Propriétés de configuration JVM TAI SPNEGO personnalisées (déprécié)

Les propriétés personnalisées de la machine virtuelle Java™ contrôlent le fonctionnement de l'intercepteur de relation de confiance (TAI) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism).

Fonction obsolète Fonction obsolète:

WebSphere Application Server version 6.1 fournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.

depfeat
Les propriétés personnalisées JVM suivantes contrôlent le fonctionnement de l'intercepteur TAI SPNEGO. Des valeurs différentes de propriété personnalisée peuvent être spécifiées pour chaque serveur d'applications.
Tableau 1. Propriétés personnalisées de configuration JVM.

Ce tableau répertorie les propriétés personnalisées de configuration JVM SPNEGO.

Nom de la propriété personnalisée Obligatoire Value Type Valeur par défaut Valeur recommandée
com.ibm.ws.security.spnego.isEnabled Non Booléenne False True
com.ibm.ws.security.spnego.propertyReloadFile Non String (chaîne) Aucun Pour Windows
C:\temp\TAI.props 
Pour UNIX
/tmp/TestTAI.Properties 
com.ibm.ws.security.spnego.propertyReloadTimeout Non Entierr Aucun 120
com.ibm.ws.security.spnego.useHttpFilterClass2 Non Booléenne False True
com.ibm.ws.security.spnego.isEnabled
Utilisez cette propriété personnalisée pour activer ou désactiver le fonctionnement de SPNEGO TAI dans un serveur d'applications donné. Lorsqu'on lui attribue la valeur false, SPNEGO TAI est désactivé et n'est pas utilisé par le module d'authentification Web pour authentifier toute requête Web. Lorsqu'on lui attribue la valeur true, SPNEGO TAI est activé et utilisé par le module d'authentification Web pour authentifier toute requête Web.
com.ibm.ws.security.spnego.propertyReloadFile
Utilisez cette propriété personnalisée pour identifier le fichier contenant les propriétés de configuration de SPNEGO TAI, lorsqu'il n'est pas judicieux d'arrêter et redémarrer le serveur d'applications. Les propriétés contenues dans ce fichier peuvent être rechargées pour configurer SPNEGO TAI.
Important : Les propriétés définies dans le fichier spécifié sont prioritaires sur toutes les propriétés définies au moyen de la console d'administration.

Voici un exemple de ce fichier de recharge :

##########################################################
# Fichiers de propriétés modèles pour SPNEGO TAI
#  
# où, dans la mesure du possible, les valeurs par défaut sont fournies.
#
##########################################################

#---------------------------------------------------------
# Nom d'hôte
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.HostName=wsecurity.austin.ibm.com 

#---------------------------------------------------------
# (Facultatif) SpnegoNotSupportedPage
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.SpnegoNotSupportedPage=

#---------------------------------------------------------
# (Facultatif) NTLMTokenReceivedPage
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.NTLMTokenReceivedPage=

#---------------------------------------------------------
# (Facultatif) FilterClass
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.FilterClass=com.ibm.ws.spnego.HTTPHeaderFilter

#---------------------------------------------------------
# (Facultatif) Filter
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.Filter=
Important : Si la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile est définie, mais que com.ibm.ws.security.spnego.propertyReloadTimeout ne l'est pas, alors SPNEGO TAI n'est pas initialisé.
com.ibm.ws.security.spnego.propertyReloadTimeout
Utilisez cette propriété personnalisée pour spécifier un intervalle de temps en secondes après lequel SPNEGO TAI recharge les propriétés de configuration. De plus, SPNEGO TAI recharge les propriétés de configuration si le fichier identifié par la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile a changé depuis la dernière récupération des propriétés personnalisée de configuration. Cet intervalle de temps doit être un nombre entier positif.
com.ibm.ws.security.spnego.useHttpFilterClass2
Utilisez cette propriété personnalisée pour indiquer que les classes HttpHeaderFilter doivent être utilisées. Les classes HttpHeaderFilter permettent :
  • D'utiliser l'opérateur != pour les filtres TAI SPNEGO.
  • D'insérer un espace dans un filtre TAI SPNEGO.

