Propiedades personalizadas de seguridad
Utilice esta página para comprender las propiedades personalizadas psecurity.allowCustomHTTPMethodsredefined que están relacionadas con la seguridad.
Para ver esta página de la consola administrativa, pulse Nueva para añadir una nueva propiedad personalizada y su valor asociado.
. A continuación, pulseLas propiedades personalizadas en este tema se establecen en la consola de administración a través de la vía de acceso indicada anteriormente a menos que se indique lo contrario en la descripción.
com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.CSI.disablePropagationCallerList
com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
com.ibm.CSI.rmiInboundMappingConfig
com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
com.ibm.security.SAF.forceDelegation
com.ibm.security.SAF.overrideStartupAPPL
com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.auth.setDRSBootstrap
com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.delegateStarStarRoleAuthorization
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.canonical.lookupcom.ibm.websphere.security.skip.canonical.lookup
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.useDefaultPolicyWhenJ2SDisabled
- security.useAllSSLClientAuthKeytypes
- WAS_customUserMappingImpl
![[z/OS]](../images/ngzos.gif)
com.ibm.audit.field.length.limit
Esta propiedad sólo se aplica a la implementación SMF Emitter que proporciona IBM para la característica Auditoría de seguridad. Puede utilizar esta propiedad para especificar, en bytes, la longitud a la que se truncan los datos de auditoría de longitud variable. De forma predeterminada, si no se especifica esta propiedad personalizada, y se supera el límite de umbral de 20480, los campos de datos de auditoría de longitud variable se truncan en los 128 bytes.

Los datos de reubicación de SMF tienen un límite de tamaño de umbral de 20480 bytes. Si los datos de auditoría superan este límite, los datos de auditoría se truncan para evitar la pérdida de registros de auditoría.
Información | Valor |
---|---|
Valor predeterminado | 20480 |
Tipo | Un entero entre 1 y 512 |
com.ibm.audit.report.granularity
Utilice esta propiedad para especificar cuántos datos de auditoría se registran para cada tipo de suceso. Si sólo necesita registrar información básica acerca de un suceso, como quién hizo qué acción y en qué recursos y cuándo, establecer esta propiedad en alto puede mejorar el rendimiento del servidor de aplicaciones.
Puede especificar los valores de high, medium o low para esta propiedad. El valor predeterminado es low.
Tipo de suceso | Valor high | Valor medium | Valor low |
---|---|---|---|
SessionContext | sessionId | sessionId, remoteHost | sessionId, remoteHost, remoteAddr, remotePort |
PropagationContext (sólo se informa si SAP está habilitado) | firstCaller (como parte del quién) | firstCaller, y si se habilita la modalidad detallada, callerList | firstCaller, y si está habilitada la modalidad detallada, callerList |
RegistryContext | no se registra nada | tipo de registro | tipo de registro |
ProcessContext | no se registra nada | reino | realm, y domain si la modalidad detallada está habilitada |
EventContext | creationTime | creationTime, globalInstanceId | creationTime, globalInstanceId, eventTrailId y lastTrailId si la modalidad detallada está habilitada |
DelegationContext | identityName | delegationType e identityName | delegationType, roleName e identityName |
AuthnContext | no se registra nada | Tipo authn | Tipo authn |
ProviderContext | no se registra nada | provider | provider y providerStatus |
AuthnMappingContext | mappedUserName | mappedUserName y mappedSecurityRealm | mappedUserName, mappedSecurityRealm y mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName, action, appUserName y resourceName | progName, action, appUserName, resourceName, registryUserName y accessDecision | progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked y rolesGranted |
PolicyContext | no se registra nada | policyName | policyName y policyType |
KeyContext | keyLabel | keyLabel y keyLocation | keyLabel, keyLocation y certificateLifetime |
MgmtContext | no se registra nada | mgmtType y mgmtCommand | mgmtType, mgmtCommand y targetInfoAttributes |
com.ibm.CSI.disablePropagationCallerList
Esta propiedad inhabilita la lista de interlocutores y no permite modificar la lista de interlocutores. Esta propiedad impide la creación de múltiples sesiones.

Información | Valor |
---|---|
Valor predeterminado | false |
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.localCommDataForNonLocalOSEnabled
Esta propiedad permite que los datos de comunicaciones locales se utilicen como material de autenticación de la capa de transporte CSIv2 cuando el registro de usuarios no es un registro de usuarios LocalOS.
Si esta propiedad se establece en true, los datos recuperados del transporte local de comunicaciones se corresponden con el ASID del cliente local que se conecta a un proceso de WebSphere Application Server. Un usuario que corresponde al ASID debe existir en el registro de usuarios. Cuando un proceso de WebSphere Application Server recibe un mensaje de establecimiento CSIv2 y se solicita una aserción de identidad, los datos recuperados del transporte de comunicación local se utilizan para validar que el cliente tiene permiso para confirmar el usuario especificado en la señal de identidad de la capa de atributos. Si el usuario que ha recibido las representaciones de ASID está en la lista de identidades de confianza en la página Autenticación de entrada de CSIv2 en la consola de administración, dicho ID puede confirmar la señal de identidad.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.CSI.propagateFirstCallerOnly
Esta propiedad limita la lista de interlocutores sólo al primer interlocutor, lo que significa que la lista de interlocutores no se puede modificar. Definir esta propiedad en true elimina la posibilidad de crear varias entradas de sesión.
Esta propiedad registra el primer interlocutor en la señal de propagación que permanece en la hebra cuando se habilita la propagación del atributo de seguridad. Si no se establece esta propiedad, se anotan todos los conmutadores del llamante, lo que afecta al rendimiento. Por lo general, sólo el primer llamador es de interés.

Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.CSI.rmiInboundLoginConfig
Esta propiedad especifica una configuración de inicio de sesión JAAS (Java Authentication and Authorization Service) que se utiliza para las solicitudes RMI (Remote Method Invocation) que se reciben de entrada.
Si conoce la configuración de inicio de sesión, puede conectar un módulo de inicio de sesión personalizado que puede manejar casos específicos para los inicios de sesión de RMI.
Información | Valor |
---|---|
Valor predeterminado | system.RMI_INBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingConfig
Esta propiedad define la configuración de inicio de sesión JAAS del sistema que se utiliza para realizar la correlación de principales específica de la aplicación.
Información | Valor |
---|---|
Valor predeterminado | Ninguno |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingEnabled
Esta propiedad, si está establecida en true, habilita la capacidad de correlación de principales específicos de la aplicación.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.CSI.rmiOutboundLoginConfig
Esta propiedad especifica la configuración de inicio de sesión JAAS que se utiliza para peticiones RMI que se envían de salida.
Fundamentalmente, esta propiedad prepara los atributos propagados en el Asunto para enviarlos al servidor de destino. Sin embargo, puede conectar un módulo de inicio de sesión personalizado para que realice la correlación de salida.
Información | Valor |
---|---|
Valor predeterminado | system.RMI_OUTBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiOutboundMappingEnabled
Esta propiedad, si está establecida en true, permite que se restaure el asunto del interlocutor original en el objeto WSSubjectWrapper.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.CSI.supportedTargetRealms
Esta propiedad permite enviar las credenciales que están autenticadas en el reino actual a cualquier reino especificado en el campo Reinos destino de confianza. El campo Reinos destino de confianza está disponible en el panel de autenticación de salida CSIv2. Esta propiedad permite a esos reinos llevar a cabo la correlación de salida de los datos del reino actual.
- Pulse .
