Angepasste Eigenschaften für die Sicherheit
Verwenden Sie diese Seite, um sich mit den angepassten Eigenschaften "psecurity.allowCustomHTTPMethodsredefined" vertraut zu machen, die sich auf die Sicherheit beziehen.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Neu, um eine neue angepasste Eigenschaft und den zugehörigen Wert hinzuzufügen.
. Klicken Sie anschließend aufDie angepassten Eigenschaften in diesem Artikel werden in der Administrationskonsole über den zuvor aufgelisteten Pfad definiert, sofern in der Beschreibung nichts anderes angegeben ist.
com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.CSI.disablePropagationCallerList
com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
com.ibm.CSI.rmiInboundMappingConfig
com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
com.ibm.security.SAF.forceDelegation
com.ibm.security.SAF.overrideStartupAPPL
com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.auth.setDRSBootstrap
com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.delegateStarStarRoleAuthorization
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.canonical.lookupcom.ibm.websphere.security.skip.canonical.lookup
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.useDefaultPolicyWhenJ2SDisabled
- security.useAllSSLClientAuthKeytypes
- WAS_customUserMappingImpl
![[z/OS]](../images/ngzos.gif)
com.ibm.audit.field.length.limit
Diese Eigenschaft gilt nur für die SMF-Emitterimplementierung, die IBM für das Sicherheitsprüfungsfeature bereitstellt. Mit dieser Eigenschaft können Sie die Länge (in Bytes) angeben, bei der Prüfdaten variabler Länge abgeschnitten werden. Wenn diese angepasste Eigenschaft nicht angegeben wird und der Schwellenwert 20480 überschritten wird, werden Prüfdatenfelder variabler Länge standardmäßig auf 128 Bytes gekürzt.

Die SMF-Verlagerungsdaten haben einen Größenschwellenwert von 20480 Bytes. Wenn die Größe der Prüfdaten diesen Grenzwert überschreitet, werden die Prüfdaten gekürzt, um den Verlust der Prüfdatensätze zu verhindern.
Information | Wert |
---|---|
Standardeinstellung | 20480 |
Typ | Ganze Zahl zwischen 1 und 512 |
com.ibm.audit.report.granularity
Mit dieser Eigenschaft können Sie angeben, wie viele Prüfdaten für jeden Ereignistyp aufgezeichnet werden. Wenn Sie nur die Basisinformationen zu einem Ereignis aufzeichnen müssen, z. B. wer wann welche Aktion für welche Ressource ausgeführt hat, können Sie durch Setzen dieser Eigenschaft auf high unter Umständen die Leistung Ihres Anwendungsservers verbessern.
Sie können den Wert high, medium oder low für diese Eigenschaft angeben. Der Standardwert ist low.
Ereignistyp | Einstellung high | Einstellung medium | Einstellung low |
---|---|---|---|
SessionContext | sessionId | sessionId, remoteHost | sessionId, remoteHost, remoteAddr, remotePort |
PropagationContext (wird nur aufgezeichnet, wenn SAP aktiviert ist) | firstCaller (im Rahmen der Personendaten) | firstCaller und bei aktivem ausführlichen Modus callerList | firstCaller und bei aktivem ausführlichen Modus callerList |
RegistryContext | Es werden keine Daten aufgezeichnet. | registry type | registry type |
ProcessContext | Es werden keine Daten aufgezeichnet. | realm | realm und domain, wenn der ausführliche Modus aktiviert ist |
EventContext | creationTime | creationTime, globalInstanceId | creationTime, globalInstanceId, eventTrailId und lastTrailId, wenn der ausführliche Modus aktiviert ist |
DelegationContext | identityName | delegationType und identityName | delegationType, roleName und identityName |
AuthnContext | Es werden keine Daten aufgezeichnet. | Typ von authn | Typ von authn |
ProviderContext | Es werden keine Daten aufgezeichnet. | provider | provider und providerStatus |
AuthnMappingContext | mappedUserName | mappedUserName und mappedSecurityRealm | mappedUserName, mappedSecurityRealm und mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName, action, appUserName und resourceName | progName, action, appUserName, resourceName, registryUserName und accessDecision | progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked und rolesGranted |
PolicyContext | Es werden keine Daten aufgezeichnet. | policyName | policyName und policyType |
KeyContext | keyLabel | keyLabel und keyLocation | keyLabel, keyLocation und certificateLifetime |
MgmtContext | Es werden keine Daten aufgezeichnet. | mgmtType und mgmtCommand | mgmtType, mgmtCommand und targetInfoAttributes |
com.ibm.CSI.disablePropagationCallerList
Diese Eigenschaft inaktiviert die Caller-Liste vollständig und lässt Änderungen der Caller-Liste nicht zu. Diese Eigenschaft verhindert, dass mehrere Sitzungen erstellt werden.

Information | Wert |
---|---|
Standardeinstellung | false |
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.localCommDataForNonLocalOSEnabled
Diese Eigenschaft ermöglicht die Verwendung lokaler Kommunikationsdaten als Authentifizierungsmaterial für die CSIv2-Transportschicht, wenn LocalOS nicht als Benutzerregistry definiert ist.
Wenn Sie diese Eigenschaft auf true setzen, entsprechen die Daten, die aus dem lokalen Kommunikationstransport abgerufen werden, der ASID des lokalen Clients, der eine Verbindung zu einem WAS-Prozess herstellt. Es muss ein Benutzer, der der ASID entspricht, in der Benutzerregistry vorhanden sein. Wenn eine Nachricht des Typs "CSIv2 Establish" von einem WAS-Prozess empfangen wird und die Zusicherung der Identität angefordert wurde, können die aus dem lokalen Kommunikationstransport abgerufenen Daten verwendet werden, um sicherzustellen, dass der Client berechtigt ist, den Benutzer, der im Identitätstoken in der Attributschicht angegeben wurde, zuzusichern. Falls der durch die empfangene ASID dargestellte Benutzer in der Liste der anerkannten Identitäten auf der Seite für die eingehende CSIv2-Authentifizierung in der Administrationskonsole enthalten ist, kann diese ID das Identitätstoken zusichern.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.CSI.propagateFirstCallerOnly
Diese Eigenschaft beschränkt die Caller-Liste auf den ersten Caller, d. h., die Caller-Liste kann nicht geändert werden. Hat diese Eigenschaft den Wert "true", ist die Erstellung mehrerer Sitzungseinträge nicht mehr möglich.
Diese Eigenschaft bewirkt, dass bei aktivierter Weitergabe von Sicherheitsattributen der erste Caller im Weitergabetoken, der im Thread bleibt, protokolliert wird. Ohne diese Eigenschaft wird jeder Wechsel des Aufrufenden protokolliert. Dies kann sich negativ auf die Leistung auswirken. Gewöhnlich ist nur der erste Caller von Interesse.

Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.CSI.rmiInboundLoginConfig
Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration (Java Authentication and Authorization Service) an, die für eingehende RMI-Anforderungen (Remote Method Invocation) verwendet wird.
Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für RMI-Anmeldungen behandeln kann.
Information | Wert |
---|---|
Standardeinstellung | system.RMI_INBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingConfig
Diese Eigenschaft definiert die JAAS-Anmeldekonfiguration des Systems, die für die Durchführung anwendungsspezifischer Principalzuordnungen verwendet wird.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingEnabled
Wenn Sie diese Eigenschaft auf true setzen, wird die Funktionalität für anwendungsspezifische Principaluuordnungen aktiviert.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.CSI.rmiOutboundLoginConfig
Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für abgehende RMI-Anforderungen verwendet wird.
Hauptsächlich bereitet diese Eigenschaft die weitergegebenen Attribute im Subject vor, das an den Zielserver gesendet wird. Für die Zuordnung abgehender Anforderungen können Sie aber auch ein eigenes Anmeldemodul einsetzen.
Information | Wert |
---|---|
Standardeinstellung | system.RMI_OUTBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiOutboundMappingEnabled
Wenn Sie diese Eigenschaft auf true setzen, kann das in das WSSubjectWrapper-Objekt eingebettete ursprüngliche Caller-Subjekt wiederhergestellt werden.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.CSI.supportedTargetRealms
Diese Eigenschaft aktiviert Berechtigungsnachweise, die im aktuellen Realm authentifiziert sind und an jeden Realm gesendet werden sollen, der im Feld "Anerkannte Zielrealms" angegeben ist. Das Feld "Anerkannte Zielrealms" ist in der Anzeige "Authentifizierung abgehender CSIv2-Anforderungen" verfügbar. Die Eigenschaft ermöglicht diesen Realms, die vom aktuellen Realm eingehenden Daten zuzuordnen.
- Klicken Sie auf .
- Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2.
com.ibm.security.multiDomain.setNamingReadUnprotected
Diese Eigenschaft kann auf true gesetzt werden, wenn die Rolle "CosNamingRead" alle NamingRead-Operationen schützen soll. Wenn Sie diese Eigenschaft auf "true" setzen, entspricht dies dem Zuordnen der Rolle "CosNamingRead" zum Sondersubjekt "Everyone" (Jeder). Wenn diese Eigenschaft gesetzt ist, werden alle vorgenommenen Zuordnungen zur Rolle "CosNamingRead" ignoriert.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.forceDelegation
Bestimmt, ob die SAF-Delegierung (System Authorization Facility) unabhängig von der SAF-Berechtigung verwendet werden kann. Wenn Sie diese Eigenschaft auf true setzen, kann die SAF-Delegierung verwendet werden, wenn die Benutzerregistry eine Benutzerregistry für eingebundene Repositorys und mit der SAF-Benutzerregistry-Brücke konfiguriert ist.
Für diese Eigenschaft gibt es keine Standardeinstellung.
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.overrideStartupAPPL
Diese Eigenschaft kann verwendet werden, um den Wert für das APPL-Profil zu überschreiben, insbesondere für die beiden RACROUTE-Aufrufe, die während des Serverstarts abgesetzt werden. Der APPL-Wert wird für diese Aufrufe im Berechtigungsprüfprozess nicht verwendet, aber den Exitroutinen der Installation zur Verfügung gestellt. Der für die Berechtigungsprüfung verwendete Wert des APPL-Profils wird nicht über diese Eigenschaft gesteuert, sondern auf CBS390 oder auf den Wert des SAF-Profilpräfix gesetzt.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.useAPPLpr
Diese angepasste Eigenschaft gibt an, ob das APPL-Profil verwendet werden soll, um den Zugriff auf WebSphere Application Server zu beschränken.
Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.security.useFIPS
Gibt an, dass FIPS-Algorithmen (Federal Information Processing Standard) verwendet werden. Der Anwendungsserver verwendet den Verschlüsselungsprovider IBMJCEFIPS anstelle des Verschlüsselungsproviders IBMJCE.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
Diese Sicherheitseigenschaft wird verwendet, um die Absenderadresse für E-Mail-Benachrichtigungen zum Zertifikatsverfall anzupassen.
Der Wert, den Sie dieser Eigenschaft zuordnen, muss eine Internetadresse sein, wie z. B. Notification@abc-company.com. Wenn diese Eigenschaft nicht gesetzt ist, verwendet der Anwendungsserver als Ausgangsadresse "WebSphereNotification@ibm.com".
Information | Wert |
---|---|
Standardeinstellung | Ohne |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
Diese Sicherheitseigenschaft wird verwendet, um den Zeichensatz für die Textcodierung von E-Mail-Benachrichtigungen zum Zertifikatsverfall anzupassen.
WebSphere Application Server sendet eine Benachrichtigungs-E-Mail zum Zertifikatsverfall in Englisch (US) bzw. im Standardzeichensatz der Maschine (wenn eine nicht englische Ländereinstellung angegeben ist). Wenn Sie einen Zeichensatz für Textcodierung von E-Mail-Nachrichten zum Zertifikatsverfall verwenden möchten, können Sie den Zeichensatz mit dieser Eigenschaft anpassen.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
com.ibm.websphere.lookupRegistryOnProcess
Diese Eigenschaft kann gesetzt werden, wenn Suchen in der Realm-Registry über eine MBean auf einem fernen Server durchgeführt werden und der Realm der Sicherheit des lokalen Betriebssystems unterliegt.
Standardmäßig führen die Benutzerregistry-Tasks "listRegistryUsers" und "listRegistryGroups" die Suche über den aktuellen Prozess durch. Bei Network Deployment ist dies der Deployment-Manager-Prozess (deployment).
Wenn Sie mit einer Benutzerregistry des lokalen Betriebssystems arbeiten, sollten Suchoperationen auf dem Server stattfinden, auf dem sich die Registry befindet. In einer Network Deployment-Umgebung könnte dies eine ferne Maschine sein. Wenn Sie Suchoperationen in dem Serverprozess durchführen möchten, in dem sich die Registry befindet, müssen Sie die angepasste Eigenschaft "com.ibm.websphere.lookupRegistryOnProcess" auf true setzen.
Wenn Sie "com.ibm.websphere.lookupRegistryOnProcess" nicht definieren oder auf falsesetzen, wird die Suchoperation im aktuellen Prozess durchgeführt. Die angepasste Eigenschaft kann mit der Task "setAdminActiveSecuritySettings" für die globale Sicherheit bzw. mit der Task "setAppActiveSecuritySettings" für eine Sicherheitsdomäne definiert werden.
com.ibm.websphere.security.allow.committed.response
Diese angepasste Eigenschaft gibt an, ob festgeschriebene HTTP-Antworten zulässig sind.
Wenn der Anwendungsserver eine festgeschriebene HTTP-Antwort ermittelt, wird die generische Fehlernachricht "403" angezeigt. Setzen Sie diese Eigenschaft auf true, um festgeschriebene HTTP-Antworten zuzulassen und die Fehlernachricht "403" zu unterdrücken. In Konfigurationen, die angepasste Anmeldemodule verwenden, kann das Modul eine HTTP-Antwort festschreiben, um eine angepasste Fehlernachricht anzuzeigen.
Der Standardwert ist false.
com.ibm.websphere.security.allowAnyLogoutExitPageHost
Wenn Sie die formularbasierte Anwendungsanmeldung und -abmeldung verwenden, können Sie einen URL für eine angepasste Abmeldeseite angeben. Standardmäßig muss der URL auf den Host, an den die Anforderung abgesetzt wird, bzw. auf seine Domäne verweisen. Wenn dies nicht der Fall ist, wird eine generische Abmeldeseite anstelle der angepassten Abmeldeseite angezeigt. Falls Sie auf einen Host verweisen möchten, müssen Sie diese Eigenschaft in der Datei security.xml auf true setzen. Wenn Sie diese Eigenschaft auf true setzen, sind Ihre Systeme möglicherweise offen für Angriffe, die auf eine URL-Umadressierung abzielen.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.alwaysRestoreOriginalURL
Verwenden Sie diese Eigenschaft, um anzugeben, ob ein Cookie mit dem Wert "WASReqURL" bei der Verwendung des Prozessors für angepasste Formularanmeldung berücksichtigt wird.
Wenn diese Eigenschaft auf true gesetzt ist, hat der Wert "WASReqURL" Vorrang vor dem aktuellen URL, und das WASReqURL-Cookie wird aus nachfolgenden Anforderungen entfernt.
Wenn diese Eigenschaft auf false gesetzt ist, hat der Wert des aktuellen URL Vorrang, und das WASReqURL-Cookie wird nicht aus nachfolgenden Anforderungen entfernt.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.auth.setDRSBootstrap
Gibt an, ob der Datenreplikationsservice (DRS) die Funktion DRSbootstrap aktiviert.
In Umgebungen mit hoher Verfügbarkeit kann die Replikation der Daten des dynamischen Cache die Serverstartzeit verlängern. Wenn Sie feststellen, dass die Serverstartzeiten sich aufgrund der Datenreplikation verlangsamen, fügen Sie diese Eigenschaft zu den Sicherheitseinstellungen Ihres Servers hinzu, und setzen Sie sie auf false. Wird diese Eigenschaft auf "false" gesetzt, inaktiviert der Datenreplikationsservice die Funktion "DRSbootstrap".
Die Standardeinstellung für diese Eigenschaft ist "true".
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.cms.use.default
Gibt an, ob die CMSProvider-Standardversion unter z/OS von Version 4 auf Version 3 für die neuen CMS-Keystores geändert werden soll, die mit WebSphere Application Server generiert wurden.
Für CMSProvider Version 2.50 ist die Standardspezifikationsversion Version 4. Neu generierte Keystores haben Version 4, wohingegen z/OS momentan keine CMS-Keystores der Version 4 verwenden kann. Für diese mit CMS-Keystores der Version 4 setzen Sie die Eigenschaft com.ibm.websphere.security.cms.use.default=true, sodass die CMSProvider-Standardversion unter z/OS von Version 4 auf Version 3 geändert wird. Wenn Ihre Keystores bereits mit früheren Java-Versionen generiert wurden, haben sie bereits Version 3 und können erfolgreich mit CMSProvider 2.50 unter z/OS verwendet werden.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.config.inherit.trustedRealms
Diese Eigenschaft wird verwendet, damit die globalen Einstellungen für vertrauenswürdige Realms aus der globalen Sicherheitskonfiguration der Domäne übernommen werden.
Die vertrauenswürdigen eingehenden und abgehenden Realms der Sicherheitskonfiguration werden standardmäßig nicht übernommen. Es gibt jedoch einige Fälle, in denen die Konfiguration die Einstellungen aus der globalen Sicherheitskonfiguration der Domäne verwenden (übernehmen) sollte.
Die gültigen Werte für diese Eigenschaft sind true und false.
com.ibm.websphere.security.console.noSSLTreePortEndpoints
Diese Eigenschaft wird verwendet, um die Antwortzeit für große Topologiekonfigurationen zu verbessern.
