보안 사용자 정의 특성
이 페이지에서 보안과 관련된 psecurity.allowCustomHTTPMethodsredefined 사용자 정의 특성을 이해할 수 있습니다.
이 관리 콘솔 페이지를 보려면 새로 작성을 클릭하여 새 사용자 정의 특성 및 관련 값을 추가합니다.
을 클릭하십시오.이 주제의 사용자 정의 특성은 설명에서 별도로 명시되지 않는 한 이전에 나열된 경로를 통해 관리 콘솔에서 설정됩니다.
com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.CSI.disablePropagationCallerList
com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
com.ibm.CSI.rmiInboundMappingConfig
com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
com.ibm.security.SAF.forceDelegation
com.ibm.security.SAF.overrideStartupAPPL
com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.auth.setDRSBootstrap
com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.delegateStarStarRoleAuthorization
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.canonical.lookupcom.ibm.websphere.security.skip.canonical.lookup
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.useDefaultPolicyWhenJ2SDisabled
- security.useAllSSLClientAuthKeytypes
- WAS_customUserMappingImpl
![[z/OS]](../images/ngzos.gif)
com.ibm.audit.field.length.limit
IBM이 보안 감사 기능을 위해 제공하는 SMF 이미터 구현에만 이 특성이 적용됩니다. 이 특성을 사용하여 변수 길이 감사 데이터를 자르는 길이(바이트)를 지정할 수 있습니다. 기본적으로 이 사용자 정의 특성이 지정되지 않고 20480의 임계값 한계가 초과되면 변수 길이 감사 데이터 필드를 128바이트로 자릅니다.

SMF 재배치 데이터에는 20480바이트의 임계값 크기 한계가 있습니다. 감사 데이터가 이 한계를 초과하는 경우 감사 레코드의 손실을 막기 위해 감사 데이터를 자릅니다.
정보 | 값 |
---|---|
기본값 | 20480 |
유형 | 1 - 512 사이의 정수 |
com.ibm.audit.report.granularity
이 특성을 사용하여 각 이벤트 유형의 감사 데이터를 얼마나 기록할지 지정할 수 있습니다. 누가 언제 무슨 자원에 어떤 조치를 취했는지와 같이 이벤트에 대한 기본 정보만 레코딩해야 하는 경우 이 특성을 높음으로 설정하면 애플리케이션 서버 성능이 개선될 수 있습니다.
이 특성에 high, medium 또는 low 값을 지정할 수 있습니다. 기본값은 low입니다.
이벤트 유형 | 높음 설정 | 중간 설정 | 낮음 설정 |
---|---|---|---|
SessionContext | sessionId | sessionId, remoteHost | sessionId, remoteHost, remoteAddr, remotePort |
PropagationContext(SAP가 사용 가능한 경우에만 보고됨) | firstCaller(사용자) | firstCaller(상세 모드가 사용 가능한 경우 callerList) | firstCaller(상세 모드가 사용 가능한 경우 callerList) |
RegistryContext | 아무것도 레코딩되지 않음 | 레지스트리 유형 | 레지스트리 유형 |
ProcessContext | 아무것도 레코딩되지 않음 | 영역 | 영역 및 상세 모드가 사용되면 도메인 |
EventContext | creationTime | creationTime, globalInstanceId | creationTime, globalInstanceId, eventTrailId 및 상세 모드가 사용되면 lastTrailId |
DelegationContext | identityName | delegationType 및 identityName | delegationType, roleName 및 identityName |
AuthnContext | 아무것도 레코딩되지 않음 | authn 유형 | authn 유형 |
ProviderContext | 아무것도 레코딩되지 않음 | provider | provider 및 providerStatus |
AuthnMappingContext | mappedUserName | mappedUserName 및 mappedSecurityRealm | mappedUserName, mappedSecurityRealm 및 mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName, action, appUserName 및 resourceName | progName, action, appUserName, resourceName, registryUserName 및 accessDecision | progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked 및 rolesGranted |
PolicyContext | 아무것도 레코딩되지 않음 | policyName | policyName 및 policyType |
KeyContext | keyLabel | keyLabel 및 keyLocation | keyLabel, keyLocation 및 certificateLifetime |
MgmtContext | 아무것도 레코딩되지 않음 | mgmtType 및 mgmtCommand | mgmtType, mgmtCommand 및 targetInfoAttributes |
com.ibm.CSI.disablePropagationCallerList
이 특성은 호출자 목록을 사용 불가능으로 설정하므로 호출자 목록을 변경할 수 없습니다. 이 특성은 다중 세션의 작성을 방지합니다.