- En Seguridad RMI/IIOP, pulse Autenticación de salida CSIv2.
com.ibm.security.multiDomain.setNamingReadUnprotected
Esta propiedad se puede establecer en true si desea que el rol CosNamingRead proteja todas las operaciones de lectura de denominación. Establecer true como valor de esta propiedad, equivale a asignar al rol CosNamingRead el sujeto especial Everyone. Cuando está propiedad está definida, se ignoran las asignaciones realizadas al rol CosNamingRead.
Información | Valor |
---|---|
Valor predeterminado | ninguno |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.forceDelegation
Determina si la delegación SAF (System Authorization Facility) se puede utilizar independientemente de la autorización SAF. Cuando esta propiedad se establece en true, la delegación SAF se puede utilizar siempre que el registro de usuarios sea un registro de usuarios de repositorio federado y esté configurado con un puente de registro de usuarios de SAF.
No hay ningún valor predeterminado para esta propiedad.
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.overrideStartupAPPL
Esta propiedad se puede utilizar para alterar temporalmente el valor del perfil APPL, especialmente para las dos llamadas RACROUTE que se realizan durante el inicio del servidor. Para estas llamadas, el valor de APPL no se utiliza para el proceso de comprobación de autorización, pero está disponible para la rutina de salida de instalación. Esta propiedad no controla el valor del perfil APPL utilizado para la comprobación de autorización, sino que se establece en CBS390 o el valor de prefijo de perfil SAF.
Información | Valor |
---|---|
Valor predeterminado | ninguno |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.useAPPLpr
Esta propiedad personalizada especifica si debe utilizarse el perfil APPL para restringir el acceso a WebSphere Application Server.
Si ha definido un prefijo de perfil SAF, el perfil APPL utilizado es el prefijo del perfil. Si no, el nombre del perfil APPL es CBS390. Todas las identidades de z/OS que utilizan servicios de WebSphere deben tener permiso READ para el perfil APPL. Esto incluye todas las identidades de WebSphere Application Server, las identidades sin autenticar de WebSphere Application Server, las identidades administrativas deWebSphere Application Server, los ID de usuario basados en correlaciones de rol a rol y todas las identidades de usuario para los usuarios del sistema. Si la clase APPL no está activa en el sistema z/OS, esta propiedad no tendrá ningún efecto, independientemente de su valor.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.security.useFIPS
Especifica que se están utilizando algoritmos FIPS (Federal Information Processing Standard). El servidor de aplicaciones utiliza el proveedor criptográfico IBMJCEFIPS en lugar del proveedor criptográfico IBMJCE.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
Esta propiedad de seguridad se utiliza para personalizar la dirección de remitente del correo electrónico de notificación de caducidad de certificado.
El valor que asigna a esta propiedad debe ser una dirección de Internet, como por ejemplo Notification@abc-company.com. Si no se establece esta propiedad, el servidor de aplicaciones utiliza como correo electrónico la fromAddress: WebSphereNotification@ibm.com.
Información | Valor |
---|---|
Valor predeterminado | Ninguno |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
Esta propiedad de seguridad se utiliza para personalizar el juego de caracteres de codificación de texto para el correo electrónico de notificación de caducidad de certificado.
WebSphere Application Server envía los correos electrónicos de notificaciones de caducidad de certificados en inglés americano o en el conjunto de caracteres que tenga la máquina de forma predeterminada (si está especificado un entorno local que no sea inglés). Si desea un juego de caracteres de codificación de texto para el correo electrónico de notificación de caducidad de certificado, puede utilizar esta propiedad para personalizar el juego de caracteres de codificación de texto.
Información | Valor |
---|---|
Valor predeterminado | Ninguno |
com.ibm.websphere.lookupRegistryOnProcess
Esta propiedad se puede establecer cuando las búsquedas en el registro de reino se realicen mediante un MBean en un servidor remoto y el reino tenga seguridad local.
De forma predeterminada, las tareas del usuario listRegistryUsers y listRegistryGroups realizan búsquedas desde el proceso actual. En el caso de Network Deployment (ND), se trata del gestor de despliegue.
Al tratar con un registro de usuarios del sistema operativo local, la búsqueda debe producirse en el servidor real en el que reside el registro. En un entorno de ND, el servidor podría ser una máquina remota. Para realizar una búsqueda en el proceso del servidor donde reside el registro, establezca la propiedad personalizada com.ibm.websphere.lookupRegistryOnProcess en true.
Si com.ibm.websphere.lookupRegistryOnProcess no se ha establecido, o se ha establecido en false, la búsqueda se realiza en el proceso actual. La propiedad personalizada se puede establecer utilizando la tarea setAdminActiveSecuritySettings para seguridad global o setAppActiveSecuritySettings para un dominio de seguridad.
com.ibm.websphere.security.allow.committed.response
Esta propiedad personalizada especifica si se permiten respuestas HTTP confirmadas.
Cuando el servidor de aplicaciones detecta una respuesta HTTP confirmada, muestra un mensaje de error 403 genérico. Establezca esta propiedad en true para permitir respuestas HTTP confirmadas y suprimir mensajes de error 403. En las configuraciones que utilizan módulos de inicio de sesión personalizados, el módulo puede confirmar una respuesta HTTP para visualizar un mensaje de error personalizado.
El valor predeterminado es false.
com.ibm.websphere.security.allowAnyLogoutExitPageHost
Cuando se utiliza el inicio y fin de sesión de formulario de aplicación, se puede proporcionar el URL de una página de fin de sesión personalizada. De forma predeterminada, el URL debe apuntar al host al que se realiza la solicitud o a su dominio. Si no se hace esto, se muestra una página de fin de sesión genérica en vez de una página de fin de sesión personalizada. Si desea poder apuntar a cualquier host, tendrá que establecer esta propiedad en el archivo security.xml en un valor de true. Si define esta propiedad en true, podría abrir los sistemas a ataques de redirección de URL.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.alwaysRestoreOriginalURL
Utilice esta propiedad para indicar si una cookie con el valor WASReqURL se reconoce cuando se utiliza el procesador de inicio de sesión de formulario personalizado.
Cuando esta propiedad se establece en true, el valor de WASReqURL tiene prioridad sobre el URL actual y la cookie WASReqURL se elimina de las solicitudes subsiguientes.
Si esta propiedad se establece en false, el valor del URL actual tiene prioridad, y la cookie WASReqURL no se elimina de las solicitudes subsiguientes.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.auth.setDRSBootstrap
Especifica si el servicio de duplicación de datos (DRS) habilita la función DRSbootstrap.
En entornos de gran volumen, es posible que la réplica de la memoria caché dinámica aumente la cantidad de tiempo que tarda un servidor en iniciarse. Si experimenta un arranque lento del servidor debido a la duplicación de datos, añada esta propiedad a los valores de seguridad del servidor y establézcala en false. Cuando esta propiedad está establecida en false, el servicio de duplicación de datos inhabilita la función DRSbootstrap.
True es el valor predeterminado para esta propiedad.
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.cms.use.default
Especifica si se debe cambiar la versión predeterminada de CMSProvider de v4 a v3 en z/OS para los almacenes de claves CMS nuevos generados utilizando WebSphere Application Server.
Para CMSProvider versión 2.50, la versión de especificación predeterminada es v4. Los almacenes de claves nuevos que se generan estarán en el nivel de v4 y z/OS no puede utilizar actualmente almacenes de claves CMS de la v4. Para estos almacenes de claves CMS generados de la versión 4, especifique com.ibm.websphere.security.cms.use.default=true, lo cual cambia la versión predeterminada de CMSProvider de v4 a v3 en z/OS. Si los almacenes de claves se han generado antes de estas versiones Java, ya están en la v3 y funcionarán correctamente con CMSProvider 2.50 en z/OS.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.config.inherit.trustedRealms
Esta propiedad se utiliza para heredar los valores del dominio de confianza global de la configuración de seguridad global en el dominio.