Wenn Sie diese Eigenschaft auf true setzen, wird der Status der SSL-Portendpunkte nicht auf der Seite "Sicherheitskonfigurationen für Endpunkte verwalten" in der Administrationskonsole angezeigt. Manchmal hat es beim Anzeigen des Status von SSL-Portendpunkten den Anschein, dass die Administrationskonsole nicht mehr funktioniert, weil die Antwortzeit länger ist als erwartet.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.continueAfterTAIError
Diese Eigenschaft leitet Sie automatisch an eine Anmeldeseite weiter, wenn ein angepasster TAI einen Fehler zurückgibt.
Es ist nicht erforderlich, dass Sie in Ihrem Browser erneut einen URL eingeben, um eine neue Anmeldung zu versuchen. Die Eigenschaft muss auf true gesetzt werden, um dieses Verhalten zu ermöglichen.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.customLTPACookieName
Diese Eigenschaft wird verwendet, um den Namen der Cookies anzupassen, die für LTPA-Token (Lightweight Third Party Authentication) verwendet werden.
In WebSphere Application Server Version 8.0 können Sie die Namen der Cookies, die für LTPA- und LTPA2-Token verwendet werden, anpassen. Mithilfe angepasster Cookienamen können Sie die Authentifizierung der einzelnen SSO-Domänen logisch trennen und die angepasste Authentifizierung für eine bestimmte Umgebung aktivieren.
Um diese Funktionalität nutzen zu können, müssen Sie eine angepasste Eigenschaft definieren. Für LTPA-Token kann die angepasste Eigenschaft "com.ibm.websphere.security.customLTPACookieName" für das LTPA-Token-Cookie bzw. "com.ibm.websphere.security.customSSOCookieName" für das LTPA2-(SSO)-Token-Cookie auf eine beliebige gültige Zeichenfolge (Sonderzeichen und Leerzeichen sind nicht zulässig) gesetzt werden. Bei der Eingabe der Eigenschaften ist die Groß-/Kleinschreibung zu beachten.
Der Wert für diese Eigenschaft ist eine gültige Zeichenfolge.
- Diese Eigenschaft kann wie die meisten angepassten Eigenschaften auf Sicherheitsdomänenebene definiert werden. Auf diese Weise kann eine separate Anmeldung zwischen einer Administrationskonsolenanwendung und einer Anwendungsanmeldung erzwungen werden.
- Die ursprünglichen Standardcookienamen LtpaToken und LTPAToken2 werden von WebSphere Application Server Version 8.0 akzeptiert und anerkannt. Dies ermöglicht die Kompatibilität mit Produkten wie Lotus Domino und WebSphere Portal, die beide den Standardcookienamen nutzen.
- Die Definition eines angepassten Cookienamens kann einen Authentifizierungsfehler auslösen. Eine Verbindung zu einem Server, in dem die Eigenschaft für angepasste Cookies definiert ist, sendet dieses angepasste Cookie beispielsweise an den Browser. Eine nachfolgende Verbindung zu einem Server, der den Standardcookienamen oder einen anderen Cookienamen verwendet, kann die Anforderung durch Validierung des eingehenden Cookies nicht authentifizieren.
- Diese Eigenschaft funktioniert in einer heterogenen Zellenumgebung nicht ordnungsgemäß. Ein Deployment Manager in WebSphere Application Server Version 8.0 könnte beispielsweise angepasste Cookies erstellen. Ein Knoten oder Server der WebSphere Application Server Version 7.0 in derselben Zelle hingegen kann dieses Cookie nicht verarbeiten und weist es deshalb zurück.
- Wenn Sie ein Produkt verwenden, das mit WebSphere Application Server interagiert und LTPA-Token generiert, wie z. B. Lotus Domino oder WebSphere Portal, müssen Sie beachten, dass diese Produkte unter Umständen keine angepassten LTPA-Cookienamen verarbeiten können. Ziehen Sie die Dokumentation zu Ihrem Produkt zu Rate, um festzustellen, wie das Produkt angepasste LTPA-Cookienamen verarbeitet.
com.ibm.websphere.security.customSSOCookieName
Diese Eigenschaft wird verwendet, um den Namen der Cookies anzupassen, die für LTPA2-Token (Lightweight Third Party Authentication Version 2) verwendet werden.
In WebSphere Application Server Version 8.0 können Sie die Namen der Cookies, die für LTPA- und LTPA2-Token verwendet werden, anpassen. Mithilfe angepasster Cookienamen können Sie die Authentifizierung der einzelnen SSO-Domänen logisch trennen und die angepasste Authentifizierung für eine bestimmte Umgebung aktivieren.
Um diese Funktionalität nutzen zu können, müssen Sie eine angepasste Eigenschaft definieren. Für LTPA-Token kann die angepasste Eigenschaft "com.ibm.websphere.security.customLTPACookieName" für das LTPA-Token-Cookie bzw. "com.ibm.websphere.security.customSSOCookieName" für das LTPA2-(SSO)-Token-Cookie auf eine beliebige gültige Zeichenfolge (Sonderzeichen und Leerzeichen sind nicht zulässig) gesetzt werden. Bei der Eingabe der Eigenschaften ist die Groß-/Kleinschreibung zu beachten.
Der Wert für diese Eigenschaft ist eine gültige Zeichenfolge.
- Diese Eigenschaft kann wie die meisten angepassten Eigenschaften auf Sicherheitsdomänenebene definiert werden. Auf diese Weise kann eine separate Anmeldung zwischen einer Administrationskonsolenanwendung und einer Anwendungsanmeldung erzwungen werden.
- Die ursprünglichen Standardcookienamen LtpaToken und LTPAToken2 werden von WebSphere Application Server Version 8.0 akzeptiert und anerkannt. Dies ermöglicht die Kompatibilität mit Produkten wie Lotus Domino und WebSphere Portal, die beide den Standardcookienamen nutzen.
- Die Definition eines angepassten Cookienamens kann einen Authentifizierungsfehler auslösen. Eine Verbindung zu einem Server, in dem die Eigenschaft für angepasste Cookies definiert ist, sendet dieses angepasste Cookie beispielsweise an den Browser. Eine nachfolgende Verbindung zu einem Server, der den Standardcookienamen oder einen anderen Cookienamen verwendet, kann die Anforderung durch Validierung des eingehenden Cookies nicht authentifizieren.
- Diese Eigenschaft funktioniert in einer heterogenen Zellenumgebung nicht ordnungsgemäß. Ein Deployment Manager in WebSphere Application Server Version 8.0 könnte beispielsweise angepasste Cookies erstellen. Ein Knoten oder Server der WebSphere Application Server Version 7.0 in derselben Zelle hingegen kann dieses Cookie nicht verarbeiten und weist es deshalb zurück.
- Wenn Sie ein Produkt verwenden, das mit WebSphere Application Server interagiert und LTPA-Token generiert, wie z. B. Lotus Domino oder WebSphere Portal, müssen Sie beachten, dass diese Produkte unter Umständen keine angepassten LTPA-Cookienamen verarbeiten können. Ziehen Sie die Dokumentation zu Ihrem Produkt zu Rate, um festzustellen, wie das Produkt angepasste LTPA-Cookienamen verarbeitet.
com.ibm.websphere.security.delegateStarStarRoleAuthorization
- true - Der Sicherheitscode erteilt den Zugriff ohne vorherige Interaktion mit der Plug-in-Berechtigungstabelle.
- false - Der Sicherheitscode delegiert die Entscheidung an die Plug-in--Berechtigungstabelle. Dies ist der Standardwert.
com.ibm.websphere.security.displayRealm
Diese Eigenschaft gibt an, ob im Anmeldefenster für die HTTP-Basisauthentifizierung der Realmname angezeigt wird, der in der Datei web.xml der Anwendung definiert ist.
- Wenn die Eigenschaft auf false gesetzt ist, wird als WebSphere-Realmname der Standardrealm angezeigt.
- Wenn die Eigenschaft auf true gesetzt ist, wird als WebSphere-Realmname der Realmname der Benutzerregistry für den LTPA-Authentifizierungsmechanismus bzw. der Kerberos-Realmname für den Kerberos-Authentifizierungsmechanismus angezeigt.
Information | Wert |
---|---|
Standardeinstellung | false |
Typ | String |
com.ibm.websphere.security.disableGetTokenFromMBean
Verwenden Sie diese Eigenschaft, um den abgehenden SOAP-Aufruf zu inaktivieren und das Subjekt vom Ursprungsserver abzurufen, wenn Single Sign-On aktiviert ist.
Normalerweise, wenn Single Sign-On aktiviert ist und eine eingehende Anforderung authentifiziert werden muss, versucht der empfangende Server, die Authentifizierung vom Ursprungsserver abzurufen. Die Verbindung zwischen dem sendenden und dem empfangenden Server überschreitet während dieses Callback-Prozesses ein Zeitlimit.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.enableAuditForIsCallerInRole
Verwenden Sie diese Eigenschaft, um die Prüfung für den Methodenaufruf "isCallerInRole" zu aktivieren.
Wenn Sie diese Eigenschaft auf false setzen, wird die Prüfung für den Aufruf von isCallerInRole inaktiviert. In z/OS werden keine SMF-Datensätze für den Aufruf abgesetzt.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
Verwenden Sie diese Eigenschaft, wenn der von einem TAI bereitgestellte Benutzer nicht in der Benutzerregistry gefunden wird, damit anstelle einer Fehlerseite eine Anmeldeseite angezeigt wird.
