Propriétés personnalisées de sécurité
Cette page expose les propriétés personnalisées prédéfinies psecurity.allowCustomHTTPMethodsredefined.
Pour afficher cette page de la console d'administration, cliquez Nouveau pour ajouter une nouvelle propriété personnalisée et la valeur qui lui est associée.
. Cliquez ensuite surLes propriétés personnalisées figurant dans cette rubrique sont définies dans la console d'administration via le chemin répertorié précédemment (sauf indication contraire dans la description).
com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.CSI.disablePropagationCallerList
com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
com.ibm.CSI.rmiInboundMappingConfig
com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
com.ibm.security.SAF.forceDelegation
com.ibm.security.SAF.overrideStartupAPPL
com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.auth.setDRSBootstrap
com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.delegateStarStarRoleAuthorization
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.canonical.lookupcom.ibm.websphere.security.skip.canonical.lookup
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.useDefaultPolicyWhenJ2SDisabled
- security.useAllSSLClientAuthKeytypes
- WAS_customUserMappingImpl
![[z/OS]](../images/ngzos.gif)
com.ibm.audit.field.length.limit
Cette propriété s'applique uniquement à l'implémentation d'un émetteur SMF fourni par IBM pour la fonction d'audit de sécurité. Cette propriété permet de spécifier, en octets, à partir de quelle longueur sont tronquées les données d'audit de longueur variable. Par défaut, si cette propriété personnalisée n'est pas indiquée et que la limite de seuil (20480) est dépassée, les zones de données d'audit de longueur variable sont tronquées quand elles atteignent 128 octets.

La taille du seuil limite des données de réadressage SMF est fixée à 20480 octets. Si les données d'audit dépassent cette limite, elles sont tronquées pour éviter la perte d'enregistrements d'audit.
Information | valeur |
---|---|
Valeur par défaut | 20480 |
Type | Entier compris entre 1 et 512 |
com.ibm.audit.report.granularity
Cette propriété permet d'indiquer la quantité de données d'audit à enregistrer pour chaque type d'événement. Si vous ne devez enregistrer que des informations de base sur un événement (pour identifier quand un utilisateur a exécuté une action donnée sur une ressource, par exemple), affectez à cette propriété la valeur high pour améliorer les performances du serveur d'applications.
Vous pouvez définir la valeur high, medium ou low de cette propriété. La valeur par défaut est low.
Type d'événement | high | medium | low |
---|---|---|---|
SessionContext | sessionId | sessionId, remoteHost | sessionId, remoteHost, remoteAddr, remotePort |
PropagationContext (indiqué uniquement si SAP est activé) | firstCaller (avec qui) | firstCaller, et si le mode prolixe est activé, liste des appelants | firstCaller, et si le mode prolixe est activé, liste des appelants |
RegistryContext | Aucune donnée enregistrée | Type de registre | Type de registre |
ProcessContext | Aucune donnée enregistrée | Domaine | Domaine, et domaine si le mode prolixe est activé |
EventContext | creationTime | creationTime, globalInstanceId | creationTime, globalInstanceId, eventTrailId, et lastTrailId si le mode prolixe est activé |
DelegationContext | identityName | delegationType et identityName | delegationType, roleName et identityName |
AuthnContext | Aucune donnée enregistrée | Type authn | Type authn |
ProviderContext | Aucune donnée enregistrée | fournisseur | Fournisseur et état du fournisseur |
AuthnMappingContext | mappedUserName | mappedUserName et mappedSecurityRealm | mappedUserName, mappedSecurityRealm et mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName, action, appUserName et resourceName | progName, action, appUserName, resourceName, registryUserName et accessDecision | progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked et rolesGranted |
PolicyContext | Aucune donnée enregistrée | policyName | policyName et policyType |
KeyContext | keyLabel | keyLabel et keyLocation | keyLabel, keyLocation et certificateLifetime |
MgmtContext | Aucune donnée enregistrée | mgmtType et mgmtCommand | mgmtType, mgmtCommand et targetInfoAttributes |
com.ibm.CSI.disablePropagationCallerList
Cette propriété désactive la liste des appelants et n'autorise pas la modification de cette liste. Elle empêche la création de sessions multiples.

Information | valeur |
---|---|
Valeur par défaut | false |
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.localCommDataForNonLocalOSEnabled
Cette propriété permet d'utiliser les données de communication locale comme élément d'authentification pour la couche de transport CSIv2 lorsque le registre d'utilisateurs n'est pas un registre d'utilisateurs LocalOS.
Lorsque la propriété a la valeur true, les données extraites du transport de communication locale correspondent à l'ASID du client local qui se connecte à un processus WebSphere Application Server. Un utilisateur correspondant à l'ASID doit exister dans le registre d'utilisateurs. Lorsqu'un processus WebSphere Application Server reçoit un message CSIv2 Establish et qu'une vérification d'identité est demandée, les données extraites du transport de communication locale sont utilisées pour valider le fait que le client est autorisé à vérifier l'utilisateur défini dans le jeton d'identité dans la couche Attribut. Si l'utilisateur représenté par l'ASID reçu se trouve dans la liste des identités accréditées de la page d'authentification entrante CSIv2 de la console d'administration, l'ID peut vérifier le jeton d'identité.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.CSI.propagateFirstCallerOnly
Cette propriété limite la liste des appelants au premier appelant uniquement, ce qui signifie que la liste des appelants ne peut pas être modifiée. Le fait de définir cette propriété sur True permet d'éliminer le risque de création de plusieurs entrées de session.
Cette propriété consigne le premier appelant du jeton de propagation qui reste sur l'unité d'exécution lorsque la propagation de l'attribut de sécurité est activée. Si vous ne la définissez pas, tous les commutateurs appelants sont consignés, ce qui a un impact sur les performances. En règle générale, seul le premier appelant a un intérêt.

Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.CSI.rmiInboundLoginConfig
Cette propriété indique la configuration de connexion JAAS (Java Authentication and Authorization Service) utilisée pour des demandes RMI (Remote Method Invocation) reçues en entrée.
Si vous connaissez la configuration de connexion, vous pouvez insérer un module de connexion personnalisé capable de gérer des cas particuliers pour les connexions RMI.
Information | valeur |
---|---|
Valeur par défaut | system.RMI_INBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingConfig
Cette propriété définit la configuration de connexion JAAS système qui permet d'effectuer le mappage de principal spécifique.
Information | valeur |
---|---|
Valeur par défaut | Aucun |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingEnabled
Cette propriété, lorsqu'elle est définie sur true, active la fonction de mappage de principal spécifique de l'application.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.CSI.rmiOutboundLoginConfig
Cette propriété indique la configuration de connexion JAAS utilisée pour des demandes RMI envoyées en sortie.
Cette propriété commence par préparer les attributs propagés dans le sujet à envoyer au serveur cible. Toutefois, vous pouvez insérer un module de connexion personnalisé pour un mappage sortant.
Information | valeur |
---|---|
Valeur par défaut | system.RMI_OUTBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiOutboundMappingEnabled
Cette propriété lorsqu'elle a la valeur true active le sujet de l'appelant d'origine intégré dans l'objet WSSubjectWrapper à restaurer.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.CSI.supportedTargetRealms
Cette propriété active les justificatifs authentifiés dans le domaine actuel pour être envoyés à un domaine indiqué dans la zone Domaines cible sécurisés. Cette zone est disponible dans le panneau Authentification sortante CSIv2. Cette propriété active ces domaines pour réaliser un mappage entrant des données depuis le domaine actuel.
- Cliquez sur .