Los dominios de entrada y salida de confianza de configuración de seguridad no se heredan de forma predeterminada. Sin embargo, hay casos en que la configuración puede desear utilizar (heredar) los valores de la configuración de seguridad global del dominio.
El valor de esta propiedad puede ser true o false.
com.ibm.websphere.security.console.noSSLTreePortEndpoints
Esta propiedad se utiliza para mejorar el tiempo de respuesta de las configuraciones de topología grandes.
Cuando esta propiedad se establece en true el estado de los puntos finales del puerto SSL no se visualiza en la página Gestionar configuraciones de seguridad de la consola de administración. A veces, visualizar el estado de los puntos finales del puerto SSL hace que la consola administrativa aparente que ya no funciona debido a un tiempo de respuesta más largo de lo esperado.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.continueAfterTAIError
Esta propiedad le dirige automáticamente a una página de inicio de sesión se un TAI personalizado devuelve un error.
No tiene que escribir un URL en el navegador para volver a iniciar sesión. La propiedad debe establecerse en true para habilitar este comportamiento.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.customLTPACookieName
Esta propiedad se utiliza para personalizar el nombre de las cookies que se utilizan para las señales LTPA (Lightweight Third Party Authentication).
WebSphere Application Server Version 8.0 permite personalizar los nombres de cookies utilizados en las señales LTPA y LTPA2. Los nombres de cookies personalizados le permiten separar lógicamente la autenticación entre dominios de inicio de sesión único (SSO) y habilitar la autenticación personalizada para un entorno concreto.
Para aprovechar esta funcionalidad, debe establecerse una propiedad personalizada. Para las señales LTPA, se puede establecer la propiedad personalizada com.ibm.websphere.security.customLTPACookieName en cualquier serie válida (no se permiten los caracteres especiales ni los espacios) para la cookie de señal LTPA, y com.ibm.websphere.security.customSSOCookieName para la señal cookie LTPA2 (SSO). Cada propiedad es sensible a las mayúsculas y minúsculas.
El valor de esta propiedad es una serie válida.
- Esta propiedad, como ocurre con la mayoría de las propiedades personalizadas, se puede establecer en el nivel de dominio de seguridad. De este modo, se puede forzar una conexión separada entre un inicio de sesión de la consola administrativa y un inicio de sesión de la aplicación.
- WebSphere Application Server Versión 8.0 acepta y confía en los nombres de cookie LtpaToken o LtpaToken2 originales predeterminados. Esto permite la compatibilidad con productos como Lotus Domino y WebSphere Portal ya que ambos utilizan el nombre de cookie predeterminado.
- Establecer un nombre de cookie personalizado puede provocar una anomalía de autenticación. Por ejemplo, una conexión a un servidor que tenga establecida una propiedad de cookie personalizada, envía ésta al explorador. Una conexión posterior a un servidor que utiliza el nombre de cookie predeterminado o un nombre de cookie distinto, no puede autenticar la solicitud mediante una validación de la cookie de entrada.
- Esta propiedad no funciona correctamente en un entorno de célula mixta. Por ejemplo, un gestor de despliegue de WebSphere Application Server Versión 8.0 puede crear cookies personalizadas. No obstante, un nodo o servidor de WebSphere Application Server Versión 7.0 existente de esta misma célula no comprende qué ha de hacer con esta cookie y posteriormente la rechaza.
- Si utiliza un producto que interactúa con WebSphere Application Server que genera señales LTPA, como Lotus Domino o WebSphere Portal, tenga en cuenta que es posible que estos productos no puedan manejar nombres de cookie LTPA personalizados. Consulte la documentación del producto relativa al manejo de los nombres personalizados de cookie LTPA.
com.ibm.websphere.security.customSSOCookieName
Esta propiedad se utiliza para personalizar el nombre de las cookies que se utilizan para las señales LTPA2 (Lightweight Third Party Authentication Versión 2).
WebSphere Application Server Version 8.0 permite personalizar los nombres de cookies utilizados en las señales LTPA y LTPA2. Los nombres de cookies personalizados le permiten separar lógicamente la autenticación entre dominios de inicio de sesión único (SSO) y habilitar la autenticación personalizada para un entorno concreto.
Para aprovechar esta funcionalidad, debe establecerse una propiedad personalizada. Para las señales LTPA, se puede establecer la propiedad personalizada com.ibm.websphere.security.customLTPACookieName en cualquier serie válida (no se permiten los caracteres especiales ni los espacios) para la cookie de señal LTPA, y com.ibm.websphere.security.customSSOCookieName para la señal cookie LTPA2 (SSO). Cada propiedad es sensible a las mayúsculas y minúsculas.
El valor de esta propiedad es una serie válida.
- Esta propiedad, como ocurre con la mayoría de las propiedades personalizadas, se puede establecer en el nivel de dominio de seguridad. De este modo, se puede forzar una conexión separada entre un inicio de sesión de la consola administrativa y un inicio de sesión de la aplicación.
- WebSphere Application Server Versión 8.0 acepta y confía en los nombres de cookie LtpaToken o LtpaToken2 originales predeterminados. Esto permite la compatibilidad con productos como Lotus Domino y WebSphere Portal ya que ambos utilizan el nombre de cookie predeterminado.
- Establecer un nombre de cookie personalizado puede provocar una anomalía de autenticación. Por ejemplo, una conexión a un servidor que tenga establecida una propiedad de cookie personalizada, envía ésta al explorador. Una conexión posterior a un servidor que utiliza el nombre de cookie predeterminado o un nombre de cookie distinto, no puede autenticar la solicitud mediante una validación de la cookie de entrada.
- Esta propiedad no funciona correctamente en un entorno de célula mixta. Por ejemplo, un gestor de despliegue de WebSphere Application Server Versión 8.0 puede crear cookies personalizadas. No obstante, un nodo o servidor de WebSphere Application Server Versión 7.0 existente de esta misma célula no comprende qué ha de hacer con esta cookie y posteriormente la rechaza.
- Si utiliza un producto que interactúa con WebSphere Application Server que genera señales LTPA, como Lotus Domino o WebSphere Portal, tenga en cuenta que es posible que estos productos no puedan manejar nombres de cookie LTPA personalizados. Consulte la documentación del producto relativa al manejo de los nombres personalizados de cookie LTPA.
com.ibm.websphere.security.delegateStarStarRoleAuthorization
- true: el código de seguridad otorga acceso sin interactuar con la tabla de autorizaciones conectable.
- false: el código de seguridad delega la decisión a la tabla de autorizaciones conectable. Éste es el valor predeterminado.
com.ibm.websphere.security.displayRealm
Esta propiedad especifica si la ventana de inicio de sesión de autenticación básica HTTP mostrará el nombre de reino que no está definido en el archivo web.xml de la aplicación.
- Si la propiedad se establece en false, el nombre de visualización de reino de WebSphere es Default Realm (reino predeterminado).
- Si esta propiedad se establece en true, el nombre de visualización del reino de WebSphere es el nombre de reino del registro de usuarios en el caso del mecanismo de autenticación LTPA o el nombre de dominio Kerberos en el caso del mecanismo de autenticación Kerberos.
Información | Valor |
---|---|
Valor predeterminado | false |
Tipo | serie |
com.ibm.websphere.security.disableGetTokenFromMBean
Utilice esta propiedad para inhabilitar la llamada SOAP de salida para recuperar el sujeto del servidor de origen cuando está habilitado el inicio de sesión único.