정보 | 값 |
---|---|
기본값 | false |
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.localCommDataForNonLocalOSEnabled
사용자 레지스트리가 LocalOS 사용자 레지스트리가 아닌 경우, 이 특성을 통해 로컬 통신 데이터를 CSIv2 전송 레이어에 인증 자료로 사용할 수 있습니다.
이 특성을 true로 설정하면, 로컬 통신 전송에서 검색된 데이터는 WebSphere Application Server 프로세스에 연결하는 로컬 클라이언트의 ASID에 해당합니다. ASID에 해당하는 사용자가 사용자 레지스트리에 존재해야 합니다. WebSphere Application Server 프로세스가 CSIv2 설정 메시지를 수신하고 ID 어설션이 요청되면, 로컬 통신 전송에서 수신된 데이터를 사용하여 속성 레이어의 ID 토큰에 지정된 사용자를 어설션할 수 있는 권한이 있는 클라이언트의 유효성을 검증할 수 있습니다. 수신된 ASID가 나타내는 사용자가 관리 콘솔의 CSIv2 인바운드 인증 페이지에 있는 신뢰 ID 목록에 있으면, 이 ID를 사용하여 ID 토큰을 어설션할 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.CSI.propagateFirstCallerOnly
이 특성은 호출자 목록을 첫 번째 호출자로만 한정하므로, 호출자 목록을 변경할 수 없음을 나타냅니다. 이 특성을 true로 설정하면 여러 세션 항목이 작성될 가능성이 줄어듭니다.
이 특성은 보안 속성 전파가 사용 가능할 때 스레드에 있는 전파 토큰에 첫 번째 호출자를 로그합니다. 이 특성을 설정하지 않으면 모든 호출자 전환이 로그되어, 성능에 영향을 미칩니다. 일반적으로 첫 번째 호출자만 관심있습니다.

정보 | 값 |
---|---|
기본값 | true |
com.ibm.CSI.rmiInboundLoginConfig
이 특성은 인바운드로 수신된 RMI(Remote Method Invocation) 요청에 사용되는 JAAS(Java Authentication and Authorization Service) 로그인 구성을 지정합니다.
로그인 구성을 알면 RMI 로그인에 대한 특수한 경우를 처리할 수 있는 사용자 정의 로그인 모듈을 플러그인할 수 있습니다.
정보 | 값 |
---|---|
기본값 | system.RMI_INBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingConfig
이 특성은 애플리케이션 특정 프린시펄 맵핑을 수행하는 데 사용되는 시스템 JAAS 로그인 구성을 정의합니다.
정보 | 값 |
---|---|
기본값 | 없음 |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingEnabled
이 특성을 true로 설정하면 애플리케이션 특정 프린시펄 맵핑 기능을 사용할 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.CSI.rmiOutboundLoginConfig
이 특성은 아웃바운드로 전송되는 RMI 요청에 사용되는 JAAS 로그인 구성을 지정합니다.
처음에는 이 특성은 대상 서버로 전송될 주제에 전파된 속성을 준비합니다. 하지만 사용자 정의 로그인 모듈을 플러그인하여 아웃바운드 맵핑을 수행할 수 있습니다.
정보 | 값 |
---|---|
기본값 | system.RMI_OUTBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiOutboundMappingEnabled
이 특성을 true로 설정하면 WSSubjectWrapper 오브젝트에 임베드된 원래 호출자 제목이 복원됩니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.CSI.supportedTargetRealms
이 특성은 현재 범주에서 인증된 신임이 신뢰 대상 범주 필드에 지정된 모든 범주로 전송될 수 있도록 합니다. 신뢰 대상 범주 필드는 CSIv2 아웃바운드 인증 패널에서 사용할 수 있습니다. 이 특성은 해당 범주가 현재 범주의 데이터에 대한 인바운드 맵핑을 수행할 수 있도록 합니다.
