Propriétés de configuration JVM TAI SPNEGO personnalisées (déprécié)
Les propriétés personnalisées de la machine virtuelle Java™ contrôlent le fonctionnement de l'intercepteur de relation de confiance (TAI) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism).

WebSphere Application Server version 6.1 fournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.
depfeatNom de la propriété personnalisée | Obligatoire | Value Type | Valeur par défaut | Valeur recommandée |
---|---|---|---|---|
com.ibm.ws.security.spnego.isEnabled | Non | Booléenne | False | True |
com.ibm.ws.security.spnego.propertyReloadFile | Non | String (chaîne) | Aucun | Pour Windows
Pour UNIX
|
com.ibm.ws.security.spnego.propertyReloadTimeout | Non | Entierr | Aucun | 120 |
com.ibm.ws.security.spnego.useHttpFilterClass2 | Non | Booléenne | False | True |
- com.ibm.ws.security.spnego.isEnabled
- Utilisez cette propriété personnalisée pour activer ou désactiver le fonctionnement de SPNEGO TAI dans un serveur d'applications donné. Lorsqu'on lui attribue la valeur false, SPNEGO TAI est désactivé et n'est pas utilisé par le module d'authentification Web pour authentifier toute requête Web. Lorsqu'on lui attribue la valeur true, SPNEGO TAI est activé et utilisé par le module d'authentification Web pour authentifier toute requête Web.
- com.ibm.ws.security.spnego.propertyReloadFile
- Utilisez cette propriété personnalisée pour identifier le fichier contenant les propriétés de configuration de SPNEGO TAI, lorsqu'il n'est pas judicieux d'arrêter et redémarrer le serveur d'applications. Les propriétés contenues dans ce fichier peuvent être rechargées pour configurer SPNEGO TAI.Important : Les propriétés définies dans le fichier spécifié sont prioritaires sur toutes les propriétés définies au moyen de la console d'administration.
Voici un exemple de ce fichier de recharge :
########################################################## # Fichiers de propriétés modèles pour SPNEGO TAI # # où, dans la mesure du possible, les valeurs par défaut sont fournies. # ########################################################## #--------------------------------------------------------- # Nom d'hôte #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.HostName=wsecurity.austin.ibm.com #--------------------------------------------------------- # (Facultatif) SpnegoNotSupportedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.SpnegoNotSupportedPage= #--------------------------------------------------------- # (Facultatif) NTLMTokenReceivedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.NTLMTokenReceivedPage= #--------------------------------------------------------- # (Facultatif) FilterClass #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.FilterClass=com.ibm.ws.spnego.HTTPHeaderFilter #--------------------------------------------------------- # (Facultatif) Filter #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.Filter=
Important : Si la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile est définie, mais que com.ibm.ws.security.spnego.propertyReloadTimeout ne l'est pas, alors SPNEGO TAI n'est pas initialisé. - com.ibm.ws.security.spnego.propertyReloadTimeout
- Utilisez cette propriété personnalisée pour spécifier un intervalle de temps en secondes après lequel SPNEGO TAI recharge les propriétés de configuration. De plus, SPNEGO TAI recharge les propriétés de configuration si le fichier identifié par la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile a changé depuis la dernière récupération des propriétés personnalisée de configuration. Cet intervalle de temps doit être un nombre entier positif.
- com.ibm.ws.security.spnego.useHttpFilterClass2
- Utilisez cette propriété personnalisée pour indiquer que les classes HttpHeaderFilter doivent être utilisées. Les classes HttpHeaderFilter permettent :
- D'utiliser l'opérateur != pour les filtres TAI SPNEGO.
- D'insérer un espace dans un filtre TAI SPNEGO.
Si vous affectez à cette propriété la valeur true, la spécification de filtre suivante fonctionne correctement.
user-agent!=IBM Web Services Explorer;request-url!=noSPNEGO
Si cette propriété a la valeur false ou n'est pas définie, le filtre précédent ne fonctionne pas correctement.
- Si les propriétés personnalisées com.ibm.ws.security.spnego.propertyReloadFile et com.ibm.ws.security.spnego.propertyReloadTimeout ne sont pas définies, alors les propriétés de l'intercepteur TAI SPNEGO ne sont chargées qu'une seule fois à partir des propriétés personnalisées de l'intercepteur TAI SPNEGO définies dans les données de configuration de WebSphere Application Server. Ce chargement unique se produit lorsque la machine JVM est initialisée.
- Si la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadTimeout est définie, mais que la propriété personnalisée com.ibm.ws.security.spnego.propertyReloadFile ne l'est pas, alors SPNEGO TAI n'est pas initialisé. Configuration des propriétés personnalisées JVM, filtrage des requêtes HTTP et activation de l'intercepteur TAI SPNEGO dans WebSphere Application Server (obsolète) ou comment configurer les propriétés personnalisées de la JVM pour SPNEGO TAI.
Nom de la propriété personnalisée | Obligatoire | Value Type | Valeur par défaut | Valeur recommandée |
---|---|---|---|---|
com.ibm.security.jgss.debug | Non | String (chaîne) | Aucun | "off" ou "all" |
com.ibm.security.krb5.Krb5Debug | Non | String (chaîne) | Aucun | "off" ou "all" |
java.security.properties | Non | String (chaîne) | Aucun | |
javax.security.auth.useSubjectCredsOnly | Yes | Booléenne | True | False |
- com.ibm.security.jgss.debug
- Cette propriété personnalisée est facultative. Il peut être employé pour collecter des informations de trace de diagnostic permettant d'identifier les incidents qui se produisent lors de l'implémentation de l'interface de programme d'application (API) de JGSS (Java Generic Security Service). La valeur peut être définie sur all ou off afin d'activer ou de désactiver le traçage, respectivement. Voir le document Java Generic Security Service User's Guide pour des informations spécifiques sur l'API JGSS.
- com.ibm.security.krb5.Krb5Debug
- Cette propriété personnalisée est facultative. Il peut être employé pour collecter des informations de traçage de diagnostic supplémentaires en vue d'identifier les incidents se produisant lors de l'implémentation de JGSS. La valeur peut être définie sur all ou off afin d'activer ou de désactiver le traçage, respectivement.
- java.security.properties
- Cette propriété est facultative. Elle peut être utilisée lorsque plusieurs serveurs d'applications au sein d'une cellule possèdent des exigences de sécurité différentes et lorsqu'il n'est pas judicieux de modifier le fichier global java.security pour l'ensemble de la cellule. Dans de telles situations, la propriété personnalisée java.security.properties est utilisée pour spécifier l'emplacement du fichier java.security qui est utilisé par la machine JVM pour chaque serveur d'applications.
- javax.security.auth.useSubjectCredsOnly
- GSS dispose d'un module de connexion facultatif JAAS (Java Authentication and Authorization Service)
qui sauvegarde les justificatifs de type Principal et les clés confidentielles dans le Sujet du contexte de connexion JAAS de l'application. JGSS récupère les justificatifs et les clés confidentielles auprès du Sujet par défaut. Il est possible de désactiver cette caractéristique
en donnant la valeur false à la propriété
Java javax.security.auth.useSubjectCredsOnly. Avertissement : SPNEGOTAI n'utilise pas le module de connexion JAAS facultatif. La valeur false doit être attribuée à la propriété javax.security.auth.useSubjectCredsOnly.