Normalmente, cuando Inicio de sesión único está habilitado y es necesario autenticar una solicitud de entrada, el servidor receptor intenta recuperar la autenticación del servidor de origen. Nunca se agota el tiempo de conexión durante este proceso de devolución de llamada entre los servidores remitente y receptor.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.enableAuditForIsCallerInRole
Utilice esta propiedad para habilitar la auditoría de la llamada de método isCallerInRole.
Si establece esta propiedad en false, se inhabilita la auditoría para la invocación de isCallerInRole. En z/OS, los registros SMF no se emiten para la invocación.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
Utilice esta propiedad cuando el usuario proporcionado por un interceptor de asociación de confianza no se encuentre en el registro de usuarios de forma que se visualice la página de inicio de sesión en lugar de una página de errores.
Cuando el usuario proporcionado por un interceptor de asociación de confianza no se encuentre en el registro de usuarios, WebSphere Application Server mostrará una página de errores. Para ajustar este comportamiento, establezca esta propiedad en true. A continuación, se visualiza la página de inicio de sesión. El valor predeterminado de esta propiedad es false y el comportamiento normal de WebSphere Application Server es mostrar una página de errores.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.initializeRSAProperties
Si se observa una elevada utilización de CPU en el entorno del gestor de trabajos o el agente administrativo, es posible que los nodos deban distribuirse en varios servidores para reducir la carga de CPU en el servidor.
Si esta propiedad se establece en false, WebSphere no realizará la reinicialización de las propiedades SSL relacionadas con la señal RSA. Antes de configurar esta propiedad en false, asegúrese de que no se utilice el gestor de trabajos o el agente administrativo en su entorno. Estas características requieren señales RSA y esta propiedad no debe utilizarse.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.websphere.security.InvokeTAIbeforeSSO
El orden de invocación predeterminado de TAI (interceptores de asociación de confianza) en relación con la autenticación de usuario SSO (inicio de sesión único) se puede cambiar utilizando esta propiedad. El orden predeterminado es invocar los interceptores de asociaciones de confianza después del SSO. Esta propiedad se utiliza para cambiar el orden predeterminado de invocación de TAI con SSO. El valor de la propiedad es una lista separada por comas de nombres de clase de TAI que deben invocarse antes del SSO.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
Tipo | serie |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
De forma predeterminada, cuando se crean las entradas de datos de autenticación JAAS en el nivel de seguridad del dominio, el nombre del alias para la entrada tendrá el formato aliasNombre. Puede habilitar la adición del nombre de nodo al nombre de alias para crear el nombre del alias, con el formato nombre_nodo/nombre_alias, para la entrada, definiendo la siguiente propiedad en el nivel de seguridad de dominio.
Puede establecer com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true en el nivel de seguridad global, para habilitar la adición del nombre de nodo al nombre de alias de las entradas de datos de autenticación JAAS para todos los dominios de seguridad.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
De forma predeterminada, cuando se crean las entradas de datos de autenticación de JAAS en el nivel de seguridad global, el nombre del alias para la entrada tiene el formato nombre_nodo/nombre_alias. Puede inhabilitar la adición del nombre de nodo al nombre de alias para la entrada estableciendo un valor true para esta propiedad en el nivel de seguridad global.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.krb.canonical_host
Esta propiedad personalizada especifica si el servidor de aplicaciones utiliza la forma canónica del nombre de host URL/HTTP al autenticar un cliente. Esta propiedad se puede utilizar para el TAI de SPNEGO y la web de SPNEGO.
CWSPN0011E: Se ha encontrado una señal SPNEGO no válido al autenticar una
HttpServletRequest
Si establece esta propiedad personalizada en true, puede evitar este mensaje de error, y permitir al servidor de aplicaciones que se autentique mediante el formato canónico de URL/nombre de host HTTP.Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.websphere.security.ldap.logicRealm
Esta propiedad personalizada permite cambiar el nombre del reino que se coloca en la señal.
Esta propiedad personalizada permite configurar cada célula de modo que tenga su propio host LDAP para la interoperatividad y la compatibilidad con versiones anteriores. Además, proporciona flexibilidad para añadir o eliminar el host LDAP dinámicamente. Si está migrando una instalación anterior, este nombre de reino modificado no estará vigente hasta que la seguridad administrativa se vuelva a habilitar. Para que sea compatible con un release anterior que no soporta el reino lógico, el nombre debe ser el mismo nombre utilizado por la instalación anterior. Debe utilizar el nombre de host LDAP, incluidos dos puntos finales y el número de puerto.
Información | Valor |
---|---|
Tipo | Serie |
- Pulse Seguridad > Seguridad global.
- En Depósito de cuentas de usuario, expanda la lista Definiciones de reino disponibles y seleccione Registro LDAP autónomo y, a continuación, pulse Configurar.
- En Propiedades personalizadas, pulse Nuevo y, a continuación, especifique com.ibm.websphere.security.ldap.logicRealm en el campo Nombre y el nuevo nombre del reino que se coloca en la señal del campo Valor.
- Seleccione esta propiedad personalizada y, a continuación, pulse Aplicar o Aceptar.
com.ibm.websphere.security.ldapSSLConnectionTimeout
Utilice esta propiedad, cuando SSL esté habilitado en el servidor LDAP, para especificar, en milisegundos, la cantidad máxima de tiempo que espera la máquina virtual Java (JVM) a una conexión de socket antes de emitir un tiempo de espera.
Si uno o más servidores LDAP autónomos están fuera de línea cuando se inicia un proceso de servidor y LDAP-SSL está habilitado, podría haber un retardo de hasta tres minutos en el procedimiento de inicio, aunque especifique un valor para la propiedad personalizada com.sun.jndi.ldap.connect.timeout. Cuando se ha habilitado LDAP-SSL, se ignoran los valores especificados para la propiedad com.sun.jndi.ldap.connect.timeout.
Cuando se especifica un valor para esta propiedad, la JVM intenta utilizar este valor de tiempo de espera de conexión al intentar completar una conexión de socket, en lugar de intentar establecer un contexto de directorio. Cuando no se especifica ningún valor para esta propiedad, la JVM intenta establecer un contexto de directorios.
No hay ningún valor predeterminado para esta propiedad.
com.ibm.websphere.security.logoutExitPageDomainList
Cuando está utilizando un inicio de sesión y un cierre de sesión de formulario de la aplicación, puede proporcionar un URL para una página de cierre de sesión personalizada. De forma predeterminada, el URL debe apuntar al host al que se realiza la solicitud o a su dominio. Si no se hace esto, se muestra una página de fin de sesión genérica en vez de una página de fin de sesión personalizada. Si debe apuntar a un host diferente, podrá llenar esta propiedad en el archivo security.xml con una lista de URL separados por una barra vertical (|) que están permitidos para la página de cierre de sesión.
Información | Valor |
---|---|
Valor predeterminado | ninguno |
com.ibm.websphere.security.performTAIForUnprotectedURI
Esta propiedad se utiliza para especificar el comportamiento de invocación de TAI cuando se selecciona Utilizar datos de autenticación disponibles cuando se acceda a un URI no protegido en la consola de administración.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.recoverContextWithNewKeys
Esta propiedad afecta al comportamiento cuando se deserializa un contexto de seguridad que se ha guardado previamente como parte del proceso de seguridad asíncrono para servicios web o beans asíncronos.