- Sous Sécurité RMI/IIOP, cliquez sur Authentification des communications sortantes CSIv2.
com.ibm.security.multiDomain.setNamingReadUnprotected
Cette propriété peut être définie sur true si vous souhaitez que le rôle CosNamingRead protège toutes les opérations de lecture de nom. Affecter à cette propriété la valeur true revient au même qu'affecter au rôle CosNamingRead le sujet spécial Tous. Lorsque cette propriété est définie, toutes les affectations du rôle CosNamingRead sont ignorées.
Information | valeur |
---|---|
Valeur par défaut | Aucune |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.forceDelegation
Indique si la délégation SAF (System Authorization Facility) peut être utilisée indépendamment de l'autorisation SAF. Lorsque cette propriété a la valeur true, la délégation SAF peut être utilisée lorsque le registre d'utilisateurs est un référentiel d'utilisateurs fédéré et qu'il est configuré avec un passerelle de registre d'utilisateurs SAF.
Cette propriété n'a pas de valeur par défaut.
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.overrideStartupAPPL
Vous pouvez utiliser cette propriété pour remplacer la valeur du profil APPL, en particulier pour les deux appels RACROUTE qui ont lieu au démarrage du serveur. Pour ces deux appels, la valeur du profil APPL n'est pas utilisée pour le processus de contrôle des autorisations mais est communiquée à la routine d'exit de l'installation. La valeur du profil APPL utilisée pour le contrôle des autorisations n'est pas contrôlée par cette propriété. Elle est égale à CBS390 ou à la valeur du préfixe du profil SAF.
Information | valeur |
---|---|
Valeur par défaut | Aucune |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.useAPPLpr
Cette propriété personnalisée définit si le profil APPL est utilisé pour restreindre l'accès à WebSphere Application Server.
Si vous avez défini un préfixe de profil SAF, le profil APPL utilisé est le préfixe de ce profil. Sinon, le nom du profil sera CBS390. Toutes les identités z/OS qui utilisent les services WebSphere doivent avoir le droit de lecture sur le profil APPL. Cela inclut toutes les identités WebSphere Application Server, les identités non authentifiées WebSphere, les identités administratives WebSphere Application Server, les identités utilisateur s'appuyant sur les mappages entre les rôles et les utilisateurs et toutes les identités des utilisateurs système. Si la classe APPL est inactive sur le système z/OS, cette propriété est sans effet quelque soit sa valeur.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.security.useFIPS
Indique que des algorithmes FIPS (Federal Information Processing Standard) sont utilisés. Le serveur d'applications utilise le fournisseur de chiffrement IBMJCEFIPS au lieu de IBMJCE.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
Cette propriété de sécurité est utilisée pour personnaliser l'adresse d'origine de l'adresse électronique de notification d'expiration de certificat.
La valeur que vous affectez à cette propriété doit être une adresse Internet, telle que Notification@abc-company.com. Si vous ne la définissez pas, le serveur d'applications utilise l'adresse électronique fromAddress: WebSphereNotification@ibm.com.
Information | valeur |
---|---|
Valeur par défaut | Aucun |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
Cette propriété de sécurité permet de personnaliser le jeu de caractères de codage de texte du message de notification par e-mail de l'expiration d'un certificat.
WebSphere Application Server notifie l'expiration du certificat par un courrier électronique rédigé en anglais (US-English) ou dans le jeu de caractères par défaut de l'ordinateur (si un autre environnement local que l'anglais est spécifié). Si vous voulez utiliser un autre jeu de caractères de codage de texte pour ce message de notification, vous pouvez utiliser cette propriété pour choisir ce jeu de caractères.
Information | valeur |
---|---|
Valeur par défaut | Aucun |
com.ibm.websphere.lookupRegistryOnProcess
Cette propriété peut être définie lorsque des recherches de registre de domaine sont exécutées en utilisant un bean géré par message sur un serveur distant et que le domaine utilise la sécurité du système d'exploitation local.
Par défaut, les tâches du registre d'utilisateurs listRegistryUsers et listRegistryGroups font des recherches à partir du processus en cours. Dans le cas de Network Deployment (ND), ce processus est le gestionnaire de déploiement.
Dans le cas d'un registre d'utilisateurs qui utilise le système d'exploitation local, la recherche doit se faire sur le serveur où réside le registre. Dans un environnement ND, il peut s'agir d'un ordinateur distant. Pour effectuer une recherche sur le processus serveur sur lequel se trouve le registre, définissez la propriété personnalisée com.ibm.websphere.lookupRegistryOnProcess sur true.
Si la propriété com.ibm.websphere.lookupRegistryOnProcess n'est pas définie ou a la valeur false, la recherche a lieu dans le processus en cours. Cette propriété personnalisée peut être définie avec la tâche setAdminActiveSecuritySettings pour la sécurité globale, ou avec la tâche setAppActiveSecuritySettings pour un domaine de sécurité.
com.ibm.websphere.security.allow.committed.response
Cette propriété personnalisée détermine si les réponses HTTP validées sont autorisées.
Lorsque le serveur d'applications détecte une réponse HTTP validée, il affiche un message d'erreur 403 générique. Associez cette propriété à la valeur true pour autoriser les réponses HTTP validées et éviter les messages d'erreur 403. Dans les configurations qui utilisent des modules de connexion personnalisés, le module peut valider une réponse HTTP afin d'afficher un message d'erreur personnalisé.
La valeur par défaut est false.
com.ibm.websphere.security.allowAnyLogoutExitPageHost
Quand vous utilisez un processus de connexion ou déconnexion basé sur un formulaire d'inscription, vous pouvez indiquer une adresse URL pour une page de déconnexion personnalisée. Par défaut, l'URL doit référencer l'hôte sur lequel la requête est émise ou son domaine. A défaut, une page de déconnexion générique s'affiche au lieu d'une page de déconnexion personnalisée. Pour pouvoir référencer n'importe quel hôte, vous devez définir cette propriété dans le fichier security.xml sur la valeur true. Si vous définissez cette propriété sur true, vous risquez d'exposer vos systèmes à des redirections d'URL malveillantes.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.alwaysRestoreOriginalURL
Utilisez cette propriété pour indiquer si un cookie dont la valeur est WASReqURL est respecté lorsque le processeur de connexion de formulaire personnalisé est utilisé.
Lorsque la valeur de cette propriété est true, la valeur de WASReqURL est prioritaire sur l'URL en cours et le cookie WASReqURL est supprimé des demandes suivantes.
Lorsque la valeur de cette propriété est false, la valeur de l'URL en cours est prioritaire et le cookie WASReqURL n'est pas supprimé des demandes suivantes.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.auth.setDRSBootstrap
Indique si le service de réplication de données (DRS) active la fonction DRSbootstrap.
Dans des environnements volumineux, la réplication de données de cache dynamique peut augmenter la durée nécessaire au démarrage d'un serveur. Si vous rencontrez un ralentissement au démarrage d'un serveur en raison de la réplication de données, ajoutez cette propriété à vos paramètres de sécurité de serveur et définissez-la sur false. Quand cette propriété est définie sur false, le service de réplication de données désactive la fonction DRSbootstrap.
Par défaut, cette propriété est définie sur True.
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.cms.use.default
Indique s'il faut ou non changer la version par défaut de CMSProvider et passer de la v4 à la v3 sous z/OS pour les nouveaux magasins de clés CMS générés avec WebSphere Application Server.
Pour CMSProvider version 2.50, la version de spécification par défaut est v4. Les nouveaux magasins de clés générés seront au niveau v4 et le système z/OS ne peut pas actuellement utiliser des magasins de clés CMS à la version 4. Pour les magasins de clés de ce type, vous définissez com.ibm.websphere.security.cms.use.default=true, ce qui fait passer la version par défaut de CMSProvider de la version 4 à la version 3 sous on z/OS. Si vos magasins de clés ont été générés avant ces versions Java, ils sont déjà la version 3 et fonctionneront avec CMSProvider 2.50 sous z/OS.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.config.inherit.trustedRealms
Cette propriété permet d'hériter des paramètres de domaine sécurisé global provenant de la configuration de sécurité globale du domaine.
