Brücke konfiguriert ist.

Für diese Eigenschaft gibt es keine Standardeinstellung.

[z/OS]

com.ibm.security.SAF.overrideStartupAPPL

Diese Eigenschaft kann verwendet werden, um den Wert für das APPL-Profil zu überschreiben, insbesondere für die beiden RACROUTE-Aufrufe, die während des Serverstarts abgesetzt werden. Der APPL-Wert wird für diese Aufrufe im Berechtigungsprüfprozess nicht verwendet, aber den Exitroutinen der Installation zur Verfügung gestellt. Der für die Berechtigungsprüfung verwendete Wert des APPL-Profils wird nicht über diese Eigenschaft gesteuert, sondern auf CBS390 oder auf den Wert des SAF-Profilpräfix gesetzt.

Information Wert
Standardeinstellung Ohne
[z/OS]

com.ibm.security.SAF.useAPPLpr

Diese angepasste Eigenschaft gibt an, ob das APPL-Profil verwendet werden soll, um den Zugriff auf WebSphere Application Server zu beschränken.

Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.

Information Wert
Standardeinstellung true

com.ibm.security.useFIPS

Gibt an, dass FIPS-Algorithmen (Federal Information Processing Standard) verwendet werden. Der Anwendungsserver verwendet den Verschlüsselungsprovider IBMJCEFIPS anstelle des Verschlüsselungsproviders IBMJCE.

Information Wert
Standardeinstellung false

com.ibm.websphere.crypto.config.certexp.notify.fromAddress

Diese Sicherheitseigenschaft wird verwendet, um die Absenderadresse für E-Mail-Benachrichtigungen zum Zertifikatsverfall anzupassen.

Der Wert, den Sie dieser Eigenschaft zuordnen, muss eine Internetadresse sein, wie z. B. Notification@abc-company.com. Wenn diese Eigenschaft nicht gesetzt ist, verwendet der Anwendungsserver als Ausgangsadresse "WebSphereNotification@ibm.com".

Information Wert
Standardeinstellung Ohne

com.ibm.websphere.crypto.config.certexp.notify.textEncoding

Diese Sicherheitseigenschaft wird verwendet, um den Zeichensatz für die Textcodierung von E-Mail-Benachrichtigungen zum Zertifikatsverfall anzupassen.

WebSphere Application Server sendet eine Benachrichtigungs-E-Mail zum Zertifikatsverfall in Englisch (US) bzw. im Standardzeichensatz der Maschine (wenn eine nicht englische Ländereinstellung angegeben ist). Wenn Sie einen Zeichensatz für Textcodierung von E-Mail-Nachrichten zum Zertifikatsverfall verwenden möchten, können Sie den Zeichensatz mit dieser Eigenschaft anpassen.

Information Wert
Standardeinstellung Ohne

com.ibm.websphere.lookupRegistryOnProcess

Diese Eigenschaft kann gesetzt werden, wenn Suchen in der Realm-Registry über eine MBean auf einem fernen Server durchgeführt werden und der Realm der Sicherheit des lokalen Betriebssystems unterliegt.

Standardmäßig führen die Benutzerregistry-Tasks "listRegistryUsers" und "listRegistryGroups" die Suche über den aktuellen Prozess durch. Bei Network Deployment ist dies der Deployment-Manager-Prozess (deployment).

Wenn Sie mit einer Benutzerregistry des lokalen Betriebssystems arbeiten, sollten Suchoperationen auf dem Server stattfinden, auf dem sich die Registry befindet. In einer Network Deployment-Umgebung könnte dies eine ferne Maschine sein. Wenn Sie Suchoperationen in dem Serverprozess durchführen möchten, in dem sich die Registry befindet, müssen Sie die angepasste Eigenschaft "com.ibm.websphere.lookupRegistryOnProcess" auf true setzen.

Wenn Sie "com.ibm.websphere.lookupRegistryOnProcess" nicht definieren oder auf falsesetzen, wird die Suchoperation im aktuellen Prozess durchgeführt. Die angepasste Eigenschaft kann mit der Task "setAdminActiveSecuritySettings" für die globale Sicherheit bzw. mit der Task "setAppActiveSecuritySettings" für eine Sicherheitsdomäne definiert werden.

com.ibm.websphere.security.allow.committed.response

Diese angepasste Eigenschaft gibt an, ob festgeschriebene HTTP-Antworten zulässig sind.

Wenn der Anwendungsserver eine festgeschriebene HTTP-Antwort ermittelt, wird die generische Fehlernachricht "403" angezeigt. Setzen Sie diese Eigenschaft auf true, um festgeschriebene HTTP-Antworten zuzulassen und die Fehlernachricht "403" zu unterdrücken. In Konfigurationen, die angepasste Anmeldemodule verwenden, kann das Modul eine HTTP-Antwort festschreiben, um eine angepasste Fehlernachricht anzuzeigen.

Der Standardwert ist false.

com.ibm.websphere.security.allowAnyLogoutExitPageHost

Wenn Sie die formularbasierte Anwendungsanmeldung und -abmeldung verwenden, können Sie einen URL für eine angepasste Abmeldeseite angeben. Standardmäßig muss der URL auf den Host, an den die Anforderung abgesetzt wird, bzw. auf seine Domäne verweisen. Wenn dies nicht der Fall ist, wird eine generische Abmeldeseite anstelle der angepassten Abmeldeseite angezeigt. Falls Sie auf einen Host verweisen möchten, müssen Sie diese Eigenschaft in der Datei security.xml auf true setzen. Wenn Sie diese Eigenschaft auf true setzen, sind Ihre Systeme möglicherweise offen für Angriffe, die auf eine URL-Umadressierung abzielen.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.alwaysRestoreOriginalURL

Verwenden Sie diese Eigenschaft, um anzugeben, ob ein Cookie mit dem Wert "WASReqURL" bei der Verwendung des Prozessors für angepasste Formularanmeldung berücksichtigt wird.

Wenn diese Eigenschaft auf true gesetzt ist, hat der Wert "WASReqURL" Vorrang vor dem aktuellen URL, und das WASReqURL-Cookie wird aus nachfolgenden Anforderungen entfernt.

Wenn diese Eigenschaft auf false gesetzt ist, hat der Wert des aktuellen URL Vorrang, und das WASReqURL-Cookie wird nicht aus nachfolgenden Anforderungen entfernt.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.auth.setDRSBootstrap

Gibt an, ob der Datenreplikationsservice (DRS) die Funktion DRSbootstrap aktiviert.

In Umgebungen mit hoher Verfügbarkeit kann die Replikation der Daten des dynamischen Cache die Serverstartzeit verlängern. Wenn Sie feststellen, dass die Serverstartzeiten sich aufgrund der Datenreplikation verlangsamen, fügen Sie diese Eigenschaft zu den Sicherheitseinstellungen Ihres Servers hinzu, und setzen Sie sie auf false. Wird diese Eigenschaft auf "false" gesetzt, inaktiviert der Datenreplikationsservice die Funktion "DRSbootstrap".

Die Standardeinstellung für diese Eigenschaft ist "true".

[z/OS]

com.ibm.websphere.security.cms.use.default

Gibt an, ob die CMSProvider-Standardversion unter z/OS von Version 4 auf Version 3 für die neuen CMS-Keystores geändert werden soll, die mit WebSphere Application Server generiert wurden.

Für CMSProvider Version 2.50 ist die Standardspezifikationsversion Version 4. Neu generierte Keystores haben Version 4, wohingegen z/OS momentan keine CMS-Keystores der Version 4 verwenden kann. Für diese mit CMS-Keystores der Version 4 setzen Sie die Eigenschaft com.ibm.websphere.security.cms.use.default=true, sodass die CMSProvider-Standardversion unter z/OS von Version 4 auf Version 3 geändert wird. Wenn Ihre Keystores bereits mit früheren Java-Versionen generiert wurden, haben sie bereits Version 3 und können erfolgreich mit CMSProvider 2.50 unter z/OS verwendet werden.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.config.inherit.trustedRealms

Diese Eigenschaft wird verwendet, damit die globalen Einstellungen für vertrauenswürdige Realms aus der globalen Sicherheitskonfiguration der Domäne übernommen werden.

Die vertrauenswürdigen eingehenden und abgehenden Realms der Sicherheitskonfiguration werden standardmäßig nicht übernommen. Es gibt jedoch einige Fälle, in denen die Konfiguration die Einstellungen aus der globalen Sicherheitskonfiguration der Domäne verwenden (übernehmen) sollte.

Die gültigen Werte für diese Eigenschaft sind true und false.

com.ibm.websphere.security.console.noSSLTreePortEndpoints

Diese Eigenschaft wird verwendet, um die Antwortzeit für große Topologiekonfigurationen zu verbessern.

Wenn Sie diese Eigenschaft auf true setzen, wird der Status der SSL-Portendpunkte nicht auf der Seite "Sicherheitskonfigurationen für Endpunkte verwalten" in der Administrationskonsole angezeigt. Manchmal hat es beim Anzeigen des Status von SSL-Portendpunkten den Anschein, dass die Administrationskonsole nicht mehr funktioniert, weil die Antwortzeit länger ist als erwartet.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.continueAfterTAIError

Diese Eigenschaft leitet Sie automatisch an eine Anmeldeseite weiter, wenn ein angepasster TAI einen Fehler zurückgibt.