Cuando esta propiedad se establece en true, el contexto de seguridad se podrá deserializar incluso aunque se hayan cambiado las claves LTPA desde que se deserializó el contexto. Esta propiedad se debería establecer en true si falla la deserialización del contexto de seguridad con un valor WSSecurityException que contiene este mensaje: La validación de la señal LTPA ha fallado debido a claves no válidas o a un tipo de señal no válido.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.rsaCertificateAliasCache
Esta propiedad se utiliza para controlar el tamaño de la memoria caché de alias.
El valor predeterminado es 5000 y se puede aumentar para despliegues mayores. No tendrá que añadir esta propiedad, a menos que la topología del gestor de trabajos excede los 5000 nodos registrados.
El valor debe especificarse en el rango de 1-N, donde N es un entero positivo válido mayor o igual que el número de nodos registrados con el gestor de trabajos.
Información | Valor |
---|---|
Valor predeterminado | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
Esta propiedad se utiliza para establecer un nombre de vía de acceso exclusivo siempre que se genere una cookie WASReqURL.
Un navegador puede retener varias cookies WASReqURL siempre y cuando cada cookie tenga un nombre de vía de acceso exclusivo. Cuando esta propiedad está establecida en true, se define un nombre de vía de acceso exclusivo siempre que se genera una cookie WASReqURL. Por ello, si tiene más de una aplicación que utilice el inicio de sesión de formulario como método de instalación del inicio de sesión en el mismo servidor de aplicaciones, debería especificar esta propiedad como uno de sus valores de seguridad de dicho servidor de aplicaciones y establecer la propiedad en true.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.skip.canonical.lookup
Utilice esta propiedad si tiene que saltarse la búsqueda canónica para un nombre de host específico. El valor que especifique para esta propiedad es sensible a las mayúsculas y minúsculas y debe coincidir con el nombre de host en el filtro SPNEGO.
WebSphere Application Server espera que la API de Java java.net.InetAddress #getCanonicalHostName() devuelva un nombre de host real. En algunas situaciones, esta API devuelve una representación de serie de una dirección IP en lugar de un nombre de host. Cuando se produce este escenario, WebSphere Application Server no es capaz de reconocer que la petición de entrada debe evaluarse para la autenticación SPNEGO.
Si experimenta esta situación, añada esta propiedad personalizada a los valores de configuración de seguridad y establézcala en el nombre de host para el que no desea que se produzca una búsqueda canónica.
myhost1.mycompany.com|myhost2.mycompany.com
Información | Valor |
---|---|
Valor predeterminado | Ninguno |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
Utilice esta propiedad para garantizar que se lleva a cabo una correlación de un principal de Kerberos a un ID de RACF ID para la autenticación web SPNEGO.
Si no añade esta propiedad a los valores de seguridad y la establece en true, no se llevará a cabo una correlación de un principal de Kerberos a un ID de RACF para la autenticación web SPNEGO.

Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.strictCredentialExpirationCheck
Especifica si se produce una comprobación de caducidad de credencial para una llamada de EJB (Enterprise JavaBeans) local. Normalmente, cuando un EJB invoca otro EJB que se encuentra en una máquina local, se produce una invocación de método directo aunque las credenciales del invocador original caduquen antes de que se produzca la llamada EJB local.
Si esta propiedad se establece en true, se produce una comprobación de caducidad de credenciales en una llamada EJB local antes de que se invoque el EJB en la máquina local. Si las credenciales han caducado, se rechaza la llamada EJB.
Si esta propiedad está definida en false, no se produce una comprobación de caducidad de credencial para una llamada de EJB local.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
Utilice esta propiedad para especificar la cantidad de tiempo que el servidor deberá espera al recibir una llamada SOAP de salida, para recuperar la autenticación correspondiente desde el servidor de origen cuando la opción Inicio de sesión único está habilitada.
No hay ningún valor predeterminado para esta propiedad. Si no se especifica ningún valor, se utiliza el valor de tiempo de espera SOAP global como el valor de tiempo de espera para la conexión SOAP.
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
Utilice esta propiedad para indicar que se debe utilizar el registro de usuarios activo cuando se crea una nueva señal predeterminada de inicio de sesión único (SSO).
Normalmente se crea una señal predeterminada de SSO cuando hay una discrepancia entre el ID de acceso de la señal de autenticación SSO de entrada y el nombre de principal contenido en la señal de autorización. Una causa posible de esta discrepancia es tener ámbitos diferentes. Por ejemplo, se produce una discrepancia si el dominio de administración está utilizando un registro LocalOS y el registro activo es LDAP.
Establecer esta propiedad en true hace que se creen nuevas señales de SSO utilizando el registro LDAP.
El valor predeterminado de esta propiedad es false.
com.ibm.websphere.security.useLoggedSecurityName
Esto es una propiedad personalizada de registros de usuarios. Esta propiedad modifica el comportamiento de crear WSCredential.
Un valor de false indica que el nombre de seguridad devuelto por un registro de usuarios siempre se utiliza para crear WSCredential.
El valor true indica que se utiliza un nombre de seguridad proporcionado por el módulo de inicio de sesión o se utiliza un nombre de visualización proporcionado por un registro de usuarios. Este valor es compatible con WebSphere Application Server versión 6.1 y anteriores.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
Esta propiedad especifica el tiempo en milisegundos que una sesión CSIv2 puede permanecer desocupada antes de que se suprima. La sesión se suprime, si la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled está establecida en true y se excede el tamaño máximo de la memoria caché de la sesión de CSIv2.
- Expanda la sección Seguridad y pulse Seguridad global.
- Expanda la sección Seguridad RMI/IIOP y pulse Comunicaciones de salida CSIv2.
El rango de valores para esta propiedad personalizada es de 60.000 a 86.400.000 milisegundos. De forma predeterminada, el valor no está establecido.
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
Esta propiedad personalizada especifica si se debe limitar el tamaño de la memoria caché de sesión CSIv2.
Cuando se establece este valor de propiedad personalizada en true, debe establecer valores para las propiedades personalizadas com.ibm.websphere.security.util.csiv2SessionCacheIdleTime y com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Cuando se establece esta propiedad personalizada en false, la memoria caché de sesión CSIv2 no está limitada. El valor de propiedad predeterminado es false.
Considere establecer esta propiedad personalizada en true si el entorno utiliza la autenticación Kerberos y tiene un pequeño desvío para el centro de distribución de claves (KDC) configurado. En este caso, un pequeño desfase horario se define como menos de 20 minutos. Un pequeño desfase horario puede producir un gran número de sesiones CSIv2 rechazadas. Sin embargo, con un valor más pequeño de la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime, el servidor de aplicaciones puede limpiar estas sesiones rechazadas con más frecuencia y posiblemente reducir la escasez de recursos.
- Expanda la sección Seguridad y pulse Seguridad global.
- Expanda la sección Seguridad RMI/IIOP y pulse Comunicaciones de salida CSIv2.
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
Esta propiedad especifica el tamaño máximo de la memoria caché de la sesión después de que las sesiones caducadas se supriman de la memoria caché.
Las sesiones caducadas se definen como sesiones que están desocupadas durante más tiempo que el especificado por la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Cuando se utiliza la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheMaxSize, estudie establecer su valor entre 100 y 1000 entradas.
Considere especificar un valor para esta propiedad personalizada si el entorno utiliza la autenticación Kerberos y tiene un desvío de reloj corto para el centro de distribución de claves (KDC) configurado. En este caso, un pequeño desfase horario se define como menos de 20 minutos. Considere aumentar el valor de esta propiedad personalizada si un tamaño de memoria caché pequeño hace que la recogida de basura se ejecute con tanta frecuencia que afecta al rendimiento del servidor de aplicaciones.
Esta propiedad personalizada sólo se aplica si habilita sesiones con estado, establece la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled en true y establece un valor para la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime.