Les domaines sécurisés entrants et sortants de configuration de sécurité ne sont pas hérités par défaut. Toutefois, dans certains cas, la configuration peut souhaiter utiliser les paramètres provenant de la configuration de sécurité globale du domaine.
La valeur de cette propriété peut être true ou false.
com.ibm.websphere.security.console.noSSLTreePortEndpoints
Cette propriété permet d'accélérer le temps de réponse pour les configurations organisées sur une grande topologie.
Quand la valeur de cette propriété est true, le statut des noeuds finaux du port SSL ne s'affiche pas dans la page Gérer les configurations de sécurité des noeuds finaux, dans la console d'administration. Quand le statut des noeuds finaux du port SSL s'affiche dans la console d'administration, le temps de réponse est parfois si long qu'il semble que la console ne fonctionne plus.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.continueAfterTAIError
Cette propriété vous dirige automatiquement vers une page de connexion si un intercepteur de relations de confiance personnalisé renvoie une erreur.
Il n'est pas nécessaire d'entrer une adresse URL dans votre navigateur pour essayer de vous connecter à nouveau. La propriété doit avoir la valeur true pour que ce comportement soit appliqué.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.customLTPACookieName
Cette propriété permet de personnaliser le nom des cookies utilisés pour les jetons LTPA (Lightweight Third Party Authentication).
WebSphere Application Server version 8.0 vous permet de personnaliser le nom des cookies utilisés pour les jetons LTPA et LTPA2. Les noms de cookie personnalisés vous permettent de séparer logiquement l'authentification entre les domaines SSO (Single Sign-On) et d'activer l'authentification à un environnement particulier.
Pour bénéficier de cette fonctionnalité, vous devez définir une propriété personnalisée. Pour les jetons LTPA, la propriété personnalisée com.ibm.websphere.security.customLTPACookieName peut être définie par une chaîne valide (les caractères spéciaux et les espaces ne sont pas autorisés) pour le cookie du jeton LTPA et la propriété com.ibm.websphere.security.customSSOCookieName pour le jeton LTPA2 (SSO). Chaque propriété est sensible à la casse.
La valeur de cette propriété est une chaîne valide.
- Cette propriété, comme la plupart des propriétés personnalisées, peut être définie au niveau du domaine de sécurité. Ainsi, une connexion distincte peut être imposée entre une connexion à la console d'administration et une connexion d'application.
- Les noms de cookie par défaut LtpaToken ou LtpaToken2 sont acceptés et accrédités par WebSphere Application Server version 8.0. Cela permet d'assurer la compatibilité avec des produits, tels que Lotus® Domino® et WebSphere Portal qui utilisent tous les deux le nom de cookie par défaut.
- Définir un nom de cookie personnalisé peut provoquer un échec d'authentification. Par exemple, une connexion à un serveur disposant d'une propriété de cookie personnalisé définie envoie ce cookie personnalisé au navigateur. Une connexion ultérieure à un serveur qui utilise soit le nom de cookie par défaut ou un autre nom de cookie n'est pas en mesure d'authentifier la demande via une validation du cookie entrant.
- Cette propriété ne fonctionne pas correctement dans un environnement de cellule mixte. Par exemple, un gestionnaire de déploiement de WebSphere Application Server version 8.0 peut être en mesure de créer des cookies personnalisés. En revanche, un noeud ou un serveur WebSphere Application Server Version 7.0 existant dans cette même cellule ne comprend pas ce qu'il doit faire avec ce cookie et par conséquent le rejette.
- Si vous utilisez un produit qui interagit avec WebSphere Application Server générant des jetons LTPA, par exemple Lotus Domino ou WebSphere Portal, gardez à l'esprit que ces produits n'acceptent pas forcément des noms de cookies LTPA personnalisés. Consultez la documentation de votre produit concernant le traitement des noms de cookies LTPA personnalisés.
com.ibm.websphere.security.customSSOCookieName
Cette propriété permet de personnaliser le nom des cookies utilisés pour les jetons LTPA2 (Lightweight Third Party Authentication Version 2).
WebSphere Application Server version 8.0 vous permet de personnaliser le nom des cookies utilisés pour les jetons LTPA et LTPA2. Les noms de cookie personnalisés vous permettent de séparer logiquement l'authentification entre les domaines SSO (Single Sign-On) et d'activer l'authentification à un environnement particulier.
Pour bénéficier de cette fonctionnalité, vous devez définir une propriété personnalisée. Pour les jetons LTPA, la propriété personnalisée com.ibm.websphere.security.customLTPACookieName peut être définie par une chaîne valide (les caractères spéciaux et les espaces ne sont pas autorisés) pour le cookie du jeton LTPA et la propriété com.ibm.websphere.security.customSSOCookieName pour le jeton LTPA2 (SSO). Chaque propriété est sensible à la casse.
La valeur de cette propriété est une chaîne valide.
- Cette propriété, comme la plupart des propriétés personnalisées, peut être définie au niveau du domaine de sécurité. Ainsi, une connexion distincte peut être imposée entre une connexion à la console d'administration et une connexion d'application.
- Les noms de cookie par défaut LtpaToken ou LtpaToken2 sont acceptés et accrédités par WebSphere Application Server version 8.0. Cela permet d'assurer la compatibilité avec des produits, tels que Lotus Domino et WebSphere Portal qui utilisent tous les deux le nom de cookie par défaut.
- Définir un nom de cookie personnalisé peut provoquer un échec d'authentification. Par exemple, une connexion à un serveur disposant d'une propriété de cookie personnalisé définie envoie ce cookie personnalisé au navigateur. Une connexion ultérieure à un serveur qui utilise soit le nom de cookie par défaut ou un autre nom de cookie n'est pas en mesure d'authentifier la demande via une validation du cookie entrant.
- Cette propriété ne fonctionne pas correctement dans un environnement de cellule mixte. Par exemple, un gestionnaire de déploiement de WebSphere Application Server version 8.0 peut être en mesure de créer des cookies personnalisés. En revanche, un noeud ou un serveur WebSphere Application Server Version 7.0 existant dans cette même cellule ne comprend pas ce qu'il doit faire avec ce cookie et par conséquent le rejette.
- Si vous utilisez un produit qui interagit avec WebSphere Application Server générant des jetons LTPA, par exemple Lotus Domino ou WebSphere Portal, gardez à l'esprit que ces produits n'acceptent pas forcément des noms de cookies LTPA personnalisés. Consultez la documentation de votre produit concernant le traitement des noms de cookies LTPA personnalisés.
com.ibm.websphere.security.delegateStarStarRoleAuthorization
- true - Le code de sécurité accorde des droits d'accès sans interagir avec la table d'autorisations enfichable.
- false - Le code de sécurité délègue la décision à la table d'autorisations enfichable. Il s'agit de la valeur par défaut.
com.ibm.websphere.security.displayRealm
Cette propriété indique si la fenêtre de connexion pour l'authentification de base HTTP affiche le nom de domaine qui n'est pas défini dans le fichier web.xml de l'application.
- Si la propriété est associée à la valeur false, le nom de domaine WebSphere qui s'affiche est le domaine par défaut.
- Si la propriété est associée à la valeur true, le nom de domaine WebSphere qui s'affiche est le nom de domaine du registre d'utilisateurs pour le mécanisme d'authentification LTPA ou le nom de domaine Kerberos pour le mécanisme d'authentification Kerberos.