- 을 클릭하십시오.
- RMI/IIOP 보안 아래에서 CSIv2 아웃바운드 인증을 클릭하십시오.
com.ibm.security.multiDomain.setNamingReadUnprotected
CosNamingRead 역할이 모든 네이밍 읽기 조작을 보호하도록 할 경우 이 특성을 true로 설정할 수 있습니다. 이 특성을 true로 설정하면 CosNamingRead 역할을 Everyone 특수 주제에 지정하는 것과 효과가 동일합니다. 이 특성이 설정되어 있으면 CosNamingRead 역할에 지정된 모든 사항이 무시됩니다.
정보 | 값 |
---|---|
기본값 | 없음 |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.forceDelegation
SAF(System Authorization Facility) 권한을 SAF 권한과 독립적으로 사용할 수 있는지 여부를 판별합니다. 이 특성을 true로 설정하면, 사용자 레지스트리가 연합 저장소 사용자 레지스트리에 있고 SAF 사용자 레지스트리 브릿지로 구성될 때마다 SAF 위임을 사용할 수 있습니다.
이 특성에 대한 기본값은 없습니다.
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.overrideStartupAPPL
이 특성을 사용하여 APPL 프로파일(특히, 서버 시작 중에 수행된 두 가지 RACROUTE 호출)의 값을 대체할 수 있습니다. 이 호출의 경우 APPL 값이 권한 검사 프로세스에 사용되지 않지만 설치 종료 루틴에는 사용 가능합니다. 권한 검사에 사용된 APPL 프로파일 값은 이 특성으로 제어되지 않고 CBS390 또는 SAF 프로파일 접두부 값으로 설정됩니다.
정보 | 값 |
---|---|
기본값 | 없음 |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.useAPPLpr
이 사용자 정의 특성은 APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한할지 여부를 지정합니다.
SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계없이 영향을 미치지 않습니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.security.useFIPS
사용된 FIPS(Federal Information Processing Standard) 알고리즘을 지정합니다. Application Server는 IBMJCE 암호 프로바이더 대신 IBMJCEFIPS 암호 프로바이더를 사용합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
이 보안 특성은 인증 만기 알림 이메일의 from address를 사용자 정의하는 데 사용됩니다.
이 특성에 지정하는 값은 인터넷 주소여야 합니다(예: Notification@abc-company.com). 이 특성을 설정하지 않으면 Application Server에서 WebSphereNotification@ibm.com을 이메일 발신 주소로 사용합니다.
정보 | 값 |
---|---|
기본값 | 없음 |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
이 보안 특성은 인증 만기 알림 전자 우편에 대한 텍스트 인코딩 문자 세트를 사용자 정의하는 데 사용됩니다.
WebSphere Application Server가 영어 또는 시스템 기본 문자 세트(영어 이외의 로케일이 지정된 경우)로 된 인증 만기 알림 전자 우편을 전송합니다. 인증 만기 알림 전자 우편에 다른 텍스트 인코딩 문자 세트를 사용하려는 경우, 이 특성을 사용하여 텍스트 인코딩 문자 세트를 사용자 정의할 수 있습니다.
정보 | 값 |
---|---|
기본값 | 없음 |
com.ibm.websphere.lookupRegistryOnProcess
영역이 로컬 OS 보안인 경우 원격 서버의 MBean을 사용하여 영역 레지스트리 검색이 수행될 때 이 특성을 설정할 수 있습니다.
기본적으로 사용자 레지스트리 태스크 listRegistryUsers 및 listRegistryGroups는 현재 프로세스에서 검색을 수행합니다. ND(Network Deployment)의 경우에는 배치 관리자입니다.
로컬 OS 사용자 레지스트리를 처리할 때, 레지스트리가 상주하는 실제 서버에서 검색이 수행되어야 합니다. ND 환경에서는 서버가 원격 시스템일 수 있습니다. 레지스트리가 상주하는 서버 프로세스에서 검색을 수행하려면 com.ibm.websphere.lookupRegistryOnProcess 사용자 정의 특성을 true로 설정해야 합니다.
com.ibm.websphere.lookupRegistryOnProcess를 설정하지 않거나 false로 설정하면 검색이 현재 프로세스에서 수행됩니다. 사용자 정의 특성은 글로벌 보안의 경우 setAdminActiveSecuritySettings 태스크 또는 보안 도메인의 경우 setAppActiveSecuritySettings 태스크를 사용하여 설정할 수 있습니다.
com.ibm.websphere.security.allow.committed.response
이 사용자 정의 특성은 커미트된 HTTP 응답이 허용되는지 여부를 지정합니다.