Es ist nicht erforderlich, dass Sie in Ihrem Browser erneut einen URL eingeben, um eine neue Anmeldung zu versuchen. Die Eigenschaft muss auf true gesetzt werden, um dieses Verhalten zu ermöglichen.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.customLTPACookieName

Diese Eigenschaft wird verwendet, um den Namen der Cookies anzupassen, die für LTPA-Token (Lightweight Third Party Authentication) verwendet werden.

In WebSphere Application Server Version 8.0 können Sie die Namen der Cookies, die für LTPA- und LTPA2-Token verwendet werden, anpassen. Mithilfe angepasster Cookienamen können Sie die Authentifizierung der einzelnen SSO-Domänen logisch trennen und die angepasste Authentifizierung für eine bestimmte Umgebung aktivieren.

Um diese Funktionalität nutzen zu können, müssen Sie eine angepasste Eigenschaft definieren. Für LTPA-Token kann die angepasste Eigenschaft "com.ibm.websphere.security.customLTPACookieName" für das LTPA-Token-Cookie bzw. "com.ibm.websphere.security.customSSOCookieName" für das LTPA2-(SSO)-Token-Cookie auf eine beliebige gültige Zeichenfolge (Sonderzeichen und Leerzeichen sind nicht zulässig) gesetzt werden. Bei der Eingabe der Eigenschaften ist die Groß-/Kleinschreibung zu beachten.

Der Wert für diese Eigenschaft ist eine gültige Zeichenfolge.

Anmerkung: Beachten Sie vor der Definition dieser angepassten Eigenschaft Folgendes:
  • Diese Eigenschaft kann wie die meisten angepassten Eigenschaften auf Sicherheitsdomänenebene definiert werden. Auf diese Weise kann eine separate Anmeldung zwischen einer Administrationskonsolenanwendung und einer Anwendungsanmeldung erzwungen werden.
  • Die ursprünglichen Standardcookienamen LtpaToken und LTPAToken2 werden von WebSphere Application Server Version 8.0 akzeptiert und anerkannt. Dies ermöglicht die Kompatibilität mit Produkten wie Lotus Domino und WebSphere Portal, die beide den Standardcookienamen nutzen.
  • Die Definition eines angepassten Cookienamens kann einen Authentifizierungsfehler auslösen. Eine Verbindung zu einem Server, in dem die Eigenschaft für angepasste Cookies definiert ist, sendet dieses angepasste Cookie beispielsweise an den Browser. Eine nachfolgende Verbindung zu einem Server, der den Standardcookienamen oder einen anderen Cookienamen verwendet, kann die Anforderung durch Validierung des eingehenden Cookies nicht authentifizieren.
  • Diese Eigenschaft funktioniert in einer heterogenen Zellenumgebung nicht ordnungsgemäß. Ein Deployment Manager in WebSphere Application Server Version 8.0 könnte beispielsweise angepasste Cookies erstellen. Ein Knoten oder Server der WebSphere Application Server Version 7.0 in derselben Zelle hingegen kann dieses Cookie nicht verarbeiten und weist es deshalb zurück.
  • Wenn Sie ein Produkt verwenden, das mit WebSphere Application Server interagiert und LTPA-Token generiert, wie z. B. Lotus Domino oder WebSphere Portal, müssen Sie beachten, dass diese Produkte unter Umständen keine angepassten LTPA-Cookienamen verarbeiten können. Ziehen Sie die Dokumentation zu Ihrem Produkt zu Rate, um festzustellen, wie das Produkt angepasste LTPA-Cookienamen verarbeitet.
Anmerkung: Zum Aktivieren dieser Eigenschaft ist ein Neustart von WebSphere Application Server erforderlich.

com.ibm.websphere.security.customSSOCookieName

Diese Eigenschaft wird verwendet, um den Namen der Cookies anzupassen, die für LTPA2-Token (Lightweight Third Party Authentication Version 2) verwendet werden.

In WebSphere Application Server Version 8.0 können Sie die Namen der Cookies, die für LTPA- und LTPA2-Token verwendet werden, anpassen. Mithilfe angepasster Cookienamen können Sie die Authentifizierung der einzelnen SSO-Domänen logisch trennen und die angepasste Authentifizierung für eine bestimmte Umgebung aktivieren.

Um diese Funktionalität nutzen zu können, müssen Sie eine angepasste Eigenschaft definieren. Für LTPA-Token kann die angepasste Eigenschaft "com.ibm.websphere.security.customLTPACookieName" für das LTPA-Token-Cookie bzw. "com.ibm.websphere.security.customSSOCookieName" für das LTPA2-(SSO)-Token-Cookie auf eine beliebige gültige Zeichenfolge (Sonderzeichen und Leerzeichen sind nicht zulässig) gesetzt werden. Bei der Eingabe der Eigenschaften ist die Groß-/Kleinschreibung zu beachten.

Der Wert für diese Eigenschaft ist eine gültige Zeichenfolge.

Anmerkung: Beachten Sie vor der Definition dieser angepassten Eigenschaft Folgendes:
  • Diese Eigenschaft kann wie die meisten angepassten Eigenschaften auf Sicherheitsdomänenebene definiert werden. Auf diese Weise kann eine separate Anmeldung zwischen einer Administrationskonsolenanwendung und einer Anwendungsanmeldung erzwungen werden.
  • Die ursprünglichen Standardcookienamen LtpaToken und LTPAToken2 werden von WebSphere Application Server Version 8.0 akzeptiert und anerkannt. Dies ermöglicht die Kompatibilität mit Produkten wie Lotus Domino und WebSphere Portal, die beide den Standardcookienamen nutzen.
  • Die Definition eines angepassten Cookienamens kann einen Authentifizierungsfehler auslösen. Eine Verbindung zu einem Server, in dem die Eigenschaft für angepasste Cookies definiert ist, sendet dieses angepasste Cookie beispielsweise an den Browser. Eine nachfolgende Verbindung zu einem Server, der den Standardcookienamen oder einen anderen Cookienamen verwendet, kann die Anforderung durch Validierung des eingehenden Cookies nicht authentifizieren.
  • Diese Eigenschaft funktioniert in einer heterogenen Zellenumgebung nicht ordnungsgemäß. Ein Deployment Manager in WebSphere Application Server Version 8.0 könnte beispielsweise angepasste Cookies erstellen. Ein Knoten oder Server der WebSphere Application Server Version 7.0 in derselben Zelle hingegen kann dieses Cookie nicht verarbeiten und weist es deshalb zurück.
  • Wenn Sie ein Produkt verwenden, das mit WebSphere Application Server interagiert und LTPA-Token generiert, wie z. B. Lotus Domino oder WebSphere Portal, müssen Sie beachten, dass diese Produkte unter Umständen keine angepassten LTPA-Cookienamen verarbeiten können. Ziehen Sie die Dokumentation zu Ihrem Produkt zu Rate, um festzustellen, wie das Produkt angepasste LTPA-Cookienamen verarbeitet.
Anmerkung: Zum Aktivieren dieser Eigenschaft ist ein Neustart von WebSphere Application Server erforderlich.

com.ibm.websphere.security.delegateStarStarRoleAuthorization

Die angepasste Eigenschaft com.ibm.websphere.security.delegateStarStarRoleAuthorization definiert, ob der Sicherheitscode allen authentifizierten Benutzern den Zugriff erteilt, wenn als Rollenname ** festgelegt ist.
  • true - Der Sicherheitscode erteilt den Zugriff ohne vorherige Interaktion mit der Plug-in-Berechtigungstabelle.
  • false - Der Sicherheitscode delegiert die Entscheidung an die Plug-in--Berechtigungstabelle. Dies ist der Standardwert.

com.ibm.websphere.security.displayRealm

Diese Eigenschaft gibt an, ob im Anmeldefenster für die HTTP-Basisauthentifizierung der Realmname angezeigt wird, der in der Datei web.xml der Anwendung definiert ist.

Anmerkung: Wenn der Realmname in der Datei web.xml der Anwendung definiert ist, wird diese Eigenschaft ignoriert.
Wenn der Realmname nicht in der Datei web.xml definiert ist, tritt einer der folgenden Fälle ein:
  • Wenn die Eigenschaft auf false gesetzt ist, wird als WebSphere-Realmname der Standardrealm angezeigt.
  • Wenn die Eigenschaft auf true gesetzt ist, wird als WebSphere-Realmname der Realmname der Benutzerregistry für den LTPA-Authentifizierungsmechanismus bzw. der Kerberos-Realmname für den Kerberos-Authentifizierungsmechanismus angezeigt.
Wichtig: Wenn diese Eigenschaft auf true gesetzt ist und der Realmname der Benutzerregistry sensible Informationen enthält, wird er dem Benutzer angezeigt. Bei einer eigenständigen LDAP-Konfiguration werden beispielsweise der Hostname und der Port des LDAP-Servers angezeigt. Für LocalOS wird der Hostname angezeigt.
Information Wert
Standardeinstellung false
Typ String

com.ibm.websphere.security.disableGetTokenFromMBean

Verwenden Sie diese Eigenschaft, um den abgehenden SOAP-Aufruf zu inaktivieren und das Subjekt vom Ursprungsserver abzurufen, wenn Single Sign-On aktiviert ist.