Wenn der von einem TAI bereitgestellte Benutzer nicht in der Benutzerregistry gefunden wird, zeigt WebSphere Application Server eine Fehlerseite an. Wenn Sie dieses Verhalten anpassen möchten, müssen Sie diese Eigenschaft auf true setzen. Daraufhin wird die Anmeldeseite angezeigt. Die Standardeinstellung für diese Eigenschaft ist false, und das normale Verhalten für WebSphere Application Server ist, dass eine Fehlerseite angezeigt wird.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.initializeRSAProperties
Wenn in einer Umgebung mit einem Job-Manager oder Verwaltungsagenten nach Ausführung des Zertifikatsverfallsmonitors eine hohe CPU-Auslastung festgestellt wird, ist es möglicherweise notwendig, die Knoten auf mehrere Server zu verteilen, um die CPU-Belastung auf einem Server zu reduzieren.
Wenn diese Eigenschaft auf false gesetzt ist, werden SSL-Eigenschaften, die sich auf RSA-Token beziehen, von WebSphere nicht reinitialisiert. Bevor Sie die Eigenschaft mit dem Wert false konfigurieren, müssen Sie sicherstellen, dass der Job-Manager oder Verwaltungsagent in Ihrer Umgebung nicht verwendet wird. Für diese Features sind RSA-Token erforderlich, daher sollte diese Eigenschaft nicht verwendet werden.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.websphere.security.InvokeTAIbeforeSSO
Mit dieser Eigenschaft kann die Standardaufrufreihenfolge der Trust Association Interceptor (TAIs) in Relation zur SSO-Benutzerauthentifizierung (Single Sign-on) geändert werden. Standardmäßig werden Trust Association Interceptor nach SSO aufgerufen. Diese Eigenschaft wird verwendet, um die Standardreihenfolge für den TAI-Aufruf mit SSO zu ändern. Der Eigenschaftswert ist eine durch Kommas getrennte Liste mit TAI-Klassennamen, die vor SSO aufgerufen werden sollen.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
Typ | String |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
Wenn JAAS-Authentifizierungsdateneinträge auf Domänensicherheitsebene erstellt werden, hat der Aliasname für den Eintrag standardmäßig das Format Aliasname. Wenn ein Aliasnamen im Format Knotenname/Aliasname erstellen möchten, können Sie das Hinzufügen des Knotennamens zum Aliasnamen für den Eintrag aktivieren, indem Sie die folgende Eigenschaft auf Domänensicherheitsdomäne definieren.
Sie können "com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true" auf globaler Sicherheitsebene definieren, um das Hinzufügen des Knotennamens zum Aliasnamen von JAAS-Authentifizierungsdateneinträgen für alle Sicherheitsdomänen zu aktivieren.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
Wenn JAAS-Authentifizierungsdateneinträge auf globaler Sicherheitsebene erstellt werden, hat der Aliasname für den Eintrag standardmäßig das Format Knotenname/Aliasname. Sie können das Hinzufügen des Knotennamens zum Aliasnamen für den Eintrag inaktivieren, indem Sie diese Eigenschaft auf globaler Sicherheitsebene auf true setzen.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.krb.canonical_host
Diese angepasste Eigenschaft gibt an, ob der Anwendungsserver die kanonische Form des URL/HTTP-Hostnamens bei der Authentifizierung eines Clients verwendet. Diese Eigenschaft kann für SPNEGO TAI und SPNEGO Web verwendet werden.
CWSPN0011E: Es wurde ein ungültiges SPNEGO-Token bei der Authentifizierung einer HTTP-Servletanforderung gefunden
Wenn Sie diese angepasste Eigenschaft auf true setzen, können Sie
diese Fehlernachricht vermeiden und dem Anwendungsserver die Authentifizierung mit der kanonischen
Form des URL/HTTP-Hostnamens ermöglichen.Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.websphere.security.ldap.logicRealm
Diese angepasste Eigenschaft ermöglicht Ihnen, den Namen des Realms zu ändern, der in das Token eingefügt wird.
Diese angepasste Eigenschaft ermöglicht Ihnen, jede Zelle so zu konfigurieren, dass sie einen eigenen LDAP-Host für die Interoperabilität und Abwärtskompatibilität hat. Außerdem bietet Sie Ihnen die Flexibilität, den LDAP-Host dynamisch hinzuzufügen oder zu entfernen. Wenn Sie eine frühere Installation migrieren, wird dieser geänderte Realmname erst wirksam, wenn die Verwaltungssicherheit erneut aktiviert wird. Für die Kompatibilität mit einem früheren Release, das den logischen Realm nicht unterstützt, muss der Name mit dem Namen identisch sein, der von der früheren Installation verwendet wurde. Sie müssen den LDAP-Hostnamen, einschließlich eines abschließenden Doppelpunkts und einer Portnummer, verwenden.
Information | Wert |
---|---|
Typ | String |
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Erweitern Sie unter "Repository für Benutzeraccounts" die Liste "Verfügbare Realmdefinitionen", wählen Sie Eigenständige LDAP-Registry aus und klicken Sie dann auf Konfigurieren.
- Klicken Sie unter "Angepasste Eigenschaften" auf Neu, und geben Sie dann com.ibm.websphere.security.ldap.logicRealm im Feld Name und den neuen Namen des Realms, der in das Token eingefügt wird, im Feld Wert ein.
- Wählen Sie diese angepasste Eigenschaft aus und klicken Sie dann auf Anwenden oder OK.
com.ibm.websphere.security.ldapSSLConnectionTimeout
Verwenden Sie diese Eigenschaft, wenn SSL im LDAP-Server aktiviert ist, um festzulegen, wie lange (in Millisekunden) die JVM maximal auf eine Socketverbindung wartet, bevor eine Zeitlimitüberschreitung ausgelöst wird.
Sind ein oder mehrere eigenständige LDAP-Server offline, wenn ein Serverprozess gestartet wird und LDAP-SSL aktiviert ist, kann es zu einer Verzögerung von bis zu drei Minuten in der Startprozedur kommen, selbst wenn Sie einen Wert für die angepasste Eigenschaft "com.sun.jndi.ldap.connect.timeout" angeben. Wenn LDAP-SSL aktiviert ist, wird jeder für die Eigenschaft "com.sun.jndi.ldap.connect.timeout" angegebene Wert ignoriert.
Wenn ein Wert für diese Eigenschaft angegeben ist, versucht die JVM, dieses Verbindungszeitlimit für den Aufbau einer Socketverbindung zu verwenden, anstatt einen Verzeichniskontext einzurichten. Wenn kein Wert für diese Eigenschaft angegeben wird, versucht die JVM, einen Verzeichniskontext einzurichten.
Für diese Eigenschaft gibt es keine Standardeinstellung.
com.ibm.websphere.security.logoutExitPageDomainList
Wenn Sie die formularbasierte Anwendungsanmeldung und -abmeldung verwenden, können Sie einen URL für eine angepasste Abmeldeseite angeben. Standardmäßig muss der URL auf den Host, an den die Anforderung abgesetzt wird, bzw. auf seine Domäne verweisen. Wenn dies nicht der Fall ist, wird eine generische Abmeldeseite anstelle der angepassten Abmeldeseite angezeigt. Fall Sie auf einen anderen Host verweisen müssen, können Sie diese Eigenschaft mit einer durch Pipezeichen (|) getrennten Liste von URLs, die für die Abmeldeseite zulässig sind, in die Datei security.xml einfügen.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
com.ibm.websphere.security.performTAIForUnprotectedURI
Diese Eigenschaft wird verwendet, um das TAI-Aufrufverhalten festzulegen, wenn Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden in der Administrationskonsole ausgewählt ist.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.recoverContextWithNewKeys
Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services oder asynchrone Beans gespeichert wurde.
Wenn diese Eigenschaft auf true gesetzt ist, kann der Sicherheitskontext auch dann entserialisiert werden, wenn die LTPA-Schlüssel nach der Serialisierung des Kontextes geändert wurden. Diese Eigenschaft muss auf true gesetzt werden, wenn die Entserialisierung des Sicherheitskontextes mit einer Ausnahme des Typs "WSSecurityException" fehlgschlägt, die die folgende Nachricht enthält: Validation of LTPA token failed due to invalid keys or token type.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.rsaCertificateAliasCache
Diese Eigenschaft wird verwendet, um die Größe des Aliascaches zu steuern.
Der Standardwert ist "5000" und kann für größere Implementierungen erhöht werden. Sie müssen diese Eigenschaft nur dann hinzufügen, wenn Ihre Job-Manager-Topologie mehr als 5000 registrierte Knoten umfasst.
Der eingegebene Wert muss zwischen 1 und N liegen, wobei N für eine gültige positive ganze Zahl steht, die größer-gleich der Anzahl der beim Job-Manager registrierten Knoten ist.
Information | Wert |
---|---|
Standardeinstellung | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
Diese Eigenschaft wird verwendet, um einen eindeutigen Pfadnamen festzulegen, wenn ein WASReqURL-Cookie generiert wird.