- Expanda la sección Seguridad y pulse Seguridad global.
- Expanda la sección Seguridad RMI/IIOP y pulse Comunicaciones de salida CSIv2.
El rango de valores para esta propiedad personalizada es de 100 a 1000 entradas. De forma predeterminada, el valor no está establecido.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.util.postParamMaxCookieSize
Esta propiedad establece el límite de tamaño para las cookies WASPostParam que genera el código de seguridad.
Información | Valor |
---|---|
Valor predeterminado | ninguno |
com.ibm.websphere.security.web.removeCacheOnFormLogout
Esta propiedad personalizada le permite especificar si se elimina un objeto en memoria caché de la memoria caché de autenticación y la memoria caché dinámica cuando se produce un fin de sesión mediante formulario. Un fin de sesión mediante formulario es un mecanismo que permite a un usuario cerrar una sesión de una aplicación sin tener que cerrar todas las sesiones del navegador web.
Cuando esta propiedad está establecida en false, las entradas en memoria caché correspondientes no se eliminan de la memoria de caché de autenticación y la memoria caché dinámica cuando se produce un fin de sesión mediante formulario. Como resultado, si el mismo usuario inicia de nuevo una sesión después de un fin de sesión mediante formulario, se reutiliza el objeto en memoria caché.

Cuando esta propiedad está establecida en true, las entradas en memoria caché se eliminan de la memoria caché de autenticación y la memoria caché dinámica cuando se produce un fin de sesión mediante formulario.
El valor predeterminado es true.
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
Esta propiedad personalizada especifica el comportamiento de la generación de cookies de señales de Lightweight Third Party Authentication (LTPA) para solicitudes recursos web de entrada.
Cuando esta propiedad es true, el servidor de aplicaciones genera y define una cookie LTPAToken para todas las solicitudes de recursos autenticadas satisfactoriamente, independientemente de si la solicitud es para recursos web protegidos o no. Este comportamiento es distinto del comportamiento en WebSphere Application Server Versión 6.1 y puede hacer que algunas aplicaciones desarrolladas para la Versión 6.1 no funcionen en versiones posteriores.
Establezca esta propiedad en false para solo generar una cookie LTPAToken para recursos web protegidos. Este comportamiento es compatible con WebSphere Application Server Versión 6.1.
El valor predeterminado es true.
com.ibm.websphere.security.webAlwaysLogin
Esta propiedad especifica si el método login() generará una excepción si una identidad ya se ha autenticado. Puede sobregrabar este comportamiento estableciendo esta propiedad en true.
Información | Valor |
---|---|
Valor predeterminado | false |
Tipo | serie |
com.ibm.websphere.ssl.include.ECCiphers
Esta propiedad personalizada especifica si WebSphere Application Server incluye cifrados de Elliptical Curve Cryptography (ECC) en la suite de cifrado predeterminada.
Cuando esta propiedad no se establece o se establece en false, el servidor de aplicaciones no incluye el cifrado ECC de forma predeterminada. Establezca la propiedad en true para incluir el cifrado ECC en las suites de cifrado predeterminadas. Si está habilitada SP800-131a o Suite B, de forma predeterminada, siempre se incluye el cifrado ECC.
Información | Valor |
---|---|
Valor predeterminado | true |
Tipo | serie |
com.ibm.websphere.ssl.retrieveLeafCert
Esta propiedad personalizada permite a la función Recuperar de puerto recuperar un certificado de hoja en lugar del certificado raíz.
Recuperar de puerto debe recuperar el certificado de hoja en lugar del certificado raíz. Para obtener el certificado de hoja, es necesario establecer la propiedad personalizada com.ibm.websphere.ssl.retrieveLeafCert en true.
Cuando esta propiedad no se establece o se establece en false, la función Recuperar de puerto recupera el certificado raíz. Establezca esta propiedad en true si desea que la función Recuperar de puerto recupere el certificado de hoja en lugar del certificado raíz.
Información | Valor |
---|---|
Valor predeterminado | false |
Tipo | serie |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
Esta propiedad personalizada permite establecer el atributo HTTPOnly para las cookies de inicio de sesión único (SSO).
Puede utilizar la propiedad personalizada com.ibm.ws.security.addHttpOnlyAttributeToCookies para proteger cookies que contienen valores confidenciales. Cuando se establece este valor de propiedad personalizada en true, el servidor de aplicaciones establece el atributo HTTPOnly para las cookies de SSO cuyos valores establece el servidor. El atributo HTTPOnly permite la protección de los valores confidenciales en las cookies.
Además, un valor true permite que el servidor de aplicaciones reconozca correctamente, acepte y procese cookies de entrada con atributos HTTPOnly e impide que los scripts de sitios cruzados accedan a la información confidencial de cookies.
Un problema de seguridad común, que afecta a los servidores web, son los scripts de sitios cruzados. Los scripts de sitios cruzados son una vulnerabilidad del lado del servidor que normalmente se crea cuando la entrada del usuario se representa como HTML. Los ataques de scripts de sitios cruzados pueden exponer la información confidencial sobre los usuarios del sitio web. La mayoría de los navegadores web modernos respetan el atributo HTTPOnly para evitar este ataque. Una cookie con este atributo se denomina cookie HTTPOnly. La información que existe en una cookie HTTPOnly tiene menos probabilidades de ser divulgada a un pirata informático o a un sitio web malicioso. Para obtener más información sobre el atributo HTTPOnly, consulte el sitio web del OWASP (Open Web Application Security Project).
- Cookies JSESSIONID
- Cookies de SSO que se crean mediante autenticadores o proveedores de otro proveedor de software
- Cookies de cliente o navegador que ya no contienen el atributo HTTPOnly
- Pulse Seguridad > Seguridad global.
- En Autenticación, pulse Seguridad Web y SIP > Inicio de sesión único (SSO).
Información | Valor |
---|---|
Valor predeterminado | true |
Tipo | Booleano |
com.ibm.ws.security.allowNonAdminToSecurityXML
Esta propiedad especifica si los roles de seguridad no admin están autorizados para modificar el archivo security.xml. Establecer esta propiedad en true proporciona a los roles de seguridad que no son de administrador la capacidad de modificar el archivo security.xml. En la versión 6.1 y posterior, de forma predeterminada, los roles de seguridad no admin tienen la capacidad de modificar el archivo security.xml.
Información | Valor |
---|---|
Valor predeterminado | false |
Tipo | Booleano |
com.ibm.ws.security.config.SupportORBConfig
Especifica si debe comprobar el intermediario para solicitudes de objetos (ORB) en busca de propiedades. Esta propiedad debe establecerse como una propiedad del sistema. Establezca esta propiedad en true o yes de modo que se comprueben las propiedades del ORB. Para cualquier otro valor, el ORB se omite por completo.
La propiedad se utiliza cuando un cliente de aplicaciones conectable se conecta a WebSphere Application Server. Concretamente, esta propiedad se utiliza siempre que se pasa un hashmap que contiene propiedades de seguridad en un hashmap en una nueva llamada InitialContext(env).
com.ibm.ws.security.createTokenSubjectForAsynchLogin
En este release, los datos de señal LTPA reales no están disponibles desde una llamada WSCredential.getCredentialToken() cuando se llaman desde un proxy contextual o un bean asíncrono. Para una configuración existente, puede añadir la propiedad personalizada com.ibm.ws.security.createTokenSubjectForAsynchLogin y el valor true para permitir que LTPAToken se reenvíe a los proxies contextuales y a los beans asíncronos. Esta propiedad permite a los portlets realizar correctamente el reenvío de señales LTPA. Esta propiedad personalizada es sensible a mayúsculas y minúsculas. Debe reiniciar el servidor de aplicaciones después de añadir esta propiedad personalizada.