Normalerweise, wenn Single Sign-On aktiviert ist und eine eingehende Anforderung authentifiziert werden muss, versucht der empfangende Server, die Authentifizierung vom Ursprungsserver abzurufen. Die Verbindung zwischen dem sendenden und dem empfangenden Server überschreitet während dieses Callback-Prozesses ein Zeitlimit.

Wenn diese Eigenschaft auf true gesetzt ist, versucht der empfangende Server nicht, die eingehende Anforderung zu authentifizieren.
Information Wert
Standardeinstellung false

com.ibm.websphere.security.enableAuditForIsCallerInRole

Verwenden Sie diese Eigenschaft, um die Prüfung für den Methodenaufruf "isCallerInRole" zu aktivieren.

Wenn Sie diese Eigenschaft auf false setzen, wird die Prüfung für den Aufruf von isCallerInRole inaktiviert. In z/OS werden keine SMF-Datensätze für den Aufruf abgesetzt.

Information Wert
Standardeinstellung true

com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound

Verwenden Sie diese Eigenschaft, wenn der von einem TAI bereitgestellte Benutzer nicht in der Benutzerregistry gefunden wird, damit anstelle einer Fehlerseite eine Anmeldeseite angezeigt wird.

Wenn der von einem TAI bereitgestellte Benutzer nicht in der Benutzerregistry gefunden wird, zeigt WebSphere Application Server eine Fehlerseite an. Wenn Sie dieses Verhalten anpassen möchten, müssen Sie diese Eigenschaft auf true setzen. Daraufhin wird die Anmeldeseite angezeigt. Die Standardeinstellung für diese Eigenschaft ist false, und das normale Verhalten für WebSphere Application Server ist, dass eine Fehlerseite angezeigt wird.

Wenn Sie diese Eigenschaft auf true setzen, wird die Anmeldeseite angezeigt.
Information Wert
Standardeinstellung false

com.ibm.websphere.security.initializeRSAProperties

Wenn in einer Umgebung mit einem Job-Manager oder Verwaltungsagenten nach Ausführung des Zertifikatsverfallsmonitors eine hohe CPU-Auslastung festgestellt wird, ist es möglicherweise notwendig, die Knoten auf mehrere Server zu verteilen, um die CPU-Belastung auf einem Server zu reduzieren.

Wenn diese Eigenschaft auf false gesetzt ist, werden SSL-Eigenschaften, die sich auf RSA-Token beziehen, von WebSphere nicht reinitialisiert. Bevor Sie die Eigenschaft mit dem Wert false konfigurieren, müssen Sie sicherstellen, dass der Job-Manager oder Verwaltungsagent in Ihrer Umgebung nicht verwendet wird. Für diese Features sind RSA-Token erforderlich, daher sollte diese Eigenschaft nicht verwendet werden.

Information Wert
Standardeinstellung true

com.ibm.websphere.security.InvokeTAIbeforeSSO

Mit dieser Eigenschaft kann die Standardaufrufreihenfolge der Trust Association Interceptor (TAIs) in Relation zur SSO-Benutzerauthentifizierung (Single Sign-on) geändert werden. Standardmäßig werden Trust Association Interceptor nach SSO aufgerufen. Diese Eigenschaft wird verwendet, um die Standardreihenfolge für den TAI-Aufruf mit SSO zu ändern. Der Eigenschaftswert ist eine durch Kommas getrennte Liste mit TAI-Klassennamen, die vor SSO aufgerufen werden sollen.

Information Wert
Standardeinstellung com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
Typ String

com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain

Wenn JAAS-Authentifizierungsdateneinträge auf Domänensicherheitsebene erstellt werden, hat der Aliasname für den Eintrag standardmäßig das Format Aliasname. Wenn ein Aliasnamen im Format Knotenname/Aliasname erstellen möchten, können Sie das Hinzufügen des Knotennamens zum Aliasnamen für den Eintrag aktivieren, indem Sie die folgende Eigenschaft auf Domänensicherheitsdomäne definieren.

Sie können "com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true" auf globaler Sicherheitsebene definieren, um das Hinzufügen des Knotennamens zum Aliasnamen von JAAS-Authentifizierungsdateneinträgen für alle Sicherheitsdomänen zu aktivieren.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal

Wenn JAAS-Authentifizierungsdateneinträge auf globaler Sicherheitsebene erstellt werden, hat der Aliasname für den Eintrag standardmäßig das Format Knotenname/Aliasname. Sie können das Hinzufügen des Knotennamens zum Aliasnamen für den Eintrag inaktivieren, indem Sie diese Eigenschaft auf globaler Sicherheitsebene auf true setzen.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.krb.canonical_host

Diese angepasste Eigenschaft gibt an, ob der Anwendungsserver die kanonische Form des URL/HTTP-Hostnamens bei der Authentifizierung eines Clients verwendet. Diese Eigenschaft kann für SPNEGO TAI und SPNEGO Web verwendet werden.

Wenn Sie diese angepasste Eigenschaft auf false setzen, kann ein Kerberos-Ticket einen Hostnamen enthalten, der sich vom Header mit dem HTTP-Hostnamen unterscheidet, und der Anwendungsserver kann die folgende Nachricht ausgeben:
CWSPN0011E: Es wurde ein ungültiges SPNEGO-Token bei der Authentifizierung einer HTTP-Servletanforderung gefunden
Wenn Sie diese angepasste Eigenschaft auf true setzen, können Sie diese Fehlernachricht vermeiden und dem Anwendungsserver die Authentifizierung mit der kanonischen Form des URL/HTTP-Hostnamens ermöglichen.
Information Wert
Standardeinstellung true

com.ibm.websphere.security.ldap.logicRealm

Diese angepasste Eigenschaft ermöglicht Ihnen, den Namen des Realms zu ändern, der in das Token eingefügt wird.

Diese angepasste Eigenschaft ermöglicht Ihnen, jede Zelle so zu konfigurieren, dass sie einen eigenen LDAP-Host für die Interoperabilität und Abwärtskompatibilität hat. Außerdem bietet Sie Ihnen die Flexibilität, den LDAP-Host dynamisch hinzuzufügen oder zu entfernen. Wenn Sie eine frühere Installation migrieren, wird dieser geänderte Realmname erst wirksam, wenn die Verwaltungssicherheit erneut aktiviert wird. Für die Kompatibilität mit einem früheren Release, das den logischen Realm nicht unterstützt, muss der Name mit dem Namen identisch sein, der von der früheren Installation verwendet wurde. Sie müssen den LDAP-Hostnamen, einschließlich eines abschließenden Doppelpunkts und einer Portnummer, verwenden.

Information Wert
Typ String
Diese Eigenschaft muss als angepasste Eigenschaft einer eigenständigen LDAP-Registry definiert werden. Gehen Sie zum Definieren dieser angepassten Eigenschaft über die Administrationskonsole wie folgt vor:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie unter "Repository für Benutzeraccounts" die Liste "Verfügbare Realmdefinitionen", wählen Sie Eigenständige LDAP-Registry aus und klicken Sie dann auf Konfigurieren.
  3. Klicken Sie unter "Angepasste Eigenschaften" auf Neu, und geben Sie dann com.ibm.websphere.security.ldap.logicRealm im Feld Name und den neuen Namen des Realms, der in das Token eingefügt wird, im Feld Wert ein.
  4. Wählen Sie diese angepasste Eigenschaft aus und klicken Sie dann auf Anwenden oder OK.

com.ibm.websphere.security.ldapSSLConnectionTimeout

Verwenden Sie diese Eigenschaft, wenn SSL im LDAP-Server aktiviert ist, um festzulegen, wie lange (in Millisekunden) die JVM maximal auf eine Socketverbindung wartet, bevor eine Zeitlimitüberschreitung ausgelöst wird.

Sind ein oder mehrere eigenständige LDAP-Server offline, wenn ein Serverprozess gestartet wird und LDAP-SSL aktiviert ist, kann es zu einer Verzögerung von bis zu drei Minuten in der Startprozedur kommen, selbst wenn Sie einen Wert für die angepasste Eigenschaft "com.sun.jndi.ldap.connect.timeout" angeben. Wenn LDAP-SSL aktiviert ist, wird jeder für die Eigenschaft "com.sun.jndi.ldap.connect.timeout" angegebene Wert ignoriert.

Wenn ein Wert für diese Eigenschaft angegeben ist, versucht die JVM, dieses Verbindungszeitlimit für den Aufbau einer Socketverbindung zu verwenden, anstatt einen Verzeichniskontext einzurichten. Wenn kein Wert für diese Eigenschaft angegeben wird, versucht die JVM, einen Verzeichniskontext einzurichten.