Information | valeur |
---|---|
Valeur par défaut | false |
Type | Chaîne |
com.ibm.websphere.security.disableGetTokenFromMBean
Cette propriété permet de désactiver l'appel SOAP sortant pour extraire l'objet du serveur d'origine lorsque la connexion unique est activée.
En général, lorsque la connexion unique est activée et une demande entrante doit être authentifiée, le serveur récepteur tente d'extraire l'authentification à partir du serveur d'origine. La connexion entre les serveurs émetteur et récepteur n'expire jamais au cours de ce processus de rappel.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.enableAuditForIsCallerInRole
Cette propriété permet d'activer l'audit pour l'appel de méthode isCallerInRole.
Si vous définissez cette propriété sur false, l'audit de l'appel de isCallerInRole est désactivé. Sous z/OS, aucun enregistrement SMF n'est émis pour l'appel.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
Utilisez cette propriété si l'utilisateur fourni par un intercepteur de relations de confiance est introuvable dans le registre d'utilisateurs, de sorte qu'une page de connexion s'affiche à la place d'une page d'erreur.
Lorsque l'utilisateur fourni par un intercepteur de relations de confiance est introuvable dans le registre d'utilisateurs, WebSphere Application Server affiche une page d'erreur. Pour adapter ce comportement, associez cette propriété à la valeur true. La page de connexion est alors affichée. Le paramètre par défaut pour cette propriété est false, et le comportement normal pour WebSphere Application Server consiste à afficher une page d'erreur.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.initializeRSAProperties
Si le niveau d'utilisation de l'UC observé dans un environnement de gestionnaire de travaux ou d'agent d'administration après l'exécution du contrôleur d'expiration de certificat est élevé, vous devrez peut-être distribuer des noeuds sur plusieurs serveurs afin de réduire la charge de l'UC sur un serveur.
Si cette propriété a pour valeur false, WebSphere ne procède pas à la réinitialisation des propriétés SSL liées au jeton RSA. Avant d'affecter la valeur false à cette propriété, vérifiez que le gestionnaire de travaux ou l'agent d'administration ne sont pas utilisés dans votre environnement. Ces fonctions nécessitent des jetons RSA et cette propriété ne doit pas être utilisée.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.websphere.security.InvokeTAIbeforeSSO
Cette propriété permet de modifier l'ordre d'appel par défaut des TAI (Trust Association Interceptor) en relation avec l'authentification des utilisateurs SSO (Single Sign On). L'ordre par défaut est d'appeler les TAI après SSO. Cette propriété permet de changer cet ordre. La valeur indique une liste séparée par des virgules (,) des noms de classes TAI à appeler avant SSO.
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
Type | Chaîne |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
Par défaut, quand vous créez des entrées de données d'authentification JAAS au niveau de la sécurité du domaine, les noms d'alias de ces entrées ont le format nom_alias. Pour ajouter le nom de noeud au nom d'alias et obtenir un nom d'alias au format nom noeud/nom alias pour l'entrée, définissez la propriété suivante au niveau de la sécurité du domaine.
Vous pouvez entrer com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true au niveau de la sécurité globale pour ajouter le nom de noeud au nom d'alias dans les entrées des données d'authentification JAAS pour tous les domaines de sécurité.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
Par défaut, quand vous créez des entrées de données d'authentification JAAS au niveau de la sécurité globale, les noms d'alias de ces entrées ont le format nom_noeud/nom_alias. Pour éviter d'ajouter le nom de noeud au nom d'alias pour ces entrées, affectez la valeur true à cette propriété au niveau de la sécurité globale.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.krb.canonical_host
Cette propriété personnalisée indique si le serveur d'applications utilise la forme canonique du nom d'hôte URL/HTTP pour authentifier un client. Cette propriété peut être utilisée à la fois pour SPNEGO TAI et SPNEGO Web.
CWSPN0011E: un jeton SPNEGO non valide a été détecté lors de l'authentification d'un HttpServletRequest
Si
vous associez la propriété personnalisée à la valeur true, vous pouvez éviter
ce message d'erreur et permettre au serveur d'applications d'effectuer l'authentification
à l'aide de la forme canonique du nom d'hôte URL/HTTP.Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.websphere.security.ldap.logicRealm
Cette propriété permet de changer le nom du domaine placé dans le jeton.
Utilisez la propriété personnalisée pour configurer chaque cellule de sorte qu'elle possède son propre hôte LDAP pour l'interopérabilité et la compatibilité amont. Elle permet également d'ajouter ou de supprimer dynamiquement l'hôte LDAP. Si vous migrez depuis une installation précédente, le nom de domaine modifié n'entre en vigueur qu'après avoir réactivé la sécurité d'administration. Pour être compatible avec une édition antérieure qui ne prend pas en charge le domaine logique, le nom doit être identique à celui utilisé par l'installation précédente. Vous devez utiliser le nom d'hôte LDAP, y compris le caractère deux points et le numéro de port.
Information | valeur |
---|---|
Type | String (chaîne) |
- Sélectionnez Sécurité > Sécurité globale.
- Sous Référentiel du compte d'utilisateur, développez la liste Définitions de superdomaines disponibles, sélectionnez Registre LDAP autonome puis cliquez sur Configurer.
- Sous Propriétés personnalisées, cliquez sur Nouveau puis dans la zone Nom, entrez com.ibm.websphere.security.ldap.logicRealm et dans la zone Valeur le nouveau nom du superdomaine disponible dans le jeton.
- Sélectionnez cette propriété personnalisée puis cliquez sur Appliquer ou sur OK.
com.ibm.websphere.security.ldapSSLConnectionTimeout
Utilisez cette propriété, lorsque SSL est activé sur le serveur LDAP, pour spécifier, en millisecondes, la durée maximale pendant laquelle la machine virtuelle Java (JVM) attend une connexion socket avant d'émettre un dépassement du délai d'attente.
Si un ou plusieurs serveurs LDAP autonomes sont hors ligne lorsqu'un processus serveur démarre, et si LDAP-SSL est activé, il se peut que la procédure de démarrage ait un retard de trois minutes au maximum même si vous spécifiez une valeur pour la propriété personnalisée com.sun.jndi.ldap.connect.timeout. Lorsque LDAP-SSL est activé, toute valeur spécifiée pour la propriété com.sun.jndi.ldap.connect.timeout est ignorée.
Lorsqu'une valeur est définie pour cette propriété, la machine JVM tente d'utiliser la valeur de délai d'attente de connexion lors de la tentative de connexion de socket au lieu de tenter d'établir un contexte d'annuaire. Dans le cas contraire, la machine JVM tente d'établir un contexte d'annuaire.
Cette propriété n'a pas de valeur par défaut.
com.ibm.websphere.security.logoutExitPageDomainList
Quand vous utilisez un processus de connexion ou déconnexion basé sur un formulaire d'inscription, vous pouvez indiquer une adresse URL pour une page de déconnexion personnalisée. Par défaut, l'URL doit référencer l'hôte sur lequel la requête est émise ou son domaine. A défaut, une page de déconnexion générique s'affiche au lieu d'une page de déconnexion personnalisée. Si vous avez besoin de référencer un autre hôte, vous pouvez renseigner cette propriété dans le fichier security.xml avec une liste d'URL autorisées pour cette page de déconnexion, séparées par des barres droites (|).
Information | valeur |
---|---|
Valeur par défaut | Aucune |
com.ibm.websphere.security.performTAIForUnprotectedURI
Cette propriété permet de définir le comportement d'appel TAI lorsque l'option Utiliser les données d'authentification disponibles quand un URI protégé est accédé est sélectionnée dans la console d'administration.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.recoverContextWithNewKeys
Cette propriété a des conséquences sur le comportement lors de la désérialisation d'un contexte de sécurité précédemment enregistré comme partie du traitement de sécurité asynchrone pour les services Web ou les beans asynchrones.