Si vous affectez à cette propriété la valeur true, la spécification de filtre suivante fonctionne correctement.

user-agent!=IBM Web Services Explorer;request-url!=noSPNEGO

Si cette propriété a la valeur false ou n'est pas définie, le filtre précédent ne fonctionne pas correctement.

Important :
  • Si les propriétés personnalisées com.ibm.ws.security.spnego.propertyReloadFile et com.ibm.ws.security.spnego.propertyReloadTimeout ne sont pas définies, alors les propriétés de l'intercepteur TAI SPNEGO ne sont chargées qu'une seule fois à partir des propriétés personnalisées de l'intercepteur TAI SPNEGO définies dans les données de configuration de WebSphere Application Server. Ce chargement unique se produit lorsque la machine JVM est initialisée.
  • Si la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadTimeout est définie, mais que la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile ne l'est pas, alors SPNEGO TAI n'est pas initialisé. Configuration des propriétés personnalisées JVM, filtrage des requêtes HTTP et activation de l'intercepteur TAI SPNEGO dans WebSphere Application Server (obsolète) ou comment configurer les propriétés personnalisées de la JVM pour SPNEGO TAI.
A faire : Vous pouvez également utiliser la commande wsadmin pour l'objet de script AdminConfig afin de définir en mode interactif la propriété personnalisée com.ibm.ws.security.spnego.isEnabled. Pour plus d'informations, voir Activation de l'intercepteur TAI SPNEGO en tant que propriété personnalisée JVM à l'aide du scriptage (déprécié).
Les propriétés personnalisées suivantes ne sont pas utilisées directement par le SPNEGO TAI ; cependant, elles affectent le fonctionnement du module d'exécution de sécurité central et peuvent être utilisées pour l'identification d'incidents.
Tableau 2. Propriétés personnalisées de configuration JVM.

Ce tableau répertorie les propriétés personnalisées JVM de configuration.

Nom de la propriété personnalisée Obligatoire Value Type Valeur par défaut Valeur recommandée
com.ibm.security.jgss.debug Non String (chaîne) Aucun "off" ou "all"
com.ibm.security.krb5.Krb5Debug Non String (chaîne) Aucun "off" ou "all"
java.security.properties Non String (chaîne) Aucun
javax.security.auth.useSubjectCredsOnly Yes Booléenne True False
com.ibm.security.jgss.debug
Cette propriété personnalisée est facultative. Il peut être employé pour collecter des informations de trace de diagnostic permettant d'identifier les incidents qui se produisent lors de l'implémentation de l'interface de programme d'application (API) de JGSS (Java Generic Security Service). La valeur peut être définie sur all ou off afin d'activer ou de désactiver le traçage, respectivement. Voir le document Java Generic Security Service User's Guide pour des informations spécifiques sur l'API JGSS.
com.ibm.security.krb5.Krb5Debug
Cette propriété personnalisée est facultative. Il peut être employé pour collecter des informations de traçage de diagnostic supplémentaires en vue d'identifier les incidents se produisant lors de l'implémentation de JGSS. La valeur peut être définie sur all ou off afin d'activer ou de désactiver le traçage, respectivement.
java.security.properties
Cette propriété est facultative. Elle peut être utilisée lorsque plusieurs serveurs d'applications au sein d'une cellule possèdent des exigences de sécurité différentes et lorsqu'il n'est pas judicieux de modifier le fichier global java.security pour l'ensemble de la cellule. Dans de telles situations, la propriété personnalisée java.security.properties est utilisée pour spécifier l'emplacement du fichier java.security qui est utilisé par la machine JVM pour chaque serveur d'applications.
javax.security.auth.useSubjectCredsOnly
GSS dispose d'un module de connexion facultatif JAAS (Java Authentication and Authorization Service) qui sauvegarde les justificatifs de type Principal et les clés confidentielles dans le Sujet du contexte de connexion JAAS de l'application. JGSS récupère les justificatifs et les clés confidentielles auprès du Sujet par défaut. Il est possible de désactiver cette caractéristique en donnant la valeur false à la propriété Java javax.security.auth.useSubjectCredsOnly.
Avertissement : SPNEGOTAI n'utilise pas le module de connexion JAAS facultatif. La valeur false doit être attribuée à la propriété javax.security.auth.useSubjectCredsOnly.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_jvm_attribs
Nom du fichier : rsec_SPNEGO_jvm_attribs.html