SPNEGO TAI JVM 構成カスタム・プロパティー (非推奨)
Java™ (JVM) カスタム・プロパティーは、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) のオペレーションを制御します。

WebSphere® Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。SPNEGO フィルターの動的再ロードおよびアプリケーション・ログイン方式へのフォールバックの有効化を行うために、SPNEGO Web 認証が用意されています
depfeat以下の JVM カスタム・プロパティーで、SPNEGO TAI オペレーションを制御します。
各アプリケーション・サーバーに異なるカスタム・プロパティーの値を指定できます。
カスタム・プロパティー名 | 必須 | 値のタイプ | デフォルト値 | 推奨値 |
---|---|---|---|---|
com.ibm.ws.security.spnego.isEnabled | いいえ | ブール | False | true |
com.ibm.ws.security.spnego.propertyReloadFile | いいえ | ストリング | なし | Windows の場合
UNIX の場合
|
com.ibm.ws.security.spnego.propertyReloadTimeout | いいえ | 整数 | なし | 120 |
com.ibm.ws.security.spnego.useHttpFilterClass2 | いいえ | ブール | False | true |
- com.ibm.ws.security.spnego.isEnabled
- このカスタム・プロパティーを使用して、所定のアプリケーション・サーバーでの SPNEGO TAI オペレーションを使用可能または使用不可にします。 false に設定すると、SPNEGO TAI は使用不可になり、Web 認証モジュールでのすべての Web 要求の認証に使用されません。 true に設定すると、SPNEGO TAI は使用可能になり、Web 認証モジュールでのすべての Web 要求の認証に使用されます。
- com.ibm.ws.security.spnego.propertyReloadFile
- アプリケーション・サーバーを停止して再始動するのが不便な場合に、このカスタム・プロパティーを使用して、SPNEGO TAI
の構成プロパティーを含むファイルを識別します。
このファイルに含まれるプロパティーは、SPNEGO TAI を構成するために再ロードすることができます。
重要: 指定したファイルで定義されたプロパティーは、 管理コンソールを使用して定義されたすべてのプロパティーをオーバーライドします。
この再ロード・ファイルのサンプルは、以下のとおりです。
########################################################## # Template properties files for SPNEGO TAI # # Where possible defaults have been provided. # ########################################################## #--------------------------------------------------------- # Hostname #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.HostName=wsecurity.austin.ibm.com #--------------------------------------------------------- # (Optional) SpnegoNotSupportedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.SpnegoNotSupportedPage= #--------------------------------------------------------- # (Optional) NTLMTokenReceivedPage #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.NTLMTokenReceivedPage= #--------------------------------------------------------- # (Optional) FilterClass #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.FilterClass=com.ibm.ws.spnego.HTTPHeaderFilter #--------------------------------------------------------- # (Optional) Filter #--------------------------------------------------------- #com.ibm.ws.spnego.SPN1.Filter=
重要: com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーが設定され、com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが設定されていない場合、SPNEGO TAI は初期化されません。 - com.ibm.ws.security.spnego.propertyReloadTimeout
- このカスタム・プロパティーを使用して、SPNEGO TAI が構成プロパティーを再ロードするまでに経過する時間間隔を秒単位で指定します。 また、com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーによって識別されたファイルが、最後に構成プロパティーが取得されてから変更された場合にも、SPNEGO TAI は構成プロパティーを再ロードします。 この秒単位の時間間隔は、正整数として指定する必要があります。
- com.ibm.ws.security.spnego.useHttpFilterClass2
- このカスタム・プロパティーを使用して、HttpHeaderFilter クラスを使用することを指定します。HttpHeaderFilter クラスは、以下を使用可能にします。
- SPNEGO TAI フィルターで使用する != 演算子。
- SPNEGO TAI フィルターに存在するスペース。
このプロパティーを true に設定すると、以下のフィルター仕様が正しく機能します。
user-agent!=IBM Web Services Explorer;request-url!=noSPNEGO
このプロパティーを false に設定するか、プロパティーを指定しなかった場合は、前述のフィルターは正しく機能しません。
重要:
- com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーおよび com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが設定されていない場合、SPNEGO TAI プロパティーは、WebSphere Application Server 構成データで定義されている SPNEGO TAI カスタム・プロパティーから 1 回だけロードされます。 この 1 回限りのロードは、JVM が初期化された場合に発生します。
- com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが 設定され、com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーが 設定されていない場合、SPNEGO TAI は初期化されていません。SPNEGO TAI の JVM カスタム・プロパティーの構成方法については、WebSphere Application Server における JVM カスタム・プロパティーの構成、 HTTP 要求のフィルタリング、および SPNEGO TAI の使用可能化 (非推奨)を参照してください。
要確認: また、AdminConfig スクリプト・オブジェクトの wsadmin コマンドを使用して、com.ibm.ws.security.spnego.isEnabled カスタム・プロパティーを対話式に設定することもできます。
詳しくは、スクリプトを使用した SPNEGO TAI の JVM カスタム・プロパティーとしての使用可能化 (非推奨)を参照してください。
以下のカスタム・プロパティーは、SPNEGO TAI で直接使用されるものではありません。
ただし、コア・セキュリティー・ランタイムの
オペレーションに影響を与えるものであり、
問題判別に使用することもできます。
カスタム・プロパティー名 | 必須 | 値のタイプ | デフォルト値 | 推奨値 |
---|---|---|---|---|
com.ibm.security.jgss.debug | いいえ | ストリング | なし | 「off」または「all」 |
com.ibm.security.krb5.Krb5Debug | いいえ | ストリング | なし | 「off」または「all」 |
java.security.properties | いいえ | ストリング | なし | |
javax.security.auth.useSubjectCredsOnly | はい | ブール | true | False |
- com.ibm.security.jgss.debug
- このカスタム・プロパティーはオプションです。Java Generic Security Service (JGSS) アプリケーション・プログラマー・インターフェース (API) 実装における問題判別用の診断トレース情報を収集するために使用できます。 値を all または off に設定することで、トレースをそれぞれ使用可能または使用不可にすることができます。 具体的な JGSS API 情報については、「Java Generic Security Service User's Guide」を参照してください。
- com.ibm.security.krb5.Krb5Debug
- このカスタム・プロパティーはオプションです。JGSS 実装における、問題判別用の追加の診断トレース情報を収集するのに使用できます。 値を all または off に設定することで、トレースをそれぞれ使用可能または使用不可にすることができます。
- java.security.properties
- このプロパティーはオプションです。セル内の異なるアプリケーション・サーバーに異なるセキュリティー要件があり、セル全体のグローバル java.security ファイルを変更するのが不便な場合に使用されます。 このような場合、各アプリケーション・サーバーの JVM が使用する java.security ファイルの場所を指定するために java.security.properties カスタム・プロパティーが使用されます。
- javax.security.auth.useSubjectCredsOnly
- JGSS には、オプションの Java Authentication and Authorization Service (JAAS) ログイン・ファシリティーが含まれており、
これによってアプリケーションの JAAS ログイン・コンテキストの Subject に
Principal クレデンシャルおよび秘密鍵が保存されます。
JGSS は、デフォルトで、クレデンシャルおよび秘密鍵を Subject から検索します。
このフィーチャーは、Java プロパティー javax.security.auth.useSubjectCredsOnly を
false に設定することにより使用不可にできます。
重要: SPNEGO TAI は、オプションの JAAS ログイン・モジュールを使用しません。 javax.security.auth.useSubjectCredsOnly プロパティーは、false に設定する必要があります。