SPNEGO TAI JVM 構成カスタム・プロパティー (非推奨)

Java™ (JVM) カスタム・プロパティーは、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) のオペレーションを制御します。

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature):

WebSphere® Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。SPNEGO フィルターの動的再ロードおよびアプリケーション・ログイン方式へのフォールバックの有効化を行うために、SPNEGO Web 認証が用意されています

depfeat
以下の JVM カスタム・プロパティーで、SPNEGO TAI オペレーションを制御します。 各アプリケーション・サーバーに異なるカスタム・プロパティーの値を指定できます。
表 1. JVM 構成のカスタム・プロパティー.

次の表では、SPNEGO JVM 構成カスタム・プロパティーを示します。

カスタム・プロパティー名 必須 値のタイプ デフォルト値 推奨値
com.ibm.ws.security.spnego.isEnabled いいえ ブール False true
com.ibm.ws.security.spnego.propertyReloadFile いいえ ストリング なし Windows の場合
C:¥temp¥TAI.props 
UNIX の場合
/tmp/TestTAI.Properties 
com.ibm.ws.security.spnego.propertyReloadTimeout いいえ 整数 なし 120
com.ibm.ws.security.spnego.useHttpFilterClass2 いいえ ブール False true
com.ibm.ws.security.spnego.isEnabled
このカスタム・プロパティーを使用して、所定のアプリケーション・サーバーでの SPNEGO TAI オペレーションを使用可能または使用不可にします。 false に設定すると、SPNEGO TAI は使用不可になり、Web 認証モジュールでのすべての Web 要求の認証に使用されません。 true に設定すると、SPNEGO TAI は使用可能になり、Web 認証モジュールでのすべての Web 要求の認証に使用されます。
com.ibm.ws.security.spnego.propertyReloadFile
アプリケーション・サーバーを停止して再始動するのが不便な場合に、このカスタム・プロパティーを使用して、SPNEGO TAI の構成プロパティーを含むファイルを識別します。 このファイルに含まれるプロパティーは、SPNEGO TAI を構成するために再ロードすることができます。
重要: 指定したファイルで定義されたプロパティーは、 管理コンソールを使用して定義されたすべてのプロパティーをオーバーライドします。

この再ロード・ファイルのサンプルは、以下のとおりです。

##########################################################
 # Template properties files for SPNEGO TAI
#  
 # Where possible defaults have been provided.
#
##########################################################

#---------------------------------------------------------
# Hostname
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.HostName=wsecurity.austin.ibm.com 

#---------------------------------------------------------
# (Optional) SpnegoNotSupportedPage
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.SpnegoNotSupportedPage=

#---------------------------------------------------------
# (Optional) NTLMTokenReceivedPage
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.NTLMTokenReceivedPage=

#---------------------------------------------------------
# (Optional) FilterClass
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.FilterClass=com.ibm.ws.spnego.HTTPHeaderFilter

#---------------------------------------------------------
# (Optional) Filter
#---------------------------------------------------------
#com.ibm.ws.spnego.SPN1.Filter=
重要: com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーが設定され、com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが設定されていない場合、SPNEGO TAI は初期化されません。
com.ibm.ws.security.spnego.propertyReloadTimeout
このカスタム・プロパティーを使用して、SPNEGO TAI が構成プロパティーを再ロードするまでに経過する時間間隔を秒単位で指定します。 また、com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーによって識別されたファイルが、最後に構成プロパティーが取得されてから変更された場合にも、SPNEGO TAI は構成プロパティーを再ロードします。 この秒単位の時間間隔は、正整数として指定する必要があります。
com.ibm.ws.security.spnego.useHttpFilterClass2
このカスタム・プロパティーを使用して、HttpHeaderFilter クラスを使用することを指定します。HttpHeaderFilter クラスは、以下を使用可能にします。
  • SPNEGO TAI フィルターで使用する != 演算子。
  • SPNEGO TAI フィルターに存在するスペース。