Ein Browser kann mehrere WASReqURL-Cookies enthalten, vorausgesetzt, jedes Cookie hat einen eindeutigen Pfadnamen. Wenn Sie diese Eigenschaft auf true setzen, wird immer, wenn ein WASReqURL-Cookie generiert wird, ein eindeutiger Pfadname festgelegt. Wenn Sie also mehrere Anwendungen, die als Anmeldemethode die formularbasierte Anmeldung verwenden, auf demselben Anwendungsserver installiert haben, sollten Sie diese Eigenschaft als eine der Sicherheitseinstellungen für diesen Anwendungsserver festlegen und auf true setzen.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.skip.canonical.lookup
Verwenden Sie diese Eigenschaft, wenn Sie die kanonische Suche für bestimmte Hostnamen überspringen müssen. Bei dem Wert, den Sie für diese Eigenschaft angeben, muss die Groß-/Kleinschreibung beachtet werden, außerdem muss der Wert mit dem Hostnamen im SPNEGO-Filter übereinstimmen.
WebSphere Application Server erwartet, dass die Java-API "java.net.InetAddress #getCanonicalHostName()" einen tatsächlichen Hostnamen zurückgibt. In manchen Situationen gibt diese API anstelle eines Hostnamens die Zeichenfolgedarstellung einer IP-Adresse zurück. Wenn dieses Szenario eintritt, kann WebSphere Application Server nicht erkennen, dass die eingehende Anforderung für die SPNEGO-Authentifizierung bewertet werden muss.
Tritt dieser Fall ein, fügen Sie diese angepasste Eigenschaft Ihren Sicherheitskonfigurationseinstellungen hinzu und geben Sie für die Eigenschaft den Namen des Hosts an, für den keine kanonische Suche durchgeführt werden soll.
myhost1.mycompany.com|myhost2.mycompany.com
Information | Wert |
---|---|
Standardeinstellung | Ohne |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
Diese Eigenschaft wird verwendet, um sicherzustellen, dass die Zuordnung eines Kerberos-Principals zu einer RACF-ID für die SPNEGO-Webauthentifizierung durchgeführt wird.
Wenn Sie diese Eigenschaft Ihren Sicherheitseinstellung nicht hinzufügen und auf true setzen, wird keine Zuordnung des Kerberos-Principals zu einer RACF-ID für die SPNEGO-Webauthentifizierung durchgeführt.

Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.strictCredentialExpirationCheck
Gibt an, ob die Überprüfung des Ablaufdatums von Berechtigungsnachweisen für einen lokalen EJB-Aufruf durchgeführt wird. Wenn eine EJB eine andere EJB aufruft, die sich auf einer lokalen Maschine befindet, findet gewöhnlich auch dann ein direkter Methodenaufruf statt, wenn die Berechtigungsnachweise des ursprünglichen Aufrufers ablaufen, bevor der lokale EJB-Aufruf stattfindet.
Wenn diese Eigenschaft auf true gesetzt ist, findet eine Überprüfung des Ablaufdatums der Berechtigungsnachweise für einen lokalen EJB-Aufruf statt, bevor die EJB auf der lokalen Maschine aufgerufen wird. Wenn die Berechtigungsnachweise abgelaufen sind, wird der EJB-Aufruf zurückgewiesen.
Wenn diese Eigenschaft auf false gesetzt ist, wird das Ablaufdatum der Berechtigungnachweise für einen lokalen EJB-Aufruf nicht überprüft.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
Verwenden Sie diese Eigenschaft, um den Zeitraum anzugeben, den der empfangende Server darauf wartet, dass ein abgehender SOAP-Aufruf die richtige Authentifizierung vom Ursprungsserver abruft, wenn Single Sign-On aktiviert ist.
Für diese Eigenschaft gibt es keinen Standardwert. Ist kein Wert angegeben, wird der globale SOAP-Zeitlimitwert als Zeitlimitwert für die SOAP-Verbindung verwendet.
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
Verwenden Sie diese Eigenschaft, um anzugeben, dass beim Erstellen eines neuen Standard-SSO-Token (Single Sign-on) die aktive Benutzerregistry verwendet werden soll.
Normalerweise wird jedes Mal ein Standard-SSO-Token erstellt, wenn das ankommende SSO-Authentifizierungstoken vom Namen des Principals im Berechtigungstoken abweicht. Eine mögliche Ursache für diese Abweichung können unterschiedliche Realms sein. Beispielsweise ergibt sich eine Abweichung, wenn die Verwaltungsdomäne die Registry "LocalOS" verwendet und "LDAP" die aktive Registry ist.
Wenn Sie diese Eigenschaft auf true setzen, werden neue SSO-Token erstellt, die die LDAP-Registry verwenden.
Der Standardwert für diese Eigenschaft ist "false".
com.ibm.websphere.security.useLoggedSecurityName
Diese Eigenschaft ist eine angepasste Eigenschaft von Benutzerregistrys. Diese Eigenschaft ändert das Verhalten beim Erstellen von WSCredential.
Die Einstellung false zeigt an, dass der Sicherheitsname, der von einer Benutzerregistry zurückgegeben wird, immer für die Erstellung von WSCredential verwendet wird.
Die Einstellung true zeigt an, dass ein Sicherheitsname, der vom Anmeldemodul bereitgestellt wird, oder ein Anzeigename, der von einer Benutzerregistry bereitgestellt wird, verwendet wird. Diese Einstellung ist mit WebSphere Application Server Version 6.1 und älteren Releases kompatibel.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
Diese Eigenschaft gibt an, wie lange (in Millisekunden) eine CSIv2-Sitzung inaktiv bleiben darf, bevor sie gelöscht wird. Die Sitzung wird gelöscht, wenn die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled" den Wert true hat und die maximale Größe des CSIv2-Sitzungscaches überschritten wird.
- Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
- Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
Der gültige Wertebereich für diese angepasste Eigenschaft ist 60.000 bis 86.400.000 Millisekunden. Standardmäßig wird kein Wert gesetzt.
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
Diese angepasste Eigenschaft gibt an, ob die Größe des CSIv2-Sitzungscaches begrenzt werden soll.
Wenn Sie diese angepasste Eigenschaft auf true setzen, müssen Sie Werte für die angepassten Eigenschaften "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" und "com.ibm.websphere.security.util.csiv2SessionCacheMaxSize" festlegen. Wenn Sie diese angepasste Eigenschaft auf false setzen, ist der CSIv2-Sitzungscache nicht begrenzt. Die Standardeinstellung für diese Eigenschaft ist "false".
Sie sollten diese angepasste Eigenschaft auf true setzen, wenn Ihre Umgebung die Kerberos-Authentifizierung verwendet und eine geringe Zeitabweichung für das konfigurierte Key Distribution Center (KDC) aufweist. In diesem Szenario ist eine geringe Zeitabweichung laut Definition eine Zeitabweichung von weniger als 20 Minuten. Eine geringe Zeitabweichung kann zu einer höheren Anzahl zurückgewiesener CSIv2-Sitzungen führen. Mit einem kleineren Wert für die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" kann der Anwendungsserver diese zurückgewiesenen Sitzungen jedoch häufiger bereinigen und damit unter Umständen Ressourcenengpässe reduzieren.
- Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
- Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
Diese Eigenschaft gibt die maximale Größe des Sitzungscaches an, bei deren Erreichen abgelaufene Sitzungen aus dem Cache gelöscht werden.
Abgelaufene Sitzungen sind laut Definition Sitzungen, deren Inaktivitätszeit den Wert überschreitet, der mit der angepassten Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" angegeben wurde. Wenn Sie die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheMaxSize" verwenden, setzen Sie diese auf einen Wert zwischen 100 und 1000 (Einträgen).
Ziehen Sie die Definition eines Wertes für diese angepasste Eigenschaft in Erwägung, wenn Ihre Umgebung die Kerberos-Authentifizierung verwendet und eine geringe Zeitabweichung für das konfigurierte Key Distribution Center (KDC) aufweist. In diesem Szenario ist eine geringe Zeitabweichung laut Definition eine Zeitabweichung von weniger als 20 Minuten. Erhöhen Sie den Wert dieser angepassten Eigenschaft, wenn die kleine Cachegröße bewirkt, dass die Garbage-Collection so häufig durchgeführt wird, dass sie sich auf die Leistung des Anwendungsservers auswirkt.
Diese angepasste Eigenschaft gilt nur, wenn Sie statusabhängige Sitzungen aktivieren, die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled" auf "true" setzen und einen Wert für die angepasste Eigenschaft "com.ibm.websphere.security.util.csiv2SessionCacheIdleTime" festlegen.
- Erweitern Sie den Abschnitt Sicherheit, und klicken Sie auf Globale Sicherheit.
- Erweitern Sie den Abschnitt RMI/IIOP-Sicherheit, und klicken Sie auf Abgehende CSIv2-Kommunikation.
Der gültige Wertebereich für diese angepasste Eigenschaft ist 100 bis 1000 (Einträge). Standardmäßig wird kein Wert gesetzt.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.util.postParamMaxCookieSize
Diese Eigenschaftengruppe legt das Größenlimit für WASPostParam-Cookies fest, die vom Sicherheitscode generiert werden.