Si la valeur de cette propriété est true, le contexte de sécurité peut être désérialisé même si les clés LTPA ont été modifiées depuis la désérialisation du contexte. Cette propriété doit avoir la valeur true si la désérialisation de contexte de sécurité échoue et renvoie une exception WSSecurityException contenant le message, Validation of LTPA token failed due to invalid keys or token type.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.rsaCertificateAliasCache
Cette propriété permet de contrôler la taille de la mémoire cache des alias.
La valeur par défaut est 5000 et peut être augmentée pour les déploiements de plus grande taille. Il n'est pas nécessaire d'ajouter cette propriété si la topologie de gestionnaire de travaux ne dépasse pas 5 000 noeuds enregistrés.
La valeur doit être comprise entre 1 et N, où N est un entier positif supérieur ou égal au nombre de noeuds enregistrés dans le gestionnaire des travaux.
Information | valeur |
---|---|
Valeur par défaut | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
Cette propriété permet de définir un nom de chemin unique à chaque fois qu'un cookie WASReqURL est généré.
Un navigateur peut conserver plusieurs cookies WASReqURL, tant que chaque cookie possède un nom de chemin unique. Lorsque cette propriété est associée à la valeur true, un nom de chemin unique est défini à chaque fois qu'un cookie WASReqURL est généré. Par conséquent, si plusieurs applications utilisent la connexion par formulaire comme méthode de connexion installée sur le même serveur d'applications, spécifiez cette propriété parmi vos paramètres de sécurité pour ce serveur d'applications, et associez-la à la valeur true.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.skip.canonical.lookup
Utilisez cette propriété si vous devez passer la recherche canonique pour un nom d'hôte spécifique. La valeur que vous spécifiez est sensible à la casse et doit correspondre au nom d'hôte dans le filtre SPNEGO.
WebSphere Application Server attend que l'API Java java.net.InetAddress #getCanonicalHostName() renvoie un nom d'hôte. Dans certains cas, l'API renvoie une représentation de chaîne d'adresse IP à la place d'un nom d'hôte. WebSphere Application Server ne peut alors pas reconnaître que la demande entrante doit être évaluée pour l'authentification SPNEGO.
Si cela se produit, ajoutez cette propriété personnalisée dans vos paramètres de configuration de sécurité et attribuez-lui le nom d'hôte pour lequel vous ne voulez pas effectuer de recherche canonique.
myhost1.mycompany.com|myhost2.mycompany.com
Information | valeur |
---|---|
Valeur par défaut | Aucun |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
Cette propriété permet de s'assurer qu'un mappage entre un principal Kerberos et un ID RACF est effectué pour une authentification Web SPNEGO.
Si vous n'ajoutez pas cette propriété à vos paramètres de sécurité et que la valeur true lui est attribuée, aucun mappage entre un principal Kerberos et un ID RACF n'est effectué pour l'authentification Web SPNEGO.

Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.strictCredentialExpirationCheck
Indique si la vérification de l'expiration des justificatifs a lieu pour un appel d'EJB local. Généralement, lorsqu'un EJB appelle un autre EJB situé sur une machine locale, un appel de méthode directe se produit même si les données d'identification de l'appelant initial expirent avant que l'appel EJB local se produise.
Si cette propriété prend la valeur true, une vérification d'expiration de données d'identification a lieu sur un appel EJB local avant que l'EJB ne soit appelé sur la machine locale. Si les données d'identification ont expiré, l'appel EJB est rejeté.
Si cette propriété est définie sur false, aucune vérification de l'expiration des données d'identification n'est effectuée pour un appel EJB local.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
Cette propriété permet de spécifier le délai pendant lequel le serveur récepteur attend un appel SOAP sortant avant d'extraire l'authentification appropriée du serveur d'origine lorsque la connexion unique est activée.
Cette propriété n'a pas de valeur par défaut. Si aucune valeur n'est indiquée, la valeur de délai d'attente SOAP globale est utilisée comme valeur de délai d'attente pour la connexion SOAP.
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
Utilisez cette propriété pour indiquer que le registre d'utilisateurs actif doit être utilisé lors de la création d'un nouveau jeton de connexion unique (SSO) par défaut.
En général, un jeton SSO par défaut est créé à chaque fois qu'il existe une non concordance entre l'ID d'accès du jeton d'authentification SSO entrant et le nom principal dans le jeton d'autorisation. Cette non concordance peut être due à des domaines différents. Par exemple, une non concordance survient si le domain admin utilise un registre LocalOS alors que le registre actif est LDAP.
Associez cette propriété à la valeur true pour que les nouveaux jetons SSO soient créés avec le registre LDAP.
La valeur par défaut de cette propriété est false.
com.ibm.websphere.security.useLoggedSecurityName
Il s'agit d'une propriété personnalisée des registres d'utilisateurs. Cette propriété altère le comportement de création WSCredential.
La valeur false indique que le nom d'entité renvoyé par un registre d'utilisateurs est toujours utilisé pour construire WSCredential.
La valeur true indique qu'un nom de sécurité fourni par le module de connexion ou un nom d'affichage fourni par un registre d'utilisateur est utilisé. Ce paramètre est compatible avec WebSphere Application Server version 6.1 et antérieures.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
Cette propriété définit le délai d'inactivité en millisecondes d'une session CSIv2 avant sa suppression. La session est supprimée si la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled est définie sur true et que la taille maximale du cache de sessions CSIv2 est dépassée.
- Développez la section Sécurité et cliquez sur Sécurité globale.
- Développez la section Sécurité RMI/IIOP et cliquez sur Communications sortantes CSIv2 .
La plage de valeurs de cette propriété personnalisée est comprise entre 60 000 et 86 400 000 entrées. Aucune valeur n'est définie par défaut.
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
Cette propriété personnalisée indique s'il est nécessaire de limiter la taille du cache des sessions CSIv2.
Lorsque vous affectez à cette propriété personnalisée la valeur true, vous devez définir les valeurs des propriétés personnalisées com.ibm.websphere.security.util.csiv2SessionCacheIdleTime et com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Lorsque vous affectez la valeur false à cette propriété personnalisée, le cache des sessions CSIv2 n'est pas limité. Par défaut, la propriété à la valeur false.
Affectez la valeur true à la propriété si l'environnement utilise l'authentification Kerberos et que le décalage de son horloge est minime pour le centre KDC (Key Distribution Center) configurée. Dans ce scénario, un faible décalage d'horloge est inférieur à 20 minutes. Si le décalage d'horloge est faible, un grand nombre de sessions CSIv2 peuvent être rejetées. Toutefois, si vous entrez une petite valeur pour la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheIdleTime, le serveur d'applications peut effacer les sessions rejetées plus fréquemment et réduire potentiellement le manque de ressources.
- Développez la section Sécurité et cliquez sur Sécurité globale.
- Développez la section Sécurité RMI/IIOP et cliquez sur Communications sortantes CSIv2 .
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
Cette propriété définit la taille maximale du cache des sessions au-delà de laquelle les sessions ayant expiré sont supprimées du cache.
Les sessions ayant expiré sont des sessions qui restent inactives plus longtemps que le délai défini dans la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Lorsque vous utilisez la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheMaxSize, définissez une valeur comprise entre 100 et 1 000.
Définissez une valeur dans cette la propriété si l'environnement utilise l'authentification Kerberos et que le décalage de son horloge est minime pour le centre KDC (Key Distribution Center) configuré. Dans ce scénario, un faible décalage d'horloge est inférieur à 20 minutes. Augmentez la valeur de la propriété si une petite taille de cache amène la récupération d'espace à s'exécuter fréquemment et affecte alors les performances du serveur d'applications.
La propriété s'applique uniquement si vous activez les sessions avec état, affectez à la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled la valeur true et définissez la propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheIdleTime.