Für diese Eigenschaft gibt es keine Standardeinstellung.

com.ibm.websphere.security.logoutExitPageDomainList

Wenn Sie die formularbasierte Anwendungsanmeldung und -abmeldung verwenden, können Sie einen URL für eine angepasste Abmeldeseite angeben. Standardmäßig muss der URL auf den Host, an den die Anforderung abgesetzt wird, bzw. auf seine Domäne verweisen. Wenn dies nicht der Fall ist, wird eine generische Abmeldeseite anstelle der angepassten Abmeldeseite angezeigt. Fall Sie auf einen anderen Host verweisen müssen, können Sie diese Eigenschaft mit einer durch Pipezeichen (|) getrennten Liste von URLs, die für die Abmeldeseite zulässig sind, in die Datei security.xml einfügen.

Information Wert
Standardeinstellung Ohne

com.ibm.websphere.security.performTAIForUnprotectedURI

Diese Eigenschaft wird verwendet, um das TAI-Aufrufverhalten festzulegen, wenn Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden in der Administrationskonsole ausgewählt ist.

Information Wert
Standardeinstellung false
Anmerkung: In früheren Versionen von WebSphere Application Server ist der Standardwert für diese angepasste Eigenschaft true. In WebSphere Application Server Version 8.0.0.1 ist der Standardwert jetzt false.

com.ibm.websphere.security.recoverContextWithNewKeys

Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services oder asynchrone Beans gespeichert wurde.

Wenn diese Eigenschaft auf true gesetzt ist, kann der Sicherheitskontext auch dann entserialisiert werden, wenn die LTPA-Schlüssel nach der Serialisierung des Kontextes geändert wurden. Diese Eigenschaft muss auf true gesetzt werden, wenn die Entserialisierung des Sicherheitskontextes mit einer Ausnahme des Typs "WSSecurityException" fehlgschlägt, die die folgende Nachricht enthält: Validation of LTPA token failed due to invalid keys or token type.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.rsaCertificateAliasCache

Diese Eigenschaft wird verwendet, um die Größe des Aliascaches zu steuern.

Der Standardwert ist "5000" und kann für größere Implementierungen erhöht werden. Sie müssen diese Eigenschaft nur dann hinzufügen, wenn Ihre Job-Manager-Topologie mehr als 5000 registrierte Knoten umfasst.

Der eingegebene Wert muss zwischen 1 und N liegen, wobei N für eine gültige positive ganze Zahl steht, die größer-gleich der Anzahl der beim Job-Manager registrierten Knoten ist.

Information Wert
Standardeinstellung 5000

com.ibm.websphere.security.setContextRootForFormLogin

Diese Eigenschaft wird verwendet, um einen eindeutigen Pfadnamen festzulegen, wenn ein WASReqURL-Cookie generiert wird.

Ein Browser kann mehrere WASReqURL-Cookies enthalten, vorausgesetzt, jedes Cookie hat einen eindeutigen Pfadnamen. Wenn Sie diese Eigenschaft auf true setzen, wird immer, wenn ein WASReqURL-Cookie generiert wird, ein eindeutiger Pfadname festgelegt. Wenn Sie also mehrere Anwendungen, die als Anmeldemethode die formularbasierte Anmeldung verwenden, auf demselben Anwendungsserver installiert haben, sollten Sie diese Eigenschaft als eine der Sicherheitseinstellungen für diesen Anwendungsserver festlegen und auf true setzen.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.skip.canonical.lookup

Verwenden Sie diese Eigenschaft, wenn Sie die kanonische Suche für bestimmte Hostnamen überspringen müssen. Bei dem Wert, den Sie für diese Eigenschaft angeben, muss die Groß-/Kleinschreibung beachtet werden, außerdem muss der Wert mit dem Hostnamen im SPNEGO-Filter übereinstimmen.

WebSphere Application Server erwartet, dass die Java-API "java.net.InetAddress #getCanonicalHostName()" einen tatsächlichen Hostnamen zurückgibt. In manchen Situationen gibt diese API anstelle eines Hostnamens die Zeichenfolgedarstellung einer IP-Adresse zurück. Wenn dieses Szenario eintritt, kann WebSphere Application Server nicht erkennen, dass die eingehende Anforderung für die SPNEGO-Authentifizierung bewertet werden muss.

Tritt dieser Fall ein, fügen Sie diese angepasste Eigenschaft Ihren Sicherheitskonfigurationseinstellungen hinzu und geben Sie für die Eigenschaft den Namen des Hosts an, für den keine kanonische Suche durchgeführt werden soll.

Wenn Sie mehrere Hostnamen als Werte für diese Eigenschaften angeben möchten, verwenden Sie das Symbol | als Trennzeichen zwischen den Hostnamen, die Sie angeben müssen. Wenn Sie beispielsweise festlegen möchten, dass für die Hostnamen myhost1.mycompany.com und myhost2.mycompany.com keine kanonische Suche durchgeführt werden soll, geben Sie den folgenden Wert für diese Eigenschaft an:
myhost1.mycompany.com|myhost2.mycompany.com
Information Wert
Standardeinstellung Ohne

com.ibm.websphere.security.spnego.useBuiltInMappingToSAF

Diese Eigenschaft wird verwendet, um sicherzustellen, dass die Zuordnung eines Kerberos-Principals zu einer RACF-ID für die SPNEGO-Webauthentifizierung durchgeführt wird.

Wenn Sie diese Eigenschaft Ihren Sicherheitseinstellung nicht hinzufügen und auf true setzen, wird keine Zuordnung des Kerberos-Principals zu einer RACF-ID für die SPNEGO-Webauthentifizierung durchgeführt.

Fehler vermeiden Fehler vermeiden: Wenn die Kerberos-Authentifizierung in Kombination mit der SPNEGO-Webauthentifizierung verwendet wird, führt die Konfiguration einer integrierten Zuordnung für Kerberos oder SPNEGO zu einer Zuordnung für beide.gotcha
Information Wert
Standardeinstellung false

com.ibm.websphere.security.strictCredentialExpirationCheck

Gibt an, ob die Überprüfung des Ablaufdatums von Berechtigungsnachweisen für einen lokalen EJB-Aufruf durchgeführt wird. Wenn eine EJB eine andere EJB aufruft, die sich auf einer lokalen Maschine befindet, findet gewöhnlich auch dann ein direkter Methodenaufruf statt, wenn die Berechtigungsnachweise des ursprünglichen Aufrufers ablaufen, bevor der lokale EJB-Aufruf stattfindet.

Wenn diese Eigenschaft auf true gesetzt ist, findet eine Überprüfung des Ablaufdatums der Berechtigungsnachweise für einen lokalen EJB-Aufruf statt, bevor die EJB auf der lokalen Maschine aufgerufen wird. Wenn die Berechtigungsnachweise abgelaufen sind, wird der EJB-Aufruf zurückgewiesen.

Wenn diese Eigenschaft auf false gesetzt ist, wird das Ablaufdatum der Berechtigungnachweise für einen lokalen EJB-Aufruf nicht überprüft.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.tokenFromMBeanSoapTimeout

Verwenden Sie diese Eigenschaft, um den Zeitraum anzugeben, den der empfangende Server darauf wartet, dass ein abgehender SOAP-Aufruf die richtige Authentifizierung vom Ursprungsserver abruft, wenn Single Sign-On aktiviert ist.

Für diese Eigenschaft gibt es keinen Standardwert. Ist kein Wert angegeben, wird der globale SOAP-Zeitlimitwert als Zeitlimitwert für die SOAP-Verbindung verwendet.

com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens

Verwenden Sie diese Eigenschaft, um anzugeben, dass beim Erstellen eines neuen Standard-SSO-Token (Single Sign-on) die aktive Benutzerregistry verwendet werden soll.

Normalerweise wird jedes Mal ein Standard-SSO-Token erstellt, wenn das ankommende SSO-Authentifizierungstoken vom Namen des Principals im Berechtigungstoken abweicht. Eine mögliche Ursache für diese Abweichung können unterschiedliche Realms sein. Beispielsweise ergibt sich eine Abweichung, wenn die Verwaltungsdomäne die Registry "LocalOS" verwendet und "LDAP" die aktive Registry ist.

Wenn Sie diese Eigenschaft auf true setzen, werden neue SSO-Token erstellt, die die LDAP-Registry verwenden.

Der Standardwert für diese Eigenschaft ist "false".

com.ibm.websphere.security.useLoggedSecurityName

Diese Eigenschaft ist eine angepasste Eigenschaft von Benutzerregistrys. Diese Eigenschaft ändert das Verhalten beim Erstellen von WSCredential.

Die Einstellung false zeigt an, dass der Sicherheitsname, der von einer Benutzerregistry zurückgegeben wird, immer für die Erstellung von WSCredential verwendet wird.

Die Einstellung true zeigt an, dass ein Sicherheitsname, der vom Anmeldemodul bereitgestellt wird, oder ein Anzeigename, der von einer Benutzerregistry bereitgestellt wird, verwendet wird. Diese Einstellung ist mit WebSphere Application Server Version 6.1 und älteren Releases kompatibel.

Information Wert
Standardeinstellung false

com.ibm.websphere.security.util.csiv2SessionCacheIdleTime

Diese Eigenschaft gibt an, wie lange (in Millisekunden) eine CSIv2-Sitzung inaktiv bleiben darf, bevor sie gelöscht wird. Die Sitzung wird gelöscht, wenn die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled" den Wert true hat und die maximale Größe des CSIv2-Sitzungscaches überschritten wird.