애플리케이션 서버는 커미트된 HTTP 응답을 발견하면 일반 403 오류 메시지를 표시합니다. 커미트된 HTTP 응답을 허용하고 403 오류 메시지를 억제하려면 이 특성을 true로 설정하십시오. 사용자 정의 로그인 모듈을 사용하는 구성에서는 모듈이 HTTP 응답을 커미트하여 사용자 정의 오류 메시지를 표시할 수 있습니다.
기본값은 false입니다.
com.ibm.websphere.security.allowAnyLogoutExitPageHost
애플리케이션 양식 로그인 및 로그아웃을 사용 중일 때 사용자 정의 로그아웃 페이지에 URL을 제공할 수 있습니다. 기본적으로 URL은 요청이 수행되는 호스트나 도메인을 가리켜야 합니다. 그렇지 않으면 사용자 정의 로그아웃 페이지가 아닌 일반 로그아웃 페이지가 표시됩니다. 호스트를 가리키려면 security.xml 파일에서 이 특성을 true 값으로 설정해야 합니다. 이 특성을 true로 설정하면 시스템이 URL 경로 재지정 공격을 받을 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.alwaysRestoreOriginalURL
이 특성을 사용하여 사용자 정의 양식 로그인 프로세서가 사용될 때 WASReqURL 값의 쿠키가 보존되는지 여부를 표시하십시오.
이 특성을 true로 설정하면, WASReqURL 값은 현재 URL보다 우선순위가 높으며 WASReqURL 쿠키가 후속 요청에서 제거됩니다.
이 특성을 false로 설정하면, 현재 URL 값은 우선순위가 높으며 WASReqURL 쿠키가 후속 요청에서 제거됩니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.auth.setDRSBootstrap
DRS(Data Replication Service)에서 DRSbootstrap 기능을 사용할 수 있는지 여부를 지정합니다.
대용량 환경에서는 동적 캐시 데이터 복제를 사용할 경우 서버가 시작하는 데 걸리는 시간이 늘어날 수 있습니다. 데이터 복제 때문에 서버 시작이 느려질 경우 서버 보안 설정에 이 특성을 추가하고 false로 설정합니다. 이 특성을 false로 설정한 경우 데이터 복제 서비스에서 DRSbootstrap 기능을 사용하지 않습니다.
이 특성의 기본 설정은 true입니다.
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.cms.use.default
WebSphere Application Server를 사용하여 생성된 해당 새 CMS 키 저장소에 대해 z/OS에서 CMSProvider 기본 버전을 v4에서 v3로 변경할지 여부를 지정합니다.
CMSProvider 버전 2.50의 경우 기본 스펙 버전은 v4입니다. 생성되는 새 키 저장소는 v4 레벨에 있으며 z/OS는 현재 v4 CMS 키 저장소를 사용할 수 없습니다. 생성된 해당 v4 CMS 키 저장소에 대해 com.ibm.websphere.security.cms.use.default=true를 설정하여 z/OS에서 CMSProvider 기본 버전을 v4에서 v3로 변경합니다. 이 Java 버전 이전에 키 저장소가 생성된 경우 해당 키 저장소는 이미 v3이며 z/OS에서 CMSProvider 2.50에 대해 작동합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.config.inherit.trustedRealms
이 특성은 도메인의 글로벌 보안 구성에서 글로벌 신뢰 영역 설정을 상속하는 데 사용됩니다.
기본적으로 보안 구성 신뢰 인바운드 및 아웃바운드 영역은 상속되지 않습니다. 그러나 일부 경우에는 도메인의 글로벌 보안 구성 설정을 사용(상속)하려고 할 수 있습니다.
이 특성의 값은 true 또는 false입니다.
com.ibm.websphere.security.console.noSSLTreePortEndpoints
이 특성은 큰 토폴로지 구성의 응답 시간을 개선하는 데 사용됩니다.