- Développez la section Sécurité et cliquez sur Sécurité globale.
- Développez la section Sécurité RMI/IIOP et cliquez sur Communications sortantes CSIv2 .
La plage de valeurs de cette propriété personnalisée est comprise entre 100 et 1 000 entrées. Aucune valeur n'est définie par défaut.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.util.postParamMaxCookieSize
Cette propriété définit une taille limite pour les cookies WASPostParam générés par le code de sécurité.
Information | valeur |
---|---|
Valeur par défaut | Aucune |
com.ibm.websphere.security.web.removeCacheOnFormLogout
Cette propriété personnalisée permet d'indiquer si un objet placé en mémoire cache est supprimé du cache d'authentification et du cache dynamique lorsqu'une déconnexion par formulaire se produit. Une déconnexion par formulaire est un mécanisme qui permet à un utilisateur de se déconnecter d'une application sans avoir à fermer toutes les sessions de navigateur Web.
Lorsque cette propriété est définie sur false, les entrées de cache correspondantes ne sont pas supprimées du cache d'authentification et du cache dynamique lorsqu'une déconnexion par formulaire se produit. Par conséquent, si le même utilisateur se reconnecte après une déconnexion par formulaire, l'objet mis en mémoire cache est réutilisé.

Lorsque cette propriété est définie sur true, les entrées mises en mémoire cache sont supprimées du cache d'authentification et du cache dynamique lorsqu'une déconnexion par formulaire se produit.
La valeur par défaut est true.
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
Cette propriété personnalisée détermine le comportement de génération des cookies pour les jetons LTPA (Lightweight Third Party Authentication) pour les demandes de ressource Web entrantes.
Lorsque cette propriété est associée à la valeur true, le serveur d'applications génère et définit un cookie de jeton LTPA pour toutes les demandes de ressources authentifiées, que la demande concerne des ressources Web protégées ou non protégées. Ce comportement est différent de celui qui est défini dans WebSphere Application Server version 6.1 et peut empêcher certaines applications développées pour la version 6.1 de fonctionner dans des versions ultérieures.
Associez cette propriété à la valeur false pour générer un cookie de jeton LTPA pour les ressources Web protégées uniquement. Ce comportement est compatible avec WebSphere Application Server version 6.1.
La valeur par défaut est true.
com.ibm.websphere.security.webAlwaysLogin
Cette propriété indique si la méthode login() émet une exception lorsqu'une identité a déjà été authentifiée. Vous pouvez remplacer ce comportement en associant cette propriété à la valeur true.
Information | valeur |
---|---|
Valeur par défaut | false |
Type | Chaîne |
com.ibm.websphere.ssl.include.ECCiphers
Cette propriété personnalisée indique si WebSphere Application Server inclut les chiffrements ECC (Elliptical Curve Cryptography) dans la suite de chiffrement par défaut.
Si cette propriété n'est pas définie ou si elle a pour valeur false, le serveur d'applications n'inclut pas les chiffrements ECC par défaut. Associez la propriété à la valeur true pour inclure les chiffrements ECC dans la liste des suites de chiffrement par défaut. Si SP800-131a ou Suite B est activé, les chiffrements ECC sont toujours inclus par défaut.
Information | valeur |
---|---|
Valeur par défaut | true |
Type | Chaîne |
com.ibm.websphere.ssl.retrieveLeafCert
Cette propriété personnalisée permet d'extraire de la fonction de port un certificat feuille à la place d'un certificat racine.
L'extraction depuis un port doit extraire un certificat feuille au lieu d'un certificat racine. Pour obtenir le certificat racine, il est nécessaire d'affecter à une propriété personnalisée com.ibm.websphere.ssl.retrieveLeafCert la valeur true.
Lorsque cette propriété n'est pas définie ou a la valeur false, l'extraction depuis la fonction de port extrait le certificat racine. Affectez à cette propriété la valeur true si vous voulez que la fonction d'extraction extrait le certificat feuille à la place du certificat racine.
Information | valeur |
---|---|
Valeur par défaut | false |
Type | Chaîne |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
Cette propriété personnalisée permet de définir l'attribut HTTPOnly des cookies de connexion unique (SSO).
Vous pouvez utiliser la propriété personnalisée com.ibm.ws.security.addHttpOnlyAttributeToCookies pour protéger les cookies qui contiennent des valeurs positives. Lorsque vous affectez à cette propriété personnalisée la valeur true, le serveur d'applications définit l'attribut HTTPOnly des cookies SSO dont les valeurs sont définies par le serveur. L'attribut HTTPOnly active la protection des données importantes dans les cookies.
En outre, la valeur true permet au serveur d'applications de reconnaître, d'accepter et de traiter correctement les cookies entrants avec des attributs HTTPOnly et empêche les scripts CSS (cross-site scripting) d'accéder aux informations importantes dans les cookies.
Les scripts CSS, qui affectent les serveurs Web, sont un problème de sécurité courant. Ces scripts sont une faille de sécurité côté serveur, qui est généralement créée lorsque l'entrée utilisateur est rendue dans le format HTML. Les attaques de script CSS peuvent exposer les données confidentielles sur les utilisateurs du site Web. La plupart des navigateurs Web actuels acceptent l'attribut HTTPOnly pour bloquer cette attaque. Un cookie comportant cet attribut s'appelle un cookie HTTPOnly. Les informations qui figurent dans un cookie HTTPOnly sont moins susceptibles d'être communiquées à un pirate informatique ou un site Web malveillant. Pour plus d'informations sur l'attribut HTTPOnly, voir le site Web Open Web Application Security Project (OWASP).
- JSESSIONID
- Cookies SSO créés par les authentificateurs ou les fournisseurs d'un autre éditeur de logiciels
- Cookies client ou de navigateur qui ne contiennent pas déjà l'attribut HTTPOnly
- Cliquez surSécurité > Sécurité globale.
- Sous Authentification, cliquez sur Sécurité Web et SIP > Connexion unique (SSO).
Information | valeur |
---|---|
Valeur par défaut | true |
Type | Booléenne |
com.ibm.ws.security.allowNonAdminToSecurityXML
Cette propriété indique si les rôles de sécurité non administrateur sont autorisés à modifier le fichier security.xml. Si vous associez cette propriété à la valeur true, les rôles de sécurité non administrateur peuvent modifier le fichier security.xml. A compter de la version 6.1, par défaut, les rôles de sécurité non admin sont habilités à modifier le fichier security.xml.
Information | valeur |
---|---|
Valeur par défaut | false |
Type | Booléenne |
com.ibm.ws.security.config.SupportORBConfig
Indique si les propriétés de la fonction ORB doivent être recherchées. Cette propriété doit être définie en tant que propriété système. Vous définissez cette propriété par true ou yes afin de rechercher les propriétés de la fonction ORB. La fonction ORB est totalement ignorée avec tous les autres paramétrages.
La propriété doit être utilisée lorsqu'un client d'application connectable se connecte à WebSphere Application Server. Plus précisément, cette propriété est utilisée lorsqu'une mappe de hachage contenant des propriétés de sécurité est transmise dans une mappe de hachage sur un nouvel appel InitialContext(env).
com.ibm.ws.security.createTokenSubjectForAsynchLogin
Dans cette édition, les données de jeton LTPA réelles ne sont pas disponibles à partir d'un appel WSCredential.getCredentialToken() lorsque ce dernier est effectué à partir d'un proxy conceptuel ou d'un bean asynchrone. Dans une configuration existante, vous pouvez ajouter la propriété personnalisée com.ibm.ws.security.createTokenSubjectForAsynchLogin avec la valeur true pour permettre la transmission du jeton LTPA aux proxy conceptuels ou aux beans asynchrones. Cette propriété permet aux portlets de réussir la transmission du jeton LTPA. Cette propriété personnalisée est sensible à la casse. Vous devez redémarrer le serveur d'applications après avoir ajouté cette propriété personnalisée.