Diese angepasste Eigenschaft gilt nur, wenn Sie statusabhängige Sitzungen aktivieren, die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled" auf "true" setzen und einen Wert für die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheMaxSize" festlegen. Legen Sie einen kleineren Wert für diese angepasste Eigenschaft fest, wenn Ihre Umgebung die Kerberos-Authentifizierung verwendet und eine geringe Zeitabweichung für das konfigurierte Key Distribution Center (KDC) aufweist. In diesem Szenario ist eine geringe Zeitabweichung laut Definition eine Zeitabweichung von weniger als 20 Minuten.
Wichtig: Legen Sie den Wert für diese Funktion nicht über die Anzeige für angepasste Eigenschaften fest, da der Wert nicht mit dem gültigen Wertebereich verglichen wird. Legen Sie den Wert stattdessen in der Anzeige für die abgehende CSIv2-Kommunikation fest, die Sie in der Administrationskonsole wie folgt aufrufen können:
  1. Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
  2. Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
Sie können den Wert im Feld Zeitlimit für inaktive Sitzungen festlegen. Wenn Sie diesen Wert jedoch in der Anzeige für die abgehende CSIv2-Kommunikation angeben, wird der Wert in der Administrationskonsole in Sekunden und nicht in Millisekunden erwartet.

Der gültige Wertebereich für diese angepasste Eigenschaft ist 60.000 bis 86.400.000 Millisekunden. Standardmäßig wird kein Wert gesetzt.

com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled

Diese angepasste Eigenschaft gibt an, ob die Größe des CSIv2-Sitzungscaches begrenzt werden soll.

Wenn Sie diese angepasste Eigenschaft auf true setzen, müssen Sie Werte für die angepassten Eigenschaften "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" und "com.ibm.websphere.security.util.csiv2SessionCacheMaxSize" festlegen. Wenn Sie diese angepasste Eigenschaft auf false setzen, ist der CSIv2-Sitzungscache nicht begrenzt. Die Standardeinstellung für diese Eigenschaft ist "false".

Sie sollten diese angepasste Eigenschaft auf true setzen, wenn Ihre Umgebung die Kerberos-Authentifizierung verwendet und eine geringe Zeitabweichung für das konfigurierte Key Distribution Center (KDC) aufweist. In diesem Szenario ist eine geringe Zeitabweichung laut Definition eine Zeitabweichung von weniger als 20 Minuten. Eine geringe Zeitabweichung kann zu einer höheren Anzahl zurückgewiesener CSIv2-Sitzungen führen. Mit einem kleineren Wert für die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" kann der Anwendungsserver diese zurückgewiesenen Sitzungen jedoch häufiger bereinigen und damit unter Umständen Ressourcenengpässe reduzieren.

Wichtig: Diese angepasste Eigenschaft gilt nur, wenn Sie statusabhängige Sitzungen aktivieren.
Wichtig: Obwohl Sie die Option für die Begrenzung des CSIv2-Sitzungscaches als angepasste Eigenschaft aktivieren können, empfiehlt es sich, die Option in der Anzeige für die angehende CSIv2-Kommunikation zu aktivieren, die Sie in der Administrationskonsole wie folgt aufrufen können:
  1. Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
  2. Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
Sie können die Option CSIv2-Sitzungscachelimit aktivieren aktivieren. Der Standardwert ist "false".

com.ibm.websphere.security.util.csiv2SessionCacheMaxSize

Diese Eigenschaft gibt die maximale Größe des Sitzungscaches an, bei deren Erreichen abgelaufene Sitzungen aus dem Cache gelöscht werden.

Abgelaufene Sitzungen sind laut Definition Sitzungen, deren Inaktivitätszeit den Wert überschreitet, der mit der angepassten Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" angegeben wurde. Wenn Sie die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheMaxSize" verwenden, setzen Sie diese auf einen Wert zwischen 100 und 1000 (Einträgen).

Ziehen Sie die Definition eines Wertes für diese angepasste Eigenschaft in Erwägung, wenn Ihre Umgebung die Kerberos-Authentifizierung verwendet und eine geringe Zeitabweichung für das konfigurierte Key Distribution Center (KDC) aufweist. In diesem Szenario ist eine geringe Zeitabweichung laut Definition eine Zeitabweichung von weniger als 20 Minuten. Erhöhen Sie den Wert dieser angepassten Eigenschaft, wenn die kleine Cachegröße bewirkt, dass die Garbage-Collection so häufig durchgeführt wird, dass sie sich auf die Leistung des Anwendungsservers auswirkt.

Diese angepasste Eigenschaft gilt nur, wenn Sie statusabhängige Sitzungen aktivieren, die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled" auf "true" setzen und einen Wert für die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" festlegen.

Wichtig: Legen Sie den Wert für diese Funktion nicht über die Anzeige für angepasste Eigenschaften fest, da der Wert nicht mit dem gültigen Wertebereich verglichen wird. Legen Sie den Wert stattdessen in der Anzeige für die abgehende CSIv2-Kommunikation fest, die Sie in der Administrationskonsole wie folgt aufrufen können:
  1. Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
  2. Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
Sie können den Wert im Feld Maximale Cachegröße festlegen.

Der gültige Wertebereich für diese angepasste Eigenschaft ist 100 bis 1000 (Einträge). Standardmäßig wird kein Wert gesetzt.

[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.websphere.security.util.postParamMaxCookieSize

Diese Eigenschaftengruppe legt das Größenlimit für WASPostParam-Cookies fest, die vom Sicherheitscode generiert werden.

Wenn Sie die Option "Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden" ausgewählt ist und die formularbasierte Authentifizierung verwendet wird, wird ein WASPOSTParam-Cookie während der Authentifizierung der HTTP-POST-Anforderung generiert, selbst wenn der Ziel-UR nicht geschützt ist. Ein WASPOSTParam-Cookie ist ein temporäres Cookie, das verwendet wird, um HTTP-POST-Parameter zu speichern. Dies führt dazu, dass dem Web-Client das nicht erforderliche Cookie mit einer HTTP-Antwort gesendet wird, was ein unerwartetes Verhalten zur Folge haben kann, wenn die Größe des Cookies die Browserbeschränkung überschreitet. Sie können dieses Verhalten vermeiden, indem Sie die Eigenschaft "com.ibm.websphere.security.util.postParamMaxCookieSize" setzen, die den Sicherheitscode anweist, das Cookie nicht zu generieren, wenn die mit dieser Eigenschaft definierte maximale Größe erreicht ist. Der gültige Wert für diese Eigenschaft ist eine positive ganze Zahl, die die maximale Größe des Cookies in Bytes darstellt.
Information Wert
Standardeinstellung Ohne

com.ibm.websphere.security.web.removeCacheOnFormLogout

Mit dieser angepassten Eigenschaft können Sie festlegen, ob ein zwischengespeichertes Objekt im Falle einer formularbasierten Abmeldung aus dem Authentifizierungscache und dem dynamischen Cache entfernt werden soll. Eine formularbasierte Abmeldung ist ein Verfahren, das einem Benutzer ermöglicht, sich von einer Anwendung abzumelden, ohne alle Web-Browser-Sitzungen schließen zu müssen.

Wird diese Eigenschaft auf "false" gesetzt, werden entsprechende zwischengespeicherte Einträge bei einer formularbasierten Abmeldung nicht aus dem Authentifizierungscache und dem dynamischen Cache entfernt. Das bedeutet, dass wenn derselbe Benutzer sich nach einer formularbasierten Abmeldung erneut anmeldet, das zwischengespeicherte Objekt wiederverwendet wird.

Fehler vermeiden Fehler vermeiden: Da das ursprüngliche zwischengespeicherte OBjekt während einer vorherigen Anmeldesitzung erstellt wurde, kann die Verfallszeit kürzer sein als der konfigurierte Zeitlimitwert.gotcha

Wird diese Eigenschaft auf "true" gesetzt, werden die zwischengespeicherten Einträge bei einer formularbasierten Abmeldung aus dem Authentifizierungscache und dem dynamischen Cache entfernt.

Die Standardeinstellung ist "true".

com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI

Diese angepasste Eigenschaft gibt das Verhalten bei der Cookiegenerierung für LTPA-Token (Lightweight Third Party Authentication) für eingehende Webressourcenanforderungen an.

Ist diese Eigenschaft auf true gesetzt, generiert und definiert der Anwendungsserver ein LTPAToken-Cookie für alle erfolgreich authentifizierten Ressourcenanforderungen, unabhängig davon, ob die Anforderung sich auf geschützte oder ungeschützte Webressourcen bezieht. Dieses Verhalten unterscheidet sich von dem in WebSphere Application Server Version 6.1 und kann dazu führen, dass manche Anwendungen, die für Version 6.1 entwickelt wurden, in späteren Versionen nicht funktionieren.

Setzen Sie diese Eigenschaft auf false, wenn Sie ein LTPAToken-Cookie nur für geschützte Webressourcen generieren möchten. Dieses Verhalten ist mit WebSphere Application Server Version 6.1 kompatibel.

Der Standardwert ist true.

com.ibm.websphere.security.webAlwaysLogin

Diese Eigenschaft gibt an, ob die Methode "login()" eine Ausnahme auslöst, wenn die Identität bereits authentifiziert wurde. Sie können dieses Verhalten überschreiben, indem Sie diese Eigenschaft auf true setzen.