이 특성을 true로 설정하면 SSL 포트 엔드포인트의 상태가 관리 콘솔의 엔드포인트 보안 구성 관리 페이지에 표시되지 않습니다. SSL 포트 엔드포인트의 상태를 표시하면 때로 예상보다 긴 응답 시간으로 인해 관리 콘솔이 더 이상 작동하지 않는 것처럼 보일 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.continueAfterTAIError
이 특성은 사용자 정의 TAI에서 오류를 리턴하는 경우 사용자의 경로를 로그인 페이지로 자동으로 지정합니다.
다시 로그인을 시도하기 위해 브라우저에서 URL을 입력하지 않아도 됩니다. 이 동작을 사용하기 위해 이 특성을 true로 설정해야 합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.customLTPACookieName
이 특성은 LTPA(Lightweight Third Party Authentication) 토큰에 사용되는 쿠키의 이름을 사용자 정의하는 데 사용됩니다.
WebSphere Application Server 버전 8.0에서는 LTPA 및 LTPA2 토큰에 사용되는 쿠키의 이름을 사용자 정의할 수 있습니다. 사용자 정의 쿠키 이름은 SSO(Single Sign-On) 도메인 간의 인증을 논리적으로 분리하고 사용자 정의된 인증을 특정 환경에 사용 가능하도록 허용합니다.
이 기능의 이점을 얻으려면 사용자 정의 특성을 설정해야 합니다. LTPA 토큰의 경우, 사용자 정의 특성 com.ibm.websphere.security.customLTPACookieName은 LPTA 토큰 쿠키에 대한 모든 유효한 문자열(특수 문자 및 공백은 허용되지 않음)에 설정될 수 있고 com.ibm.websphere.security.customSSOCookieName은 LTPA2(SSO) 토큰 쿠키에 대한 모든 유효한 문자열에 설정될 수 있습니다. 각 특성은 대소문자를 구분합니다.
이 특성의 값은 유효한 문자열입니다.
- 이 특성과 대부분의 사용자 정의 특성은 보안 도메인 레벨로 설정할 수 있습니다. 이런 방법으로 독립 로그인을 관리 콘솔 로그인과 애플리케이션 로그인 간에서 강제 실행할 수 있습니다.
- 원래 기본 LtpaToken 또는 LtpaToken2 쿠키 이름이 WebSphere Application Server 버전 8.0에 의해 승인되고 신뢰됩니다. 이는 기본 쿠키 이름을 사용하는 Lotus® Domino® 및 WebSphere Portal과 같은 제품과 호환 가능합니다.
- 사용자 정의 쿠키 이름을 설정하면 인증 장애가 발생할 수 있습니다. 예를 들어, 설정된 사용자 정의 쿠키 특성이 있는 서버에 대한 연결은 이 사용자 정의 쿠키를 브라우저로 전송합니다. 기본 쿠키 이름 또는 다른 쿠키 이름을 사용하는 서버에 대한 후속 연결은 인바운드 쿠키의 유효성 검증을 통해 요청을 인증할 수 없습니다.
- 이 특성은 혼합 셀 환경에서 제대로 작동하지 않습니다. 예를 들어, WebSphere Application Server 버전 8.0의 배치 관리자는 사용자 정의 쿠키를 작성할 수 있습니다. 그러나 WebSphere Application Server 버전 7.0 노드 또는 동일한 이 셀에 있는 서버는 이 쿠키를 처리하는 방법을 알지 못해 이를 거부합니다.
- Lotus Domino 또는 WebSphere Portal과 같은 LTPA 토큰을 생성하는 WebSphere Application Server와 상호작용하는 제품을 사용하는 경우 해당 제품이 사용자 정의 LTPA 쿠키 이름을 처리하지 못할 수 있음에 유의하십시오. 사용자 정의 LTPA 쿠키 이름의 처리에 대한 제품 문서를 참조하십시오.
com.ibm.websphere.security.customSSOCookieName
이 특성은 LTPA2(Lightweight Third Party Authentication Version 2) 토큰에 사용되는 쿠키의 이름을 사용자 정의하는 데 사용됩니다.