Information | valeur |
---|---|
Valeur par défaut | non applicable |
com.ibm.ws.security.defaultLoginConfig
Cette propriété est la configuration de connexion JAAS utilisée pour les connexions n'appartenant pas aux catégories WEB_INBOUND, RMI_OUTBOUND ou RMI_INBOUND.
L'authentification interne et les protocoles qui ne possèdent pas de points de connexion JAAS spécifiques appellent la configuration de connexion référencée par la configuration com.ibm.ws.security.defaultLoginConfig.
Information | valeur |
---|---|
Valeur par défaut | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
Utilisez le propriété personnalisée com.ibm.ws.security.failSSODuringCushion pour mettre à jour les données d'objet personnalisées JAAS du jeton LTPA.
Lorsque vous ne définissez pas cette propriété personnalisée sur true, les nouveaux objets JAAS peuvent ne pas contenir les données d'objet JAAS personnalisées.
La valeur par défaut est true.
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
Utilisez la propriété personnalisée com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA pour corriger une erreur de "nom de bibliothèque non valide" lorsque vous tentez d'utiliser un fichier de clés de type PKCS11 avec un client Java.
En outre, utilisez cette propriété personnalisée si vous utilisez le fournisseur IBMJCECCA,
car les systèmes d'exploitation répartis et z/OS utilisent des types de fournisseurs différents pour la cryptographie matérielle.
Le fichier ssl.client.props pointe vers un fichier de configuration qui pointe lui-même vers le nom de bibliothèque de l'unité cryptographique. Le code du client Java recherche un type de fichier de clés pour obtenir le nom de fournisseur correct. Sans cette propriété personnalisée, la constante de type de fichier de clés pour PKCS11 n'est pas définie correctement, car elle fait référence au fournisseur IBMPKCS11Impl. En outre, le code LTPA (Lightweight Third Party Authentication) utilise la liste des fournisseurs pour déterminer le fournisseur JCE (Java Cryptography Extension). Cette méthode pose un problème lorsque l'accélération SSL (Secure Sockets Layer) est utilisée, car le fournisseur IBMPKCS11Impl doit figurer avant le fournisseur IBMJCE dans le fichier java.security.
Cette propriété personnalisée corrige les deux problèmes pour que SSL et les autres mécanismes cryptographiques puissent utiliser l'accélération matérielle.

Définissez cette propriété personnalisée sur true lorsque vous souhaitez utiliser un fichier de clés de type PKCS11 avec un client Java.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.ws.security.ltpa.useCRT
Utilisez cette propriété pour améliorer l'utilisation de l'UC lors de l'opération sign() qui intervient lorsqu'un nouveau jeton LTPA2 (SSO) est créé. Si la valeur de cette propriété est true, le produit implémente l'algorithme CRT (Chinese Remainder Theorem) lors de la signature du nouveau jeton. Cette propriété n'a aucune incidence sur l'ancien jeton LTPA.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
Utilisez le propriété personnalisée com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA pour forcer la validation de jeton RSA dans le logiciel.
- Dans la console d'administration, cliquez sur Jeton RSA. et désélectionnez
- Sélectionnez Utiliser uniquement le mécanisme d'authentification de l'application active.
- Cliquez sur Propriétés personnalisées, puis sur Nouveau pour ajouter la propriété personnalisée com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA à vos paramètres de sécurité.
- Ajoutez com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA dans le champ Nom et true dans le champ Valeur.
Lorsque la valeur true est affectée à cette propriété, le fournisseur JCE est utilisé pour la validation de sécurité, à la place de IBMJCECCA.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.ws.security.ssoInteropModeEnabled
Cette propriété détermine si les cookies LtpaToken2 et LtpaToken doivent être envoyés en réponse à une demande Web (interopérabilité).
Lorsque la valeur de cette propriété est false, le serveur d'applications envoie le nouveau cookie LtpaToken2 le plus fort, mais sans interopérabilité avec d'autres produits et éditions de WebSphere Application Server antérieures à 5.1.1. Dans la plupart des cas, l'ancien cookie LtpaToken n'est pas nécessaire et vous pouvez définir cette propriété sur false.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.ws.security.unprotectedUserRegistryMethods
Définit les noms de méthode dans l'interface UserRegistry, telles que getRealm, getUsers et isValidUser, à ne pas protéger contre les accès à distance. Si vous définissez plusieurs noms de méthode, séparez-les avec un espace, une virgule, deux points et une barre de séparation. Voir votre implémentation du fichier d'interface UserRegistry pour la liste complète des noms de méthode valides.
Si vous définissez * comme valeur pour cette propriété, toutes les méthodes sont protégées contre les accès à distance. Si vous n'affectez aucune valeur à la propriété, toutes les méthodes sont protégées contre les accès à distance.
En cas de tentative d'accès à distance à une méthode protégée de l'interface UserRegistry, la processus distant reçoit une exception CORBA NO_PERMISSION avec le code mineur 49421098.
Cette propriété n'a pas de valeur par défaut.
com.ibm.ws.security.web.saml.disableDecodeURL
Cette propriété fournit une option permettant de désactiver le décodage d'URL.
Lorsque SAML Web SSO (connexion unique Web SAML) et SAML TAI sont appelés, un cookie est définie pour stocker l'URL de la demande d'origine. Après authentification, l'URL d'origine est décodée avant d'être envoyée sous forme de redirection. Lorsque cette valeur est définie sur true, l'URL d'origine pour la redirection est utilisée dans décodage de l'URL. Pour définir cette propriété avec la console d'administration, cliquez sur Sécurité > Sécurité globale > Propriétés personnalisées. Cliquez sur Nouveau pour ajouter une propriété personnalisée et sa valeur.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
Cette propriété détermine le comportement d'une connexion unique LtpaToken2.
Si le jeton contient une clé de cache personnalisée et que le sujet personnalisé est introuvable, le jeton est utilisé pour la connexion directe, car les informations personnalisées doivent être recollectées si la propriété a la valeur true. Une demande d'authentification se produit également, nécessitant que l'utilisateur se connecte à nouveau. Lorsque cette propriété est définie sur false et que le sujet personnalisé est introuvable, LtpaToken2 est utilisé pour se connecter et regrouper tous les attributs du registre. Cependant, le jeton peut n'obtenir aucun attribut spécial que des applications en aval attendent.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.ws.security.webInboundLoginConfig
Cette propriété est la configuration de connexion JAAS utilisée pour des demandes Web reçues en entrée.
Si vous connaissez la configuration de connexion, vous pouvez insérer un module de connexion personnalisé pouvant gérer des cas particuliers pour les connexions Web.
Information | valeur |
---|---|
Valeur par défaut | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
Cette propriété détermine si un cookie LtpaToken2 reçu doit rechercher en local des attributs propagés avant le serveur de connexion d'origine indiqué dans le jeton. Une fois les attributs propagés reçus, le sujet est régénéré et les attributs personnalisés conservés.
Vous pouvez configurer le service de réplication de données (DRS) pour envoyer les attributs propagés à des serveurs frontaux, de sorte qu'une recherche dans la mémoire cache dynamique locale puisse trouver les attributs propagés. Sinon, une demande MBean est envoyée au serveur de connexion d'origine pour récupérer ces attributs.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
Cette propriété indique si les utilisateurs seront déconnectés après l'expiration du minuteur de session HTTP.
Information | valeur |
---|---|
Valeur par défaut | false |
Obligatoire | false |
Type de données | booléen |
com.ibm.ws.security.WSSecureMapInitAtStartup
Cette propriété établit que le cache de sécurité (WSSecureMap) qui fait partie du cache dynamique est initialisé pour propager les attributs de sécurité.