Information | Wert |
---|---|
Standardeinstellung | Ohne |
com.ibm.websphere.security.web.removeCacheOnFormLogout
Mit dieser angepassten Eigenschaft können Sie festlegen, ob ein zwischengespeichertes Objekt im Falle einer formularbasierten Abmeldung aus dem Authentifizierungscache und dem dynamischen Cache entfernt werden soll. Eine formularbasierte Abmeldung ist ein Verfahren, das einem Benutzer ermöglicht, sich von einer Anwendung abzumelden, ohne alle Web-Browser-Sitzungen schließen zu müssen.
Wird diese Eigenschaft auf "false" gesetzt, werden entsprechende zwischengespeicherte Einträge bei einer formularbasierten Abmeldung nicht aus dem Authentifizierungscache und dem dynamischen Cache entfernt. Das bedeutet, dass wenn derselbe Benutzer sich nach einer formularbasierten Abmeldung erneut anmeldet, das zwischengespeicherte Objekt wiederverwendet wird.

Wird diese Eigenschaft auf "true" gesetzt, werden die zwischengespeicherten Einträge bei einer formularbasierten Abmeldung aus dem Authentifizierungscache und dem dynamischen Cache entfernt.
Die Standardeinstellung ist "true".
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
Diese angepasste Eigenschaft gibt das Verhalten bei der Cookiegenerierung für LTPA-Token (Lightweight Third Party Authentication) für eingehende Webressourcenanforderungen an.
Ist diese Eigenschaft auf true gesetzt, generiert und definiert der Anwendungsserver ein LTPAToken-Cookie für alle erfolgreich authentifizierten Ressourcenanforderungen, unabhängig davon, ob die Anforderung sich auf geschützte oder ungeschützte Webressourcen bezieht. Dieses Verhalten unterscheidet sich von dem in WebSphere Application Server Version 6.1 und kann dazu führen, dass manche Anwendungen, die für Version 6.1 entwickelt wurden, in späteren Versionen nicht funktionieren.
Setzen Sie diese Eigenschaft auf false, wenn Sie ein LTPAToken-Cookie nur für geschützte Webressourcen generieren möchten. Dieses Verhalten ist mit WebSphere Application Server Version 6.1 kompatibel.
Der Standardwert ist true.
com.ibm.websphere.security.webAlwaysLogin
Diese Eigenschaft gibt an, ob die Methode "login()" eine Ausnahme auslöst, wenn die Identität bereits authentifiziert wurde. Sie können dieses Verhalten überschreiben, indem Sie diese Eigenschaft auf true setzen.
Information | Wert |
---|---|
Standardeinstellung | false |
Typ | String |
com.ibm.websphere.ssl.include.ECCiphers
Diese angepasste Eigenschaft gibt an, ob WebSphere Application Server ECC-Cipher (Elliptical Curve Cryptography) in der Standard-Cipher-Suite enthält.
Wenn diese Eigenschaft nicht definiert ist oder auf false gesetzt ist, nimmt der Anwendungsserver standardmäßig keine ECC-Chiffrierwerte auf. Setzen Sie diese Eigenschaft auf true, um ECC-Cipher-Suites in die Liste der Standard-Cipher-Suites aufzunehmen. Wenn SP800-131a oder Suite B aktiviert ist, werden ECC-Chiffrierwerte standardmäßig aufgenommen.
Information | Wert |
---|---|
Standardeinstellung | true |
Typ | String |
com.ibm.websphere.ssl.retrieveLeafCert
Diese angepasste Eigenschaft veranlasst die Funktion "Vom Port abrufen", anstelle des Stammzertifikats ein nicht hierarchisches Zertifikat abzurufen.
Die Funktion "Vom Port abrufen" soll anstelle des Stammzertifikats ein nicht hierarchisches Zertifikat abzurufen. Damit das Stammzertifikat abgerufen werden kann, muss die angepasste Eigenschaft "com.ibm.websphere.ssl.retrieveLeafCert" auf "true" gesetzt werden.
Wenn diese Eigenschaft nicht oder auf false gesetzt ist, ruft die Funktion "Vom Port abrufen" das Stammzertifikat ab. Setzen Sie diese Eigenschaft auf den Wert true, wenn die Funktion "Vom Port abrufen" anstelle des Stammzertifikats das nicht hierarchische Zertifikat abrufen soll.
Information | Wert |
---|---|
Standardeinstellung | false |
Typ | String |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
Diese angepasste Eigenschaft ermöglicht Ihnen, das Attribut "HTTPOnly" für SSO-Cookies (Single Sign-on) zu definieren.
Sie können die angepasste Eigenschaft "com.ibm.ws.security.addHttpOnlyAttributeToCookies" verwenden, um Cookies zu schützen, die sensible Werte enthalten. Wenn Sie diese angepasste Eigenschaft auf true setzen, legt der Anwendungsserver das Sicherheitsattribut "HTTPOnly" für SSO-Cookies fest, deren Werte vom Server gesetzt werden. Das Attribut "HTTPOnly" ermöglicht den Schutz sensibler Werte in Cookies.
Wenn diese Eigenschaft den Wert "true" hat, ist der Anwendungsserver außerdem in der Lage, eingehende Cookies mit HTTPOnly-Attributen ordnungsgemäß zu erkennen, zu akzeptieren und zu verarbeiten und Cross-Site-Scripting vollständig am Zugriff auf sensible Cookieinformationen zu hindern.
Ein häufig auftretendes Sicherheitsproblem, das sich auf Web-Server auswirkt, ist Cross-Site-Scripting. Cross-Site-Scripting ist eine serverseitige Schwachstelle, die häufig entsteht, wenn Benutzereingaben in HTML wiedergegeben werden. Cross-Site-Scripting-Attacken können sensible Informationen zu Benutzern der Website offenlegen. Die meisten modernen Web-Browser berücksichtigen das Attribut "HTTPOnly", um diese Attacke zu verhindern. Ein Cookie mit diesem Attribut wird als HTTPOnly-Cookie bezeichnet. Informationen in einem HTTPOnly-Cookie sind weniger anfällig für Attacken durch Hacker oder zerstörerische Websites. Weitere Informationen zum Attribut "HTTPOnly" finden Sie auf der Website des Open Web Application Security Project (OWASP).
- JSESSIONID-Cookies
- SSO-Cookies, die von Authentifikatoren oder Providern anderer Softwareanbieter erstellt werden.
- Client- oder Browsercookies, die das Attribut "HTTPOnly" noch nicht enthalten.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Authentifizierung" auf Web- und SIP-Sicherheit > Single Sign-on (SSO).
Information | Wert |
---|---|
Standardeinstellung | true |
Typ | Boolean |
com.ibm.ws.security.allowNonAdminToSecurityXML
Diese Eigenschaft gibt an, ob die Sicherheitsrollen ohne Administratorrechte die Datei security.xml ändern können. Wenn Sie diese Eigenschaft auf true setzen, wird Sicherheitsrollen ohne Administratorrechte die Berechtigung zum Ändern der Datei security.xml erteilt. In Version 6.1 und höher können Sicherheitsrollen ohne Administratorrechte die Datei security.xml standardmäßig ändern.
Information | Wert |
---|---|
Standardeinstellung | false |
Typ | Boolean |
com.ibm.ws.security.config.SupportORBConfig
Gibt an, ob der ORB (Object Request Broker) auf Eigenschaften überprüft wird. Diese Eigenschaft muss als Systemeigenschaft definiert werden. Sie setzen diese Eigenschaft auf true oder yes, wenn der ORB auf Eigenschaften überprüft werden soll. Bei jeder anderen Einstellung wird der ORB vollständig ignoriert.
Die Eigenschaft muss verwendet werden, wenn ein Plug-in-Anwendungsclient eine Verbindung zu WebSphere Application Server herstellt. Sie wird insbesondere dann verwendet, wenn einer HashMap (Hash-Zuordnung), die Sicherheitseigenschaften enthält, eine HashMap im neuen InitialContext(env)-Aufruf übergeben wird.
com.ibm.ws.security.createTokenSubjectForAsynchLogin
In diesem Release sind die tatsächlichen LTPA-Tokendaten nicht in einem Aufruf der Methode "WSCredential.getCredentialToken()" verfügbar, wenn diese Methode von einem kontextabhängigen Proxy oder einer asynchronen Bean aufgerufen wird. Für eine vorhandene Konfiguration können Sie die angepasste Eigenschaft com.ibm.ws.security.createTokenSubjectForAsynchLogin mit dem Wert true hinzufügen, damit das LTPA-Token an kontextabhängige Proxys und asynchrone Beans weitergeleitet wird. Diese Eigenschaft ermöglicht Portlets die erfolgreiche Weiterleitung von LTPA-Token. Bei dieser angepassten Eigenschaft muss die Groß-/Kleinschreibung beachtet werden. Sie müssen den Anwendungsserver nach dem Hinzufügen dieser angepassten Eigenschaft erneut starten.