Information Wert
Standardeinstellung false
Typ String
Anmerkung: Die Methode "login()" verwendet immer die Benutzer-ID und das Kennwort für die Authentifizierung beim WebSphere-Anwendungsserver, unabhängig davon, ob SSO-Informationen in der HttpServletRequest enthalten sind oder nicht.

com.ibm.websphere.ssl.include.ECCiphers

Diese angepasste Eigenschaft gibt an, ob WebSphere Application Server ECC-Cipher (Elliptical Curve Cryptography) in der Standard-Cipher-Suite enthält.

Wenn diese Eigenschaft nicht definiert ist oder auf false gesetzt ist, nimmt der Anwendungsserver standardmäßig keine ECC-Chiffrierwerte auf. Setzen Sie diese Eigenschaft auf true, um ECC-Cipher-Suites in die Liste der Standard-Cipher-Suites aufzunehmen. Wenn SP800-131a oder Suite B aktiviert ist, werden ECC-Chiffrierwerte standardmäßig aufgenommen.

Information Wert
Standardeinstellung true
Typ String

com.ibm.websphere.ssl.retrieveLeafCert

Diese angepasste Eigenschaft veranlasst die Funktion "Vom Port abrufen", anstelle des Stammzertifikats ein nicht hierarchisches Zertifikat abzurufen.

Die Funktion "Vom Port abrufen" soll anstelle des Stammzertifikats ein nicht hierarchisches Zertifikat abzurufen. Damit das Stammzertifikat abgerufen werden kann, muss die angepasste Eigenschaft "com.ibm.websphere.ssl.retrieveLeafCert" auf "true" gesetzt werden.

Wenn diese Eigenschaft nicht oder auf false gesetzt ist, ruft die Funktion "Vom Port abrufen" das Stammzertifikat ab. Setzen Sie diese Eigenschaft auf den Wert true, wenn die Funktion "Vom Port abrufen" anstelle des Stammzertifikats das nicht hierarchische Zertifikat abrufen soll.

Information Wert
Standardeinstellung false
Typ String

com.ibm.ws.security.addHttpOnlyAttributeToCookies

Diese angepasste Eigenschaft ermöglicht Ihnen, das Attribut "HTTPOnly" für SSO-Cookies (Single Sign-on) zu definieren.

Sie können die angepasste Eigenschaft "com.ibm.ws.security.addHttpOnlyAttributeToCookies" verwenden, um Cookies zu schützen, die sensible Werte enthalten. Wenn Sie diese angepasste Eigenschaft auf true setzen, legt der Anwendungsserver das Sicherheitsattribut "HTTPOnly" für SSO-Cookies fest, deren Werte vom Server gesetzt werden. Das Attribut "HTTPOnly" ermöglicht den Schutz sensibler Werte in Cookies.

Wenn diese Eigenschaft den Wert "true" hat, ist der Anwendungsserver außerdem in der Lage, eingehende Cookies mit HTTPOnly-Attributen ordnungsgemäß zu erkennen, zu akzeptieren und zu verarbeiten und Cross-Site-Scripting vollständig am Zugriff auf sensible Cookieinformationen zu hindern.

Ein häufig auftretendes Sicherheitsproblem, das sich auf Web-Server auswirkt, ist Cross-Site-Scripting. Cross-Site-Scripting ist eine serverseitige Schwachstelle, die häufig entsteht, wenn Benutzereingaben in HTML wiedergegeben werden. Cross-Site-Scripting-Attacken können sensible Informationen zu Benutzern der Website offenlegen. Die meisten modernen Web-Browser berücksichtigen das Attribut "HTTPOnly", um diese Attacke zu verhindern. Ein Cookie mit diesem Attribut wird als HTTPOnly-Cookie bezeichnet. Informationen in einem HTTPOnly-Cookie sind weniger anfällig für Attacken durch Hacker oder zerstörerische Websites. Weitere Informationen zum Attribut "HTTPOnly" finden Sie auf der Website des Open Web Application Security Project (OWASP).

Wichtig: Wenn Sie diese angepasste Eigenschaft verwenden, wird das Attribut "HTTPOnly" nicht jedem Cookie hinzugefügt, das über den Anwendungsserver übergeben wird. Das Attribut wird auch anderen, nicht sicheren Cookies, die vom Anwendungsserver erstellt werden, nicht hinzugefügt. Im Folgenden sind einige Cookies aufgelistet, die keine HTTPOnly-Cookies sind:
  • JSESSIONID-Cookies
  • SSO-Cookies, die von Authentifikatoren oder Providern anderer Softwareanbieter erstellt werden.
  • Client- oder Browsercookies, die das Attribut "HTTPOnly" noch nicht enthalten.
Sie können diese angepasste Eigenschaft in der SSO-Anzeige in der Administrationskonsole wie folgt setzen oder entfernen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Authentifizierung" auf Web- und SIP-Sicherheit > Single Sign-on (SSO).
Information Wert
Standardeinstellung true
Typ Boolean

com.ibm.ws.security.allowNonAdminToSecurityXML

Diese Eigenschaft gibt an, ob die Sicherheitsrollen ohne Administratorrechte die Datei security.xml ändern können. Wenn Sie diese Eigenschaft auf true setzen, wird Sicherheitsrollen ohne Administratorrechte die Berechtigung zum Ändern der Datei security.xml erteilt. In Version 6.1 und höher können Sicherheitsrollen ohne Administratorrechte die Datei security.xml standardmäßig ändern.

Information Wert
Standardeinstellung false
Typ Boolean

com.ibm.ws.security.config.SupportORBConfig

Gibt an, ob der ORB (Object Request Broker) auf Eigenschaften überprüft wird. Diese Eigenschaft muss als Systemeigenschaft definiert werden. Sie setzen diese Eigenschaft auf true oder yes, wenn der ORB auf Eigenschaften überprüft werden soll. Bei jeder anderen Einstellung wird der ORB vollständig ignoriert.

Die Eigenschaft muss verwendet werden, wenn ein Plug-in-Anwendungsclient eine Verbindung zu WebSphere Application Server herstellt. Sie wird insbesondere dann verwendet, wenn einer HashMap (Hash-Zuordnung), die Sicherheitseigenschaften enthält, eine HashMap im neuen InitialContext(env)-Aufruf übergeben wird.

com.ibm.ws.security.createTokenSubjectForAsynchLogin

In diesem Release sind die tatsächlichen LTPA-Tokendaten nicht in einem Aufruf der Methode "WSCredential.getCredentialToken()" verfügbar, wenn diese Methode von einem kontextabhängigen Proxy oder einer asynchronen Bean aufgerufen wird. Für eine vorhandene Konfiguration können Sie die angepasste Eigenschaft com.ibm.ws.security.createTokenSubjectForAsynchLogin mit dem Wert true hinzufügen, damit das LTPA-Token an kontextabhängige Proxys und asynchrone Beans weitergeleitet wird. Diese Eigenschaft ermöglicht Portlets die erfolgreiche Weiterleitung von LTPA-Token. Bei dieser angepassten Eigenschaft muss die Groß-/Kleinschreibung beachtet werden. Sie müssen den Anwendungsserver nach dem Hinzufügen dieser angepassten Eigenschaft erneut starten.

Fehler vermeiden Fehler vermeiden: Diese angepasste Eigenschaft gilt nur, wenn Server A EJB-Aufrufe über kontextabhängige Proxys oder asynchrone Beans an Server B absetzt. Diese Eigenschaft gilt nicht für JAAS-Anmeldungen.gotcha
Information Wert
Standardeinstellung Nicht zutreffend

com.ibm.ws.security.defaultLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für Anmeldungen verwendet wird, die nicht unter die Anmeldekonfigurationskategorien WEB_INBOUND, RMI_OUTBOUND oder RMI_INBOUND fallen.

Interne Authentifizierung und Protokolle, die keine speziellen JAAS-Plug-Punkte haben, rufen die Systemanmeldekonfiguration auf, die mit der Eigenschaft "com.ibm.ws.security.defaultLoginConfig" angegeben ist.

Information Wert
Standardeinstellung system.DEFAULT

com.ibm.ws.security.failSSODuringCushion

Verwenden Sie die angepasste Eigenschaft "com.ibm.ws.security.failSSODuringCushion", um angepasste JAAS-Subject-Daten für das LTPA-Token zu aktualisieren.

Wenn Sie diese angepasste Eigenschaft nicht auf true setzen, sind die angepassten JAAS-Subject-Daten möglicherweise nicht in den neuen JAAS-Subjects enthalten.

Die Standardeinstellung ist "true".

com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA

Verwenden Sie die angepasste Eigenschaft "com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA", um einen Fehler des Typs "ungültiger Bibliotheksname" zu beheben, wenn Sie versuchen, einen PKCS11-Keystore für einen Java-Client zu verwenden.

[z/OS]Verwenden Sie diese angepasste Eigenschaft auch, wenn Sie den IBMJCECCA-Provider verwenden, weil verteilte Betriebssysteme und z/OS-Betriebssysteme andere Providertypen für die Hardwareverschlüsselung verwenden.