Information | valeur |
---|---|
Valeur par défaut | true |
com.ibm.ws.security.WSSecureMapSize
Cette propriété spécifie la taille du cache de sécurité (WSSecureMap).
Information | valeur |
---|---|
Valeur par défaut | 100 |
![[z/OS]](../images/ngzos.gif)
com.ibm.ws.security.zOS.useSAFidForTransaction
Cette propriété permet à un serveur d'utiliser l'identité de l'utilisateur pour la tâche démarrée par z/OS en tant qu'identité du serveur lors de l'appel des méthodes transactionnelles, telles que commit() et prepare(), qui requièrent l'identité du serveur. Ce comportement se produit quel que soit le paramètre d'identité de serveur défini pour ce serveur.
Par exemple, un serveur peut être configuré pour utiliser l'identité de serveur générée automatiquement, même si ce n'est pas l'identité réelle stockée dans le référentiel de l'utilisateur. De plus, ce serveur peut avoir besoin de communiquer avec CICS 3.2 et CICS 3.2 requiert l'utilisation des identités SAF (System Authorization Facility). Si com.ibm.ws.security.zOS.useSAFidForTransaction a la valeur true, le serveur utilise une identité SAF au lieu de l'identité générée automatiquement pour communiquer avec CICS.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.wsspi.security.cred.refreshGroups
Cette propriété a des conséquences sur le comportement lors de la désérialisation d'un contexte de sécurité précédemment enregistré comme partie du traitement de sécurité asynchrone pour les services Web, Concurrency Utilities for Java EE ou les beans asynchrones.
Lorsque cette propriété a la valeur true, les groupes associés à cet utilisateur sont disponibles dans le registre d'utilisateurs. Si l'utilisateur est toujours présent dans le registre, les groupes du registre d'utilisateurs sont utilisés et non les groupes désérialisés dans le contexte de sécurité. Dans le cas contraire et lorsque la propriété verifyUser a la valeur false, les groupes du contexte de sécurité sont utilisés.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.wsspi.security.cred.verifyUser
Cette propriété a des conséquences sur le comportement lors de la désérialisation d'un contexte de sécurité précédemment enregistré comme partie du traitement de sécurité asynchrone pour les services Web ou les beans asynchrones.
Lorsque cette propriété a la valeur true, une recherche est effectuée dans le registre d'utilisateurs afin de vérifier que l'utilisateur provenant du contexte de sécurité existe toujours. S'il n'existe pas, une exception WSLoginFailedException est émise.
Information | valeur |
---|---|
Valeur par défaut | false |
com.ibm.wsspi.security.ltpa.tokenFactory
Cette propriété indique les fabriques de jetons LTPA (Lightweight Third Party Authentication) pouvant être utilisées pour valider les jetons LTPA.
La validation a lieu dans l'ordre où les fabriques de jetons sont indiquées, car les jetons LTPA ne possèdent pas d'ID objet précisant leur type. Le serveur d'applications valide les jetons avec chaque fabrique de jetons jusqu'à ce que la confirmation aboutisse. L'ordre indiqué pour cette propriété est le plus probable pour les jetons reçus. Indiquez plusieurs fabriques de jetons en les séparant par une barre verticale (|).
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
Cette propriété indique l'implémentation utilisée pour un jeton d'authentification dans le canevas de propagation d'attributs. La propriété fournit une implémentation d'ancien jeton LTPA comme jeton d'authentification.
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
Cette propriété indique l'implémentation utilisée pour un jeton d'autorisation. Cette fabrique de jetons encode les informations d'autorisation.
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
Cette propriété indique l'implémentation utilisée pour un jeton de propagation. Cette fabrique de jetons encode les informations de jeton de propagation.
Le jeton de propagation se trouve sur l'unité d'exécution et n'est associé à aucun sujet d'utilisateur spécifique. Le jeton suit le flux d'appels en aval chaque fois que le processus est avancé.
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
Cette propriété indique l'implémentation utilisée pour un jeton de connexion unique. Cette implémentation est le cookie défini lorsque la propagation est activée, quel que soit l'état de la propriété com.ibm.ws.security.ssoInteropModeEnabled.
Par défaut, cette implémentation est le cookie LtpaToken2.
Information | valeur |
---|---|
Valeur par défaut | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
Utilisez cette propriété pour indiquer comment traiter l'authentification d'une demande après expiration du jeton Kerberos de la demande.
Lorsque la valeur de cette propriété est true, si un jeton Kerberos ne peut pas être régénéré après son expiration, l'authentification de la demande échoue.
Lorsque cette propriété a la valeur false, l'authentification de la demande n'échoue pas même si le jeton est arrivé à expiration.
Par défaut, cette propriété a la valeur false.
security.allowCustomHTTPMethods
Utilisez cette propriété personnalisée pour autoriser les méthodes HTTP personnalisées. Il s'agit de méthodes autres que les méthodes HTTP standard qui sont DELETE, GET, HEAD, OPTIONS, POST, PUT et TRACE.
Lorsque cette propriété est associée à la valeur false, qui est la valeur par défaut, si une combinaison de masque URI et de méthode HTTP personnalisée n'est pas répertoriée dans l'élément security-constraint, la contrainte de sécurité est recherchée en fonction d'un masque URI uniquement. Si une concordance est trouvée, la valeur de l'élément <auth-constraints> est appliquée. Ce comportement réduit les risques liés à la sécurité.
Lorsque cette propriété est associée à la valeur true, les méthodes HTTP personnalisées sont traitées comme les méthodes HTTP standard. Une décision d'autorisation est effectuée par le masque URI et la méthode HTTP. Pour protéger correctement un URI cible, vérifiez que les méthodes HTTP correctes sont répertoriées dans l'élément <web-resource-collection>.
security.enablePluggableAuthentication
Cette propriété n'est plus utilisée. Employez à la place la configuration de connexion WEB_INBOUND.
- Cliquez sur .
- Dans la section Service d'authentification et d'autorisation Java, cliquez sur Connexions système.
Information | valeur |
---|---|
Valeur par défaut | true |
security.useDefaultPolicyWhenJ2SDisabled
La méthode NullDynamicPolicy.getPermissions permet de déléguer une classe de règle par défaut pour créer un objet Droits d'accès lorsque cette propriété est définie sur true. Lorsque cette propriété a la valeur false, un objet Droits d'accès vide est renvoyé.
Information | valeur |
---|---|
Valeur par défaut | false |
security.useAllSSLClientAuthKeytypes
Cette propriété permet de faire en sorte que lorsque vous agissez en tant que client lors d'un établissement de liaison SSL et utilisez l'authentification de client SSL, tous les types de clé SSL fournis par le serveur cible sont utilisés pour sélectionner un certificat client.
Lors de l'authentification de client SSL, WebSphere Application Server n'utilise pas tous les types de clés SSL fournis dans la demande de certificat envoyée par le serveur cible. WebSphere n'utilise que le type de clé SSL le plus approprié. Si le type de clé SSL ne correspond pas au type de clé SSL le plus approprié, WebSphere n'envoie pas de certificat client même si le magasin de clés comporte un certificat client SSL correct.
WAS_customUserMappingImpl
Cette propriété de sécurité est utilisée pour enficher la classe personnalisée UserMapping. Si cette valeur est définie à un niveau supérieur avec le nom de classe de mappage utilisateur personnalisée, elle est utilisée pour personnaliser le mappage d'utilisateur de certificat et/ou le mappage d'utilisateur de vérification d'identité. L'utilisateur doit placer un fichier JAR qui contient la classe personnalisée dans WAS_HOME/lib/ext.