Information | Wert |
---|---|
Standardeinstellung | Nicht zutreffend |
com.ibm.ws.security.defaultLoginConfig
Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für Anmeldungen verwendet wird, die nicht unter die Anmeldekonfigurationskategorien WEB_INBOUND, RMI_OUTBOUND oder RMI_INBOUND fallen.
Interne Authentifizierung und Protokolle, die keine speziellen JAAS-Plug-Punkte haben, rufen die Systemanmeldekonfiguration auf, die mit der Eigenschaft "com.ibm.ws.security.defaultLoginConfig" angegeben ist.
Information | Wert |
---|---|
Standardeinstellung | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
Verwenden Sie die angepasste Eigenschaft "com.ibm.ws.security.failSSODuringCushion", um angepasste JAAS-Subject-Daten für das LTPA-Token zu aktualisieren.
Wenn Sie diese angepasste Eigenschaft nicht auf true setzen, sind die angepassten JAAS-Subject-Daten möglicherweise nicht in den neuen JAAS-Subjects enthalten.
Die Standardeinstellung ist "true".
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
Verwenden Sie die angepasste Eigenschaft "com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA", um einen Fehler des Typs "ungültiger Bibliotheksname" zu beheben, wenn Sie versuchen, einen PKCS11-Keystore für einen Java-Client zu verwenden.
Verwenden Sie diese angepasste Eigenschaft auch, wenn Sie den IBMJCECCA-Provider verwenden, weil verteilte Betriebssysteme und z/OS-Betriebssysteme
andere Providertypen für die Hardwareverschlüsselung verwenden.
Die Datei ssl.client.props verweist auf eine Konfigurationsdatei, die wiederum auf den Bibliotheksnamen für die Verschlüsselungseinheit verweist. Der Code für den Java-Client sucht einen Keystore-Typ für den richtigen Providernamen. Wenn Sie diese angepasste Eigenschaft nicht definieren, wird die Keystore-Typkonstante für PKCS11 nicht richtig angegeben und verweist stattdessen auf den IBMPKCS11Impl-Provider. Der LTPA-Code (Lightweight Third Party Authentication) verwendet außerdem die Providerliste, um den JCE-Provider (Java Cryptography Extension) zu bestimmen. Dieser Ansatz verursacht ein Problem, wenn SSL-Beschleunigung (Secure Sockets Layer) versucht wird, da der IBMPKCS11Impl-Provider in der Datei java.security vor dem IBMJCE-Provider aufgelistet werden muss.
Diese angepasste Eigenschaft behebt beide Probleme, sodass SSL und andere Verschlüsselungsmechanismen Hardwarebeschleunigung verwenden können.

Setzen Sie diese angepasste Eigenschaft auf true, wenn Sie einen PKCS11-Keystore für einen Java-Client verwenden möchten.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.ws.security.ltpa.useCRT
Verwenden Sie diese Eigenschaft, um die CPU-Auslastung während der sign()-Operation zu verbessern, die durchgeführt wird, wenn ein neues LTPA2-(SSO)-Token erstellt wird. Wenn diese Eigenschaft auf true gesetzt wird, implementiert das Produkt den CRT-Algorithmus (Chinese Remainder Theorem) bei der Signatur des neuen Tokens. Diese Eigenschaft hat keine Auswirkung auf das alte LTPA-Token.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
Sie können die angepasste Eigenschaft "com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA" verwenden, um die RSA-Tokenvalidierung in Software zu erzwingen.
- Klicken Sie in der Administrationskonsole auf RSA-Token ab. und wählen Sie
- Wählen Sie Nur das aktive Anwendungsauthentifizierungsverfahren verwenden aus.
- Klicken Sie auf Angepasste Eigenschaften, und klicken Sie dann auf Neu, um die angepasste Eigenschaft "com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA" Ihren Sicherheitseinstellungen hinzuzufügen.
- Fügen Sie com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA im Feld Name ein und geben Sie true im Feld Wert ein.
Wenn diese Eigenschaft auf "true" gesetzt ist, wird der standardmäßig verwendete JCE-Softwareprovider und nicht IBMJCECCA für die Sicherheitsvalidierung verwendet.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.ws.security.ssoInteropModeEnabled
Diese Eigenschaft bestimmt, ob LtpaToken2- und LtpaToken-Cookies in den Antworten auf eine Webanforderung (interoperabel) gesendet werden.
Wenn diese Eigenschaft den Wert "false" hat, sendet der Anwendungsserver nur das neue LtpaToken2-Cookie, das stärker, aber mit einigen anderen Produkten und WAS-Releases vor Version 5.1.1 nicht kompatibel ist. In den meisten Fällen wird das alte LtpaToken-Cookie nicht benötigt, und Sie können diese Eigenschaft auf false setzen.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.ws.security.unprotectedUserRegistryMethods
Gibt die Methodennamen in der Schnittstelle "UserRegistry" an, wie z. B. getRealm, getUsers und isValidUser, die nicht vor Fernzugriffen geschützt werden sollen. Wenn Sie mehrere Methodennamen angeben, trennen Sie die Namen durch Leerzeichen, Kommas, Semikolons oder einen Trennbalken. Eine vollständige Liste gültiger Methodennamen finden Sie in der Dokumentation zur Implementierung der Schnittstelle "UserRegistry".
Wenn Sie * als Wert für diese Eigenschaft angeben, ist der Fernzugriff auf alle Methoden möglich. Wenn Sie keinen Wert für diese Eigenschaft angeben, sind alle Methoden vor Fernzugriffen geschützt.
Wenn versucht wird, über Fernzugriff auf eine geschützte Methode der Schnittstelle "UserRegistry" zuzugreifen, empfängt der ferne Prozess eine Ausnahme des Typs CORBA NO_PERMISSION mit dem Nebencode 49421098.
Für diese Eigenschaft gibt es keine Standardeinstellung.
com.ibm.ws.security.web.saml.disableDecodeURL
Mit dieser Eigenschaft können Sie URL-Decodierung inaktivieren.
Wenn SAML-Web-SSO aktiviert ist und SAML TAI aufgerufen wurde, wird ein Cookie zum Speichern der ursprünglichen Anforderungs-URL gesetzt. Nach der Authentifizierung wird die urspüngliche URL decodiert, bevor sie als Umleitungs-URL gesendet wird. Wenn diese Eigenschaft auf true gesetzt ist, wird die ursprüngliche URL für die Umleitung verwendet, ohne dass die URL decodiert wird. Wenn Sie diese Eigenschaft über die Administrationskonsole setzen möchten, klicken Sie auf Sicherheit > Globale Sicherheit > Angepasste Eigenschaften. Klicken Sie auf Neu, um eine neue angepasste Eigenschaft und den zugehörigen Wert hinzuzufügen.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
Diese Eigenschaft bestimmt das Verhalten einer SSO-LtpaToken2-Anmeldung.
Wenn diese Eigenschaft den Wert true hat, das Token einen angepassten Cacheschlüssel enthält und das angepasste Subjekt nicht gefunden wird, wird das Token für eine direkte Anmeldung verwendet, weil die angepassten Informationen erneut erfasst werden müssen. Es wird eine Abfrage abgesetzt, und der Benutzer muss sich erneut anmelden. Wenn diese Eigenschaft den Wert false hat und das angepasste Subject nicht gefunden wird, wird das LtpaToken2 für die Anmeldung und die Erfassung aller Registry-Attribute verwendet. Das Token ist jedoch unter Umständen nicht in der Lage, spezielle Attribute abzurufen, die von Downstream-Anwendungen erwartet werden.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.ws.security.webInboundLoginConfig
Diese Eigenschaft gibt die JAAS-Anmeldekonfiguration an, die für eingehende Webanforderungen verwendet wird.
Wenn Sie die Anmeldekonfiguration kennen, können Sie ein eigenes Anmeldemodul einsetzen, das spezielle Fälle für Webanmeldungen behandeln kann.
Information | Wert |
---|---|
Standardeinstellung | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
Diese Eigenschaft bestimmt, ob ein empfangenes LtpaToken2-Cookie lokal nach den weitergegebenen Attributen suchen soll, bevor es den ursprünglichen Anmeldeserver durchsucht, der im Token angegeben ist. Nachdem die weitergegebenen Attribute empfangen wurden, wird das Subject erneut generiert, und die angepassten Attribute werden beibehalten.
Sie können den Datenreplikationsservice (DRS) so konfigurieren, dass er die weitergegebenen Attribute an Front-End-Server sendet, sodass eine lokale Suchoperation im dynamischen Cache die weitergegebenen Attribute finden kann. Andernfalls wird eine MBean-Anforderung an den ursprünglichen Anmeldeserver gesendet, um diese Attribute abzurufen.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
Diese Eigenschaft gibt an, ob Benutzer nach Ablauf des Zeitgebers für HTTP-Sitzungen abgemeldet werden.
Information | Wert |
---|---|
Standardeinstellung | false |
Erforderlich | false |
Datentyp | Boolean |
com.ibm.ws.security.WSSecureMapInitAtStartup
Diese Eigenschaft legt fest, dass der Sicherheitscache (WSSecureMap) als Teil des dynamischen Cache für die Verwendung bei der Weitergabe von Sicherheitsattributen initialisiert wird.