Die Datei ssl.client.props verweist auf eine Konfigurationsdatei, die wiederum auf den Bibliotheksnamen für die Verschlüsselungseinheit verweist. Der Code für den Java-Client sucht einen Keystore-Typ für den richtigen Providernamen. Wenn Sie diese angepasste Eigenschaft nicht definieren, wird die Keystore-Typkonstante für PKCS11 nicht richtig angegeben und verweist stattdessen auf den IBMPKCS11Impl-Provider. Der LTPA-Code (Lightweight Third Party Authentication) verwendet außerdem die Providerliste, um den JCE-Provider (Java Cryptography Extension) zu bestimmen. Dieser Ansatz verursacht ein Problem, wenn SSL-Beschleunigung (Secure Sockets Layer) versucht wird, da der IBMPKCS11Impl-Provider in der Datei java.security vor dem IBMJCE-Provider aufgelistet werden muss.

Diese angepasste Eigenschaft behebt beide Probleme, sodass SSL und andere Verschlüsselungsmechanismen Hardwarebeschleunigung verwenden können.

Fehler vermeiden Fehler vermeiden: LTPA kann keine Hardwarebeschleunigung verwenden, weil die Softwareschlüssel für LTPA die Schnittstelle "java.security.interfaces.RSAPrivateCrtKey" nicht implementieren, die von vielen Beschleunigerkarten benötigt wird.gotcha

Setzen Sie diese angepasste Eigenschaft auf true, wenn Sie einen PKCS11-Keystore für einen Java-Client verwenden möchten.

Information Wert
Standardeinstellung false

com.ibm.ws.security.ltpa.useCRT

Verwenden Sie diese Eigenschaft, um die CPU-Auslastung während der sign()-Operation zu verbessern, die durchgeführt wird, wenn ein neues LTPA2-(SSO)-Token erstellt wird. Wenn diese Eigenschaft auf true gesetzt wird, implementiert das Produkt den CRT-Algorithmus (Chinese Remainder Theorem) bei der Signatur des neuen Tokens. Diese Eigenschaft hat keine Auswirkung auf das alte LTPA-Token.

Information Wert
Standardeinstellung false

com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA

Sie können die angepasste Eigenschaft "com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA" verwenden, um die RSA-Tokenvalidierung in Software zu erzwingen.

Einige Hardwareverschlüsselungskarten sind nicht mit den RSA-Token kompatibel. Wenn Sie die Nachricht The signature of the rsa token was not verified erhalten, müssen Sie für die Sicherheitsprüfung anstelle von RSA-Token möglicherweise das LTPA-Authentifizierungsverfahren verwenden. Gehen Sie wie folgt vor, um die Einstellungen für Ihre Sicherheitsprüfung zu ändern:
  1. Klicken Sie in der Administrationskonsole auf Globale Sicherheit > Verwaltungsauthentifizierung und wählen Sie RSA-Token ab.
  2. Wählen Sie Nur das aktive Anwendungsauthentifizierungsverfahren verwenden aus.
  3. Klicken Sie auf Angepasste Eigenschaften, und klicken Sie dann auf Neu, um die angepasste Eigenschaft "com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA" Ihren Sicherheitseinstellungen hinzuzufügen.
  4. Fügen Sie com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA im Feld Name ein und geben Sie true im Feld Wert ein.

Wenn diese Eigenschaft auf "true" gesetzt ist, wird der standardmäßig verwendete JCE-Softwareprovider und nicht IBMJCECCA für die Sicherheitsvalidierung verwendet.

Information Wert
Standardeinstellung false

com.ibm.ws.security.ssoInteropModeEnabled

Diese Eigenschaft bestimmt, ob LtpaToken2- und LtpaToken-Cookies in den Antworten auf eine Webanforderung (interoperabel) gesendet werden.

Wenn diese Eigenschaft den Wert "false" hat, sendet der Anwendungsserver nur das neue LtpaToken2-Cookie, das stärker, aber mit einigen anderen Produkten und WAS-Releases vor Version 5.1.1 nicht kompatibel ist. In den meisten Fällen wird das alte LtpaToken-Cookie nicht benötigt, und Sie können diese Eigenschaft auf false setzen.

Information Wert
Standardeinstellung true

com.ibm.ws.security.unprotectedUserRegistryMethods

Gibt die Methodennamen in der Schnittstelle "UserRegistry" an, wie z. B. getRealm, getUsers und isValidUser, die nicht vor Fernzugriffen geschützt werden sollen. Wenn Sie mehrere Methodennamen angeben, trennen Sie die Namen durch Leerzeichen, Kommas, Semikolons oder einen Trennbalken. Eine vollständige Liste gültiger Methodennamen finden Sie in der Dokumentation zur Implementierung der Schnittstelle "UserRegistry".

Wenn Sie * als Wert für diese Eigenschaft angeben, ist der Fernzugriff auf alle Methoden möglich. Wenn Sie keinen Wert für diese Eigenschaft angeben, sind alle Methoden vor Fernzugriffen geschützt.

Wenn versucht wird, über Fernzugriff auf eine geschützte Methode der Schnittstelle "UserRegistry" zuzugreifen, empfängt der ferne Prozess eine Ausnahme des Typs CORBA NO_PERMISSION mit dem Nebencode 49421098.

Für diese Eigenschaft gibt es keine Standardeinstellung.

com.ibm.ws.security.web.saml.disableDecodeURL

Mit dieser Eigenschaft können Sie URL-Decodierung inaktivieren.

Wenn SAML-Web-SSO aktiviert ist und SAML TAI aufgerufen wurde, wird ein Cookie zum Speichern der ursprünglichen Anforderungs-URL gesetzt. Nach der Authentifizierung wird die urspüngliche URL decodiert, bevor sie als Umleitungs-URL gesendet wird. Wenn diese Eigenschaft auf true gesetzt ist, wird die ursprüngliche URL für die Umleitung verwendet, ohne dass die URL decodiert wird. Wenn Sie diese Eigenschaft über die Administrationskonsole setzen möchten, klicken Sie auf Sicherheit > Globale Sicherheit > Angepasste Eigenschaften. Klicken Sie auf Neu, um eine neue angepasste Eigenschaft und den zugehörigen Wert hinzuzufügen.

Information Wert
Standardeinstellung false

com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Diese Eigenschaft bestimmt das Verhalten einer SSO-LtpaToken2-Anmeldung.

Wenn diese Eigenschaft den Wert true hat, das Token einen angepassten Cacheschlüssel enthält und das angepasste Subjekt nicht gefunden wird, wird das Token für eine direkte Anmeldung verwendet, weil die angepassten Informationen erneut erfasst werden müssen. Es wird eine Abfrage abgesetzt, und der Benutzer muss sich erneut anmelden. Wenn diese Eigenschaft den Wert false hat und das angepasste Subject nicht gefunden wird, wird das LtpaToken2 für die Anmeldung und die Erfassung aller Registry-Attribute verwendet. Das Token ist jedoch unter Umständen nicht in der Lage, spezielle Attribute abzurufen, die von Downstream-Anwendungen erwartet werden.

Information Wert
Standardeinstellung true

com.ibm.ws.security.webInboundLoginConfig

Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für eingehende Webanforderungen verwendet wird.

Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für Webanmeldungen behandeln kann.

Information Wert
Standardeinstellung system.WEB_INBOUND

com.ibm.ws.security.webInboundPropagationEnabled

Diese Eigenschaft bestimmt, ob ein empfangenes LtpaToken2-Cookie lokal nach den weitergegebenen Attributen suchen soll, bevor es den ursprünglichen Anmeldeserver durchsucht, der im Token angegeben ist. Nachdem die weitergegebenen Attribute empfangen wurden, wird das Subject erneut generiert, und die angepassten Attribute werden beibehalten.

Sie können den Datenreplikationsservice (DRS) so konfigurieren, dass er die weitergegebenen Attribute an Front-End-Server sendet, sodass eine lokale Suchoperation im dynamischen Cache die weitergegebenen Attribute finden kann. Andernfalls wird eine MBean-Anforderung an den ursprünglichen Anmeldeserver gesendet, um diese Attribute abzurufen.

Information Wert
Standardeinstellung true

com.ibm.ws.security.web.logoutOnHTTPSessionExpire

Diese Eigenschaft gibt an, ob Benutzer nach Ablauf des Zeitgebers für HTTP-Sitzungen abgemeldet werden.

Wird die Eigenschaft auf "false" gesetzt, bleiben der Benutzerberechtigungsnachweis so lange aktiv, bis das Zeitlimit für das Single-Sign-on-Token überschritten wird.
Achtung: Die Eigenschaft com.ibm.ws.security.web.logoutOnHTTPSessionExpire gilt nur für Anwendungen, die die formularbasierte Anmeldung verwenden.
Information Wert
Standardeinstellung false
Erforderlich false
Datentyp Boolean

com.ibm.ws.security.WSSecureMapInitAtStartup

Diese Eigenschaft legt fest, dass der Sicherheitscache (WSSecureMap) als Teil des dynamischen Cache für die Verwendung bei der Weitergabe von Sicherheitsattributen initialisiert wird.

Information Wert
Standardeinstellung true

com.ibm.ws.security.WSSecureMapSize

Diese Eigenschaft legt die Größe des Sicherheitscache (WSSecureMap) fest.