Información | Valor |
---|---|
Valor predeterminado | no se aplica |
com.ibm.ws.security.defaultLoginConfig
Esta propiedad es la configuración de inicio de sesión JAAS utilizada para los inicios de sesión que no corresponden a las categorías de configuración de inicio de sesión WEB_INBOUND, RMI_OUTBOUND o RMI_INBOUND.
Los protocolos y la autenticación interna que no tienen puntos de conexión JAAS específicos llaman a la configuración de inicio de sesión del sistema referida en la configuración com.ibm.ws.security.defaultLoginConfig.
Información | Valor |
---|---|
Valor predeterminado | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
Utilice la propiedad personalizada com.ibm.ws.security.failSSODuringCushion para actualizar los datos personalizados de Tema JAAS para la señal LTPA.
Cuando no establezca esta propiedad personalizada en true, es posible que los nuevos sujetos JAAS contenga los datos personalizados del sujeto JAAS.
El valor predeterminado es true.
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
Utilice la propiedad personalizada com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA para corregir un error del tipo "nombre de biblioteca no válido" cuando intente utilizar un almacén de claves del tipo PKCS11 con un cliente Java.
Además, utilice esta propiedad personalizada si utiliza el proveedor IBMJCECCA si los
sistemas operativos z/OS y los sistemas distribuidos utilizan diferentes tipos de proveedor de criptografía
de hardware.
El archivo ssl.client.props apunta a un archivo de configuración que, a su vez, apunta al nombre de biblioteca del dispositivo criptográfico. El código para el cliente Java busca un tipo de almacén de claves para el nombre del proveedor correcto. Sin esta propiedad personalizada, la constante de tipo de almacén de claves de PKCS11 no se ha especificado correctamente, ya que hace referencia en su lugar al proveedor IBMPKCS11Impl. Además el código LTPA (Lightweight Third Party Authentication) utiliza la lista de proveedores para determinar el proveedor JCE (Java Cryptography Extension). Este enfoque causa un problema cuando se intenta la aceleración de SSL (Secure Sockets Layer) porque el proveedor de IBMPKCS11Impl tiene que aparecer en la lista antes que el proveedor de IBMJCE en el archivo java.security.
Esta propiedad personalizada corrige ambos problemas de manera que SSL y otros mecanismos criptográficos puedan utilizar la aceleración de hardware.

Establezca esta propiedad personalizada en true cuando desee utilizar un almacén de claves del tipo PKCS11 con un cliente Java.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.ws.security.ltpa.useCRT
Utilice esta propiedad para mejorar la utilización de CPU durante la operación sign() que se produce cuando se crea una señal LTPA2 (SSO) nueva. Cuando esta propiedad se establece en true, el producto implementa el algoritmo CRT (Chinese Remainder Theorem) cuando se firma la nueva señal. Esta propiedad no tiene ningún efecto en la señal LTPA del estilo antiguo.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
Utilice la propiedad personalizada com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA para forzar la validación de la señal RSA que debe realizarse en el software.
- En la consola administrativa, pulse Señal RSA. y deseleccione
- Seleccione Utilizar sólo el mecanismo de autenticación de aplicaciones activo.
- Pulse Propiedades personalizadas y, a continuación, pulse Nueva para añadir la propiedad personalizada com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA a los valores de seguridad.
- Añada com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA en el campo Nombre y true en el campo Valor.
Cuando la propiedad está establecida en true, se utiliza el proveedor JCE de software predeterminado, en lugar de IBMJCECCA, para la validación de seguridad.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.ws.security.ssoInteropModeEnabled
Esta propiedad determina si se envía las cookies LtpaToken2 y LtpaToken en la respuesta a una solicitud web (interoperativa).
Cuando el valor de esta propiedad es false, el servidor de aplicaciones simplemente envía la nueva cookie LtpaToken2 que es más fuerte, pero no puede interactuar con otros productos y releases de WebSphere Application Server anteriores a la versión 5.1.1. En la mayoría de los casos, la antigua cookie LtpaToken no es necesaria y puede establecer esta propiedad en false.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.ws.security.unprotectedUserRegistryMethods
Especifica los nombres de método en la interfaz de UserRegistry, como, por ejemplo, getRealm, getUsers e isValidUser, que no es preciso proteger de acceso remoto. Si especifica varios nombres de método, separe los nombres con un espacio, una coma, un punto y coma y una barra de separación. Consulte la implementación del archivo de la interfaz de UserRegistry para obtener una lista completa de los nombres de método válidos.
Si especifica * como valor para esta propiedad, todos los métodos quedan desprotegidos del acceso remoto. Si no se especifica un valor para esta propiedad, todos los métodos quedan protegidos del acceso remoto.
Si se realiza un intento de acceder de forma remota a un método de la interfaz UserRegistry protegido, el proceso remoto recibe una excepción CORBA NO_PERMISSION con el código menor 49421098.
No hay ningún valor predeterminado para esta propiedad.
com.ibm.ws.security.web.saml.disableDecodeURL
Esta propiedad proporciona una opción para inhabilitar la decodificación de URL.
Cuando se habilita el SSO web de SAML y se invoca TAI SAML, se establece una cookie para almacenar el URL de solicitud original. Después de la autenticación, el URL original se decodifica antes de enviarse como una redirección. Cuando este valor de propiedad se establece en true, el URL original para la redirección se utiliza sin decodificar el URL. Para establecer esta propiedad con la consola administrativa, pulse Seguridad > Seguridad global > Propiedades personalizadas. Pulse Nuevo para añadir una nueva propiedad personalizada y el valor asociado.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
Esta propiedad determina el comportamiento de un inicio de sesión LtpaToken2 único.
Si la señal contiene una clave de memoria caché personalizada y no se puede encontrar el sujeto personalizado, se utiliza la señal para iniciar sesión directamente puesto que es necesario volver a reunir la información personalizada si esta propiedad se establece en true. También se produce un desafío, por lo que se solicita al usuario que vuelva a iniciar la sesión. Cuando este valor de propiedad está establecido en false y no se encuentra el sujeto personalizado, LtpaToken2 se utiliza para iniciar una sesión y recopilar todos los atributos de registro. Sin embargo, es posible que el símbolo no obtenga ninguno de los atributos especiales que esperan las aplicaciones en sentido descendente.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.ws.security.webInboundLoginConfig
Esta propiedad es la configuración de inicio de sesión JAAS que se utiliza para solicitudes web que se reciben de entrada.
Si conoce la configuración de inicio de sesión, puede conectar un módulo de inicio de sesión personalizado que puede manejar casos específicos para los inicios de sesión de web.
Información | Valor |
---|---|
Valor predeterminado | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
Esta propiedad determina si una cookie LtpaToken2 recibida debe buscar los atributos propagados de forma local antes de buscar en el servidor de inicio de sesión original que se especifica en el símbolo. Una vez que se reciben atributos propagados, el sujeto se regenera y los atributos personalizados se conservan.
Puede configurar el servicio de duplicación de datos (DRS) para enviar atributos propagados a servidores frontales, de forma que la búsqueda de memoria caché dinámica local puede encontrar los atributos propagados. De lo contrario, una solicitud MBean se envía al servidor de inicio de sesión original para recuperar estos atributos.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
Esta propiedad especifica si no se finaliza la sesión de los usuarios una vez que caduca el temporizador de sesión HTTP.