このプロパティーを true に設定すると、以下のフィルター仕様が正しく機能します。

user-agent!=IBM Web Services Explorer;request-url!=noSPNEGO

このプロパティーを false に設定するか、プロパティーを指定しなかった場合は、前述のフィルターは正しく機能しません。

重要:
  • com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーおよび com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが設定されていない場合、SPNEGO TAI プロパティーは、WebSphere Application Server 構成データで定義されている SPNEGO TAI カスタム・プロパティーから 1 回だけロードされます。 この 1 回限りのロードは、JVM が初期化された場合に発生します。
  • com.ibm.ws.security.spnego.propertyReloadTimeout カスタム・プロパティーが 設定され、com.ibm.ws.security.spnego.propertyReloadFile カスタム・プロパティーが 設定されていない場合、SPNEGO TAI は初期化されていません。SPNEGO TAI の JVM カスタム・プロパティーの構成方法については、WebSphere Application Server における JVM カスタム・プロパティーの構成、 HTTP 要求のフィルタリング、および SPNEGO TAI の使用可能化 (非推奨)を参照してください。
要確認: また、AdminConfig スクリプト・オブジェクトの wsadmin コマンドを使用して、com.ibm.ws.security.spnego.isEnabled カスタム・プロパティーを対話式に設定することもできます。 詳しくは、スクリプトを使用した SPNEGO TAI の JVM カスタム・プロパティーとしての使用可能化 (非推奨)を参照してください。
以下のカスタム・プロパティーは、SPNEGO TAI で直接使用されるものではありません。 ただし、コア・セキュリティー・ランタイムの オペレーションに影響を与えるものであり、 問題判別に使用することもできます。
表 2. JVM 構成のカスタム・プロパティー.

次の表では、JVM 構成カスタム・プロパティーについて説明します。

カスタム・プロパティー名 必須 値のタイプ デフォルト値 推奨値
com.ibm.security.jgss.debug いいえ ストリング なし 「off」または「all」
com.ibm.security.krb5.Krb5Debug いいえ ストリング なし 「off」または「all」
java.security.properties いいえ ストリング なし
javax.security.auth.useSubjectCredsOnly はい ブール true False
com.ibm.security.jgss.debug
このカスタム・プロパティーはオプションです。Java Generic Security Service (JGSS) アプリケーション・プログラマー・インターフェース (API) 実装における問題判別用の診断トレース情報を収集するために使用できます。 値を all または off に設定することで、トレースをそれぞれ使用可能または使用不可にすることができます。 具体的な JGSS API 情報については、「Java Generic Security Service User's Guide」を参照してください。
com.ibm.security.krb5.Krb5Debug
このカスタム・プロパティーはオプションです。JGSS 実装における、問題判別用の追加の診断トレース情報を収集するのに使用できます。 値を all または off に設定することで、トレースをそれぞれ使用可能または使用不可にすることができます。
java.security.properties
このプロパティーはオプションです。セル内の異なるアプリケーション・サーバーに異なるセキュリティー要件があり、セル全体のグローバル java.security ファイルを変更するのが不便な場合に使用されます。 このような場合、各アプリケーション・サーバーの JVM が使用する java.security ファイルの場所を指定するために java.security.properties カスタム・プロパティーが使用されます。
javax.security.auth.useSubjectCredsOnly
JGSS には、オプションの Java Authentication and Authorization Service (JAAS) ログイン・ファシリティーが含まれており、 これによってアプリケーションの JAAS ログイン・コンテキストの SubjectPrincipal クレデンシャルおよび秘密鍵が保存されます。 JGSS は、デフォルトで、クレデンシャルおよび秘密鍵を Subject から検索します。 このフィーチャーは、Java プロパティー javax.security.auth.useSubjectCredsOnly を false に設定することにより使用不可にできます。
重要: SPNEGO TAI は、オプションの JAAS ログイン・モジュールを使用しません。 javax.security.auth.useSubjectCredsOnly プロパティーは、false に設定する必要があります。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_jvm_attribs
ファイル名:rsec_SPNEGO_jvm_attribs.html