Anmerkung: Die für "com.ibm.ws.security.WSSecureMapSize" angegebene Größe wird NUR dann verwendet, wenn "com.ibm.ws.security.WSSecureMapInitAtStartup" auf true gesetzt ist.
Information Wert
Standardeinstellung 100
[z/OS]

com.ibm.ws.security.zOS.useSAFidForTransaction

Diese Eigenschaft wird verwendet, um einem Server beim Aufruf von Transaktionsmethoden (z. B. commit() und prepare()), die die Serveridentität benötigen, die Verwendung der Benutzeridentität für die gestartete z/OS-Task als Serveridentität zu ermöglichen. Dieses Verhalten gilt unabhängig von der Einstellung für die Serveridentität dieses Servers.

Ein Server kann beispielsweise so konfiguriert sein, dass er die automatisch generierte Serveridentität verwendet, die nicht die tatsächliche Identität ist, die in einem Benutzerrepository gespeichert ist. Außerdem muss dieser Server mit CICS 3.2 kommunizieren, und CICS 3.2 erfordert die Verwendung von SAF-Identitäten (System Authorization Facility). Wenn com.ibm.ws.security.zOS.useSAFidForTransaction auf true gesetzt ist, verwendet der Server für die Kommunikation mit CICS eine SAF-Identität und nicht die automatisch generierte Identität.

Information Wert
Standardeinstellung false

com.ibm.wsspi.security.cred.refreshGroups

Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services, Concurrency Utilities for Java EE oder asynchrone Beans gespeichert wurde.

Wenn Sie diese Eigenschaft auf true setzen, wird auf die Benutzerregistry zugegriffen, um die Gruppen abzurufen, die dem Benutzer zugeordnet sind. Wenn der Benutzer immer noch in der Registry vorhanden ist, werden die Gruppen aus der Benutzerregistry anstelle der Gruppen verwendet, die im Sicherheitskontext serialisiert wurden. Wenn der Benutzer nicht in der Benutzerregistry gefunden wird und die Eigenschaft "verifyUser" auf false gesetzt ist, werden die Gruppen aus dem Sicherheitskontext verwendet.

Information Wert
Standardeinstellung false

com.ibm.wsspi.security.cred.verifyUser

Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services oder asynchrone Beans gespeichert wurde.

Wenn Sie diese Eigenschaft auf true setzen, wird auf die Benutzerregistry zugegriffen, um sicherzustellen, dass der Benutzer aus dem Sicherheitskontext noch vorhanden ist. Ist der Benutzer nicht vorhanden, wird eine Ausnahme des Typs "WSLoginFailedException" ausgelöst.

Information Wert
Standardeinstellung false

com.ibm.wsspi.security.ltpa.tokenFactory

Diese Eigenschaft gibt die LTPA-Token-Factorys (Lightweight Third Party Authentication) an, die für die Validierung der LTPA-Token verwendet werden können.

Die Validierung wird in der Reihenfolge durchgeführt, in der die Token-Factorys angegeben sind, weil LTPA-Token keine Objektkennungen (OID, Object Identifier) haben, die den Tokentyp angeben. Der Anwendungsserver validiert die Token nacheinander mit den Token-Factorys, bis ein positives Ergebnis erzielt wird. Die Reihenfolge, die für diese Eigenschaft festgelegt ist, ist wahrscheinlich die Reihenfolge, in der die Token empfangen wurden. Wenn Sie mehrere Token-Factorys angeben, müssen Sie sie durch ein Pipezeichen (|) ohne Leerzeichen davor und danach angeben.

Information Wert
Standardeinstellung com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.authenticationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Authentifizierungstoken im Framework für Attributweitergabe verwendet wird. Die Eigenschaft ist eine alte LTPA-Tokenimplementierung, die als Authentifizierungstoken verwendet werden kann.

Information Wert
Standardeinstellung com.ibm.ws.security.ltpa.LTPATokenFactory

com.ibm.wsspi.security.token.authorizationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Berechtigungstoken verwendet wird. Diese Token-Factory verschlüsselt die Berechtigungsdaten.

Information Wert
Standardeinstellung com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.propagationTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein Weitergabetoken verwendet wird. Diese Token-Factory verschlüsselt die Daten für das Weitergabetoken.

Das Weitergabetoken befindet sich im Ausführungsthread und ist keinem speziellen Benutzer-Subject zugeordnet. Das Token folgt dem Aufruf downstream, wohin der Prozess auch führt.

Information Wert
Standardeinstellung com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.singleSignonTokenFactory

Diese Eigenschaft gibt die Implementierung an, die für ein SSO-Token (Single Sign-On) verwendet wird. Diese Implementierung ist das Cookie, das unabhängig vom Status der Eigenschaft "com.ibm.ws.security.ssoInteropModeEnabled" gesetzt wird, wenn die Weitergabe aktiviert ist.

Standardmäßig ist diese Implementierung das LtpaToken2-Cookie.

Information Wert
Standardeinstellung com.ibm.ws.security.ltpa.LTPAToken2Factory

com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken

Geben Sie mit dieser Eigenschaft an, wie das System die Authentifizierung für eine Anforderung nach dem Ablauf des Kerberos-Tokens für die Anforderung verarbeiten soll.

Wenn Sie diese Eigenschaft auf true setzen und ein Kerberos-Token nach Ablauf nicht aktualisiert werden kann, schlägt die Authentifizierung der Anforderung fehl.

Wenn Sie diese Eigenschaft auf false setzen, schlägt die Authentifizierung der Anforderung auch nach Ablauf des Tokens nicht fehl.

Der Standardwert für diese Eigenschaft ist "false".

security.allowCustomHTTPMethods

Verwenden Sie diese angepasste Eigenschaft, um angepasste HTTP-Methoden zuzulassen. Die angepassten HTTP-Methoden sind andere Methoden als die Standard-HTTP-Methoden DELETE, GET, HEAD, OPTIONS, POST, PUT und TRACE.

Wenn Sie diese Eigenschaft auf false setzen (Standardeinstellung) und keine Kombination eines URI-Musters und einer angepassten HTTP-Methode im Element "security-constraint" aufgelistet ist, wird nur eine Integritätsbedingung für die Sicherheit unter Verwendung eines URI-Musters gesucht. Wird eine Übereinstimmung gefunden, wird der Wert des Elements <auth-constraints> durchgesetzt. Dieses Verhalten minimiert potenzielle Sicherheitsrisiken.

Wenn Sie diese Eigenschaft auf true setzen, werden die angepassten HTTP-Methoden als Standard-HTTP-Methoden behandelt. Eine Berechtigungsentscheidung wird sowohl vom URI-Muster als auch von der HTTP-Methode getroffen. Um einen Ziel-URI angemessen schützen zu können, müssen Sie sicherstellen, dass die richtigen HTTP-Methoden im Element <web-resource-collection> aufgelistet sind.

security.enablePluggableAuthentication

Diese Eigenschaft wird nicht mehr verwendet. Verwenden Sie stattdessen die Anmeldekonfiguration WEB_INBOUND.

Führen Sie die folgenden Schritte aus, um die Anmeldekonfiguration WEB_INBOUND zu ändern:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Java™ Authentication and Authorization Service" auf Systemanmeldungen.
Information Wert
Standardeinstellung true

security.useDefaultPolicyWhenJ2SDisabled

Die Methode "NullDynamicPolicy.getPermissions" stellt eine Option für die Delegierung einer Standardrichtlinienklasse bereit, mit der ein Permissions-Objekt erstellt werden kann, wenn diese Eigenschaft auf true gesetzt ist. Wenn diese Eigenschaft auf false gesetzt ist, wird ein leeres Permissions-Objekt zurückgegeben.

Information Wert
Standardeinstellung false

security.useAllSSLClientAuthKeytypes

Mit dieser Eigenschaft kann sichergestellt werden, dass bei der SSL-Clientauthentifizierung während eines SSL-Handshake alle vom Zielserver bereitgestellten SSL-Schlüsseltypen bei der Auswahl eines Clientzertifikats verwendet werden.

Bei der SSL-Clientauthentifizierung verwendet WebSphere Application Server nicht alle SSL-Schlüsseltypen, die in der vom Zielserver gesendeten Zertifikatsanforderung angegeben sind, sondern nur den bevorzugten SSL-Schlüsseltyp. Wenn der SSL-Schlüsseltyp nicht mit dem bevorzugten SSL-Schlüsseltyp übereinstimmt, sendet WebSphere kein Clientzertifikat, obwohl im Keystore ein korrektes Clientzertifikat enthalten ist.

WAS_customUserMappingImpl

Diese Sicherheitseigenschaft wird als Plug-in für die angepasste Klasse "UserMapping" verwendet. Wenn dieser Wert auf der höchsten Sicherheitsstufe mit dem Klassennamen der angepassten Benutzerzuordnung festgelegt wird, wird er zum Anpassen der Benutzerzuordnung für das Zertifikat und/oder der Benutzerzuordnung für die Identitätszusicherung verwendet. Es ist notwendig, die JAR-Datei, die die angepasste Klasse enthält, im Verzeichnis WAS_HOME/lib/ext abzulegen.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_seccustomprop
Dateiname:usec_seccustomprop.html