Información | Valor |
---|---|
Valor predeterminado | false |
Required | false |
Tipo de datos | Booleano |
com.ibm.ws.security.WSSecureMapInitAtStartup
Esta propiedad establece la memoria caché de seguridad (WSSecureMap) como parte de la memoria caché dinámica que se inicializa para utilizarla en la propagación de los atributos de seguridad.
Información | Valor |
---|---|
Valor predeterminado | true |
com.ibm.ws.security.WSSecureMapSize
Esta propiedad especifica el tamaño de la memoria caché de seguridad (WSSecureMap).
Información | Valor |
---|---|
Valor predeterminado | 100 |
![[z/OS]](../images/ngzos.gif)
com.ibm.ws.security.zOS.useSAFidForTransaction
Esta propiedad se utiliza para habilitar un servidor para que utilice la identidad del usuario para la tarea iniciada z/OS como identidad del servidor al invocar los métodos transaccionales, como commit() y prepare(), que necesitan la identidad del servidor. Este comportamiento se produce independientemente del valor de identidad del servidor correspondiente a dicho servidor.
Por ejemplo, un servidor se puede configurar para utilizar la identidad de servidor generada automáticamente, que no es la identidad real almacenada en un repositorio de usuarios. Además, es posible que este servidor necesite comunicarse con CICS 3.2 y CICS 3.2 necesita el uso de identidades SAF (System Authorization Facility). Si com.ibm.ws.security.zOS.useSAFidForTransaction se establece en true, el servidor utiliza una identidad SAF para comunicarse con CICS, en lugar de utilizar la identidad generada automáticamente.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.wsspi.security.cred.refreshGroups
Esta propiedad afecta al comportamiento cuando se deserializa un contexto de seguridad que se ha guardado previamente como parte del proceso de seguridad asíncrono para servicios web, Concurrency Utilities para Java EE o beans asíncronos.
Cuando se establece esta propiedad en true, se accede al registro de usuario para obtener los grupos asociados al usuario. Si el usuario todavía existe en el registro, los grupos del registro de usuarios se utilizan en lugar de los grupos que se han serializado en el contexto de seguridad. Si el usuario no se encuentra en el registro de usuario y la propiedad verifyUser se ha establecido en false, se utilizarán los grupos del contexto de seguridad.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.wsspi.security.cred.verifyUser
Esta propiedad afecta al comportamiento cuando se deserializa un contexto de seguridad que se ha guardado previamente como parte del proceso de seguridad asíncrono para servicios web o beans asíncronos.
Cuando se establece esta propiedad en true, se accede al registro de usuarios para comprobar que todavía exista el contexto de seguridad. Si no existe, se emitirá una excepción WSLoginFailedException.
Información | Valor |
---|---|
Valor predeterminado | false |
com.ibm.wsspi.security.ltpa.tokenFactory
Esta propiedad especifica las fábricas de símbolos LTPA (Lightweight Third Party Authentication) que pueden utilizarse para validar los símbolos LTPA.
La validación se produce en el orden en que se especifican las fábricas de símbolos porque los símbolos LTPA no tienen identificadores de objetos (OID) que especifiquen el tipo de símbolo. El servidor de aplicaciones valida los símbolos utilizando cada fábrica de símbolos hasta que la validación es satisfactoria. El orden especificado para esta propiedad es el orden más probable de los símbolos recibidos. Especifique varias fábricas de símbolos separándolas mediante una barra vertical (|) sin espacios delante o después de la barra vertical.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
Esta propiedad especifica la implementación utilizada para un símbolo de autorización en la infraestructura de propagación de atributos. La propiedad proporciona una implementación de símbolos LTPA antigua para utilizarla como símbolo de autenticación.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
Esta propiedad especifica la implementación utilizada para un símbolo de autorización. Esta fábrica de símbolos codifica la información de autorización.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
Esta propiedad especifica la implementación utilizada para un símbolo de propagación. Esta fábrica de símbolos codifica la información de símbolo de propagación.
El símbolo de propagación se encuentra en la hebra de ejecución y no está asociado con ningún sujeto de usuario específico. La señal sigue el flujo en sentido descendente de invocación a donde conduzca el proceso.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
Esta propiedad especifica la implementación que se utiliza para un símbolo SSO (Single Sign-on - Inicio de sesión único). Esta implementación es la cookie que se establece cuando se habilita la propagación con independencia del estado de la propiedad com.ibm.ws.security.ssoInteropModeEnabled.
De forma predeterminada, esta implementación es la cookie LtpaToken2.
Información | Valor |
---|---|
Valor predeterminado | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
Utilice esta propiedad para especificar cómo desea que el sistema maneje la autenticación para una solicitud después de que caduque la señal Kerberos para la misma.
Cuando esta propiedad se establece en true, si una señal Kerberos no se pueden renovar después de caducar, la autenticación de la solicitud fallará.
Si esta propiedad se establece en false, la autenticación de la solicitud no fallará aunque haya caducado la señal.
El valor predeterminado de esta propiedad es false.
security.allowCustomHTTPMethods
Utilice esta propiedad personalizada para permitir métodos HTTP personalizados. Los métodos HTTP personalizados son distintos de los métodos HTTP estándar, que son: DELETE, GET, HEAD, OPTIONS, POST, PUT o TRACE.
Cuando esta propiedad se establece en false, que es el valor predeterminado, si una combinación de un patrón de URI y un método HTTP personalizado no se lista en el elemento security-constraint, se realiza una búsqueda de la restricción de seguridad mediante sólo un patrón de URI. Si existe una coincidencia, se aplica el valor del elemento <auth-constraints>. Este comportamiento minimiza una posible exposición de seguridad.
Cuando esta propiedad se establece en true, los métodos HTTP personalizados se tratan como los métodos HTTP estándar. Una decisión de autorización la realiza tanto el patrón de URI como el método HTTP. Para proteger correctamente un URI de destino, asegúrese de que se listan los métodos HTTP adecuados en el elemento <web-resource-collection>.
security.enablePluggableAuthentication
Esta propiedad ya no se utiliza. En su lugar, debe utilizar la configuración de inicio de sesión WEB_INBOUND.
- Pulse .
- En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema.
Información | Valor |
---|---|
Valor predeterminado | true |
security.useDefaultPolicyWhenJ2SDisabled
El método NullDynamicPolicy.getPermissions proporciona una opción para delegar una clase de política predeterminada para construir un objeto Permisos cuando esta propiedad está establecida en true. Cuando esta propiedad se establece en false, se devuelve un objeto Permisos vacío.
Información | Valor |
---|---|
Valor predeterminado | false |
security.useAllSSLClientAuthKeytypes
Esta propiedad se utiliza para garantizar que cuando se actúa como el cliente durante un reconocimiento SSL, utilizando la autenticación de clientes SSL, se utilizan todos los tipos de clave SSL proporcionados por el servidor de destino cuando se selecciona un certificado de cliente.
En la autenticación de clientes SSL, WebSphere Application Server no elige todos los tipos de clave SSL proporcionados en la solicitud de certificado enviada por el servidor de destino. WebSphere sólo elige el tipo de clave SSL preferible. Si el tipo de clave SSL no coincide con el tipo de clave SSL preferible, WebSphere no envía un certificado de cliente, aunque haya un certificado de cliente SSL correcto en el almacén de claves.
WAS_customUserMappingImpl
Esta propiedad de seguridad se utiliza para conectar el plug-in de la clase UserMapping personalizada. Si este valor se establece en el nivel superior de seguridad con el nombre de clase de correlación de usuarios personalizado, se utiliza para personalizar la correlación de usuarios de certificado y/o la correlación de usuarios de aserción de identidad. Es necesario que el usuario coloque en WAS_HOME/lib/ext el archivo jar que contiene la clase personalizada.