Information | Wert |
---|---|
Standardeinstellung | true |
com.ibm.ws.security.WSSecureMapSize
Diese Eigenschaft legt die Größe des Sicherheitscache (WSSecureMap) fest.
Information | Wert |
---|---|
Standardeinstellung | 100 |
![[z/OS]](../images/ngzos.gif)
com.ibm.ws.security.zOS.useSAFidForTransaction
Diese Eigenschaft wird verwendet, um einem Server beim Aufruf von Transaktionsmethoden (z. B. commit() und prepare()), die die Serveridentität benötigen, die Verwendung der Benutzeridentität für die gestartete z/OS-Task als Serveridentität zu ermöglichen. Dieses Verhalten gilt unabhängig von der Einstellung für die Serveridentität dieses Servers.
Ein Server kann beispielsweise so konfiguriert sein, dass er die automatisch generierte Serveridentität verwendet, die nicht die tatsächliche Identität ist, die in einem Benutzerrepository gespeichert ist. Außerdem muss dieser Server mit CICS 3.2 kommunizieren, und CICS 3.2 erfordert die Verwendung von SAF-Identitäten (System Authorization Facility). Wenn com.ibm.ws.security.zOS.useSAFidForTransaction auf true gesetzt ist, verwendet der Server für die Kommunikation mit CICS eine SAF-Identität und nicht die automatisch generierte Identität.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.wsspi.security.cred.refreshGroups
Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services, Concurrency Utilities for Java EE oder asynchrone Beans gespeichert wurde.
Wenn Sie diese Eigenschaft auf true setzen, wird auf die Benutzerregistry zugegriffen, um die Gruppen abzurufen, die dem Benutzer zugeordnet sind. Wenn der Benutzer immer noch in der Registry vorhanden ist, werden die Gruppen aus der Benutzerregistry anstelle der Gruppen verwendet, die im Sicherheitskontext serialisiert wurden. Wenn der Benutzer nicht in der Benutzerregistry gefunden wird und die Eigenschaft "verifyUser" auf false gesetzt ist, werden die Gruppen aus dem Sicherheitskontext verwendet.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.wsspi.security.cred.verifyUser
Diese Eigenschaft wirkt sich auf das Verhalten bei der Entserialisierung eines Sicherheitskontextes aus, der zuvor im Rahmen der asynchronen Sicherheitsverarbeitung für Web-Services oder asynchrone Beans gespeichert wurde.
Wenn Sie diese Eigenschaft auf true setzen, wird auf die Benutzerregistry zugegriffen, um sicherzustellen, dass der Benutzer aus dem Sicherheitskontext noch vorhanden ist. Ist der Benutzer nicht vorhanden, wird eine Ausnahme des Typs "WSLoginFailedException" ausgelöst.
Information | Wert |
---|---|
Standardeinstellung | false |
com.ibm.wsspi.security.ltpa.tokenFactory
Diese Eigenschaft gibt die LTPA-Token-Factorys (Lightweight Third Party Authentication) an, die für die Validierung der LTPA-Token verwendet werden können.
Die Validierung wird in der Reihenfolge durchgeführt, in der die Token-Factorys angegeben sind, weil LTPA-Token keine Objektkennungen (OID, Object Identifier) haben, die den Tokentyp angeben. Der Anwendungsserver validiert die Token nacheinander mit den Token-Factorys, bis ein positives Ergebnis erzielt wird. Die Reihenfolge, die für diese Eigenschaft festgelegt ist, ist wahrscheinlich die Reihenfolge, in der die Token empfangen wurden. Wenn Sie mehrere Token-Factorys angeben, müssen Sie sie durch ein Pipezeichen (|) ohne Leerzeichen davor und danach angeben.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
Diese Eigenschaft gibt die Implementierung an, die für ein Authentifizierungstoken im Framework für Attributweitergabe verwendet wird. Die Eigenschaft ist eine alte LTPA-Tokenimplementierung, die als Authentifizierungstoken verwendet werden kann.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
Diese Eigenschaft gibt die Implementierung an, die für ein Berechtigungstoken verwendet wird. Diese Token-Factory verschlüsselt die Berechtigungsdaten.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
Diese Eigenschaft gibt die Implementierung an, die für ein Weitergabetoken verwendet wird. Diese Token-Factory verschlüsselt die Daten für das Weitergabetoken.
Das Weitergabetoken befindet sich im Ausführungsthread und ist keinem speziellen Benutzer-Subject zugeordnet. Das Token folgt dem Aufruf downstream, wohin der Prozess auch führt.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
Diese Eigenschaft gibt die Implementierung an, die für ein SSO-Token (Single Sign-On) verwendet wird. Diese Implementierung ist das Cookie, das unabhängig vom Status der Eigenschaft "com.ibm.ws.security.ssoInteropModeEnabled" gesetzt wird, wenn die Weitergabe aktiviert ist.
Standardmäßig ist diese Implementierung das LtpaToken2-Cookie.
Information | Wert |
---|---|
Standardeinstellung | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
Geben Sie mit dieser Eigenschaft an, wie das System die Authentifizierung für eine Anforderung nach dem Ablauf des Kerberos-Tokens für die Anforderung verarbeiten soll.
Wenn Sie diese Eigenschaft auf true setzen und ein Kerberos-Token nach Ablauf nicht aktualisiert werden kann, schlägt die Authentifizierung der Anforderung fehl.
Wenn Sie diese Eigenschaft auf false setzen, schlägt die Authentifizierung der Anforderung auch nach Ablauf des Tokens nicht fehl.
Der Standardwert für diese Eigenschaft ist "false".
security.allowCustomHTTPMethods
Verwenden Sie diese angepasste Eigenschaft, um angepasste HTTP-Methoden zuzulassen. Die angepassten HTTP-Methoden sind andere Methoden als die Standard-HTTP-Methoden DELETE, GET, HEAD, OPTIONS, POST, PUT und TRACE.
Wenn Sie diese Eigenschaft auf false setzen (Standardeinstellung) und keine Kombination eines URI-Musters und einer angepassten HTTP-Methode im Element "security-constraint" aufgelistet ist, wird nur eine Integritätsbedingung für die Sicherheit unter Verwendung eines URI-Musters gesucht. Wird eine Übereinstimmung gefunden, wird der Wert des Elements <auth-constraints> durchgesetzt. Dieses Verhalten minimiert potenzielle Sicherheitsrisiken.
Wenn Sie diese Eigenschaft auf true setzen, werden die angepassten HTTP-Methoden als Standard-HTTP-Methoden behandelt. Eine Berechtigungsentscheidung wird sowohl vom URI-Muster als auch von der HTTP-Methode getroffen. Um einen Ziel-URI angemessen schützen zu können, müssen Sie sicherstellen, dass die richtigen HTTP-Methoden im Element <web-resource-collection> aufgelistet sind.
security.enablePluggableAuthentication
Diese Eigenschaft wird nicht mehr verwendet. Verwenden Sie stattdessen die Anmeldekonfiguration WEB_INBOUND.
- Klicken Sie auf .
- Klicken Sie unter "Java™ Authentication and Authorization Service" auf Systemanmeldungen.
Information | Wert |
---|---|
Standardeinstellung | true |
security.useDefaultPolicyWhenJ2SDisabled
Die Methode "NullDynamicPolicy.getPermissions" stellt eine Option für die Delegierung einer Standardrichtlinienklasse bereit, mit der ein Permissions-Objekt erstellt werden kann, wenn diese Eigenschaft auf true gesetzt ist. Wenn diese Eigenschaft auf false gesetzt ist, wird ein leeres Permissions-Objekt zurückgegeben.
Information | Wert |
---|---|
Standardeinstellung | false |
security.useAllSSLClientAuthKeytypes
Mit dieser Eigenschaft kann sichergestellt werden, dass bei der SSL-Clientauthentifizierung während eines SSL-Handshake alle vom Zielserver bereitgestellten SSL-Schlüsseltypen bei der Auswahl eines Clientzertifikats verwendet werden.
Bei der SSL-Clientauthentifizierung verwendet WebSphere Application Server nicht alle SSL-Schlüsseltypen, die in der vom Zielserver gesendeten Zertifikatsanforderung angegeben sind, sondern nur den bevorzugten SSL-Schlüsseltyp. Wenn der SSL-Schlüsseltyp nicht mit dem bevorzugten SSL-Schlüsseltyp übereinstimmt, sendet WebSphere kein Clientzertifikat, obwohl im Keystore ein korrektes Clientzertifikat enthalten ist.
WAS_customUserMappingImpl
Diese Sicherheitseigenschaft wird als Plug-in für die angepasste Klasse "UserMapping" verwendet. Wenn dieser Wert auf der höchsten Sicherheitsstufe mit dem Klassennamen der angepassten Benutzerzuordnung festgelegt wird, wird er zum Anpassen der Benutzerzuordnung für das Zertifikat und/oder der Benutzerzuordnung für die Identitätszusicherung verwendet. Es ist notwendig, die JAR-Datei, die die angepasste Klasse enthält, im Verzeichnis WAS_HOME/lib/ext abzulegen.