WebSphere Application Server 버전 8.0에서는 LTPA 및 LTPA2 토큰에 사용되는 쿠키의 이름을 사용자 정의할 수 있습니다. 사용자 정의 쿠키 이름은 SSO(Single Sign-On) 도메인 간의 인증을 논리적으로 분리하고 사용자 정의된 인증을 특정 환경에 사용 가능하도록 허용합니다.
이 기능의 이점을 얻으려면 사용자 정의 특성을 설정해야 합니다. LTPA 토큰의 경우, 사용자 정의 특성 com.ibm.websphere.security.customLTPACookieName은 LPTA 토큰 쿠키에 대한 모든 유효한 문자열(특수 문자 및 공백은 허용되지 않음)에 설정될 수 있고 com.ibm.websphere.security.customSSOCookieName은 LTPA2(SSO) 토큰 쿠키에 대한 모든 유효한 문자열에 설정될 수 있습니다. 각 특성은 대소문자를 구분합니다.
이 특성의 값은 유효한 문자열입니다.
- 이 특성과 대부분의 사용자 정의 특성은 보안 도메인 레벨로 설정할 수 있습니다. 이런 방법으로 독립 로그인을 관리 콘솔 로그인과 애플리케이션 로그인 간에서 강제 실행할 수 있습니다.
- 원래 기본 LtpaToken 또는 LtpaToken2 쿠키 이름이 WebSphere Application Server 버전 8.0에 의해 승인되고 신뢰됩니다. 이는 기본 쿠키 이름을 사용하는 Lotus Domino 및 WebSphere Portal과 같은 제품과 호환 가능합니다.
- 사용자 정의 쿠키 이름을 설정하면 인증 장애가 발생할 수 있습니다. 예를 들어, 설정된 사용자 정의 쿠키 특성이 있는 서버에 대한 연결은 이 사용자 정의 쿠키를 브라우저로 전송합니다. 기본 쿠키 이름 또는 다른 쿠키 이름을 사용하는 서버에 대한 후속 연결은 인바운드 쿠키의 유효성 검증을 통해 요청을 인증할 수 없습니다.
- 이 특성은 혼합 셀 환경에서 제대로 작동하지 않습니다. 예를 들어, WebSphere Application Server 버전 8.0의 배치 관리자는 사용자 정의 쿠키를 작성할 수 있습니다. 그러나 WebSphere Application Server 버전 7.0 노드 또는 동일한 이 셀에 있는 서버는 이 쿠키를 처리하는 방법을 알지 못해 이를 거부합니다.
- Lotus Domino 또는 WebSphere Portal과 같은 LTPA 토큰을 생성하는 WebSphere Application Server와 상호작용하는 제품을 사용하는 경우 해당 제품이 사용자 정의 LTPA 쿠키 이름을 처리하지 못할 수 있음에 유의하십시오. 사용자 정의 LTPA 쿠키 이름의 처리에 대한 제품 문서를 참조하십시오.
com.ibm.websphere.security.delegateStarStarRoleAuthorization
- true - 보안 코드는 플러그 가능한 권한 부여 테이블과 상호작용하지 않고 액세스를 부여합니다.
- false - 보안 코드는 플러그 가능한 권한 부여 테이블에 의사결정을 위임합니다. (기본값).
com.ibm.websphere.security.displayRealm
이 특성은 HTTP 기본 인증 로그인 창에 애플리케이션 web.xml 파일에 정의되지 않은 영역 이름을 표시할지 여부를 지정합니다.
- 이 특성이 false로 설정되면, WebSphere 영역 이름 표시는 기본 영역입니다.
- 이 특성이 true로 설정되면, WebSphere 영역 이름 표시는 LTPA 인증 메커니즘의 사용자 레지스트리 영역 이름 또는 Kerberos 인증 메커니즘의 Kerberos 영역 이름입니다.
정보 | 값 |
---|---|
기본값 | false |
유형 | 문자열 |
com.ibm.websphere.security.disableGetTokenFromMBean
싱글 사인온이 사용 가능할 때 원래 서버에서 주제를 검색하는 데 아웃바운드 SOAP를 사용하지 않도록 설정하려면 이 특성을 사용하십시오.
일반적으로 싱글 사인온을 사용하고 인바운드 요청에 인증이 필요한 경우 수신 서버는 원래 서버에서 인증을 검색하려고 시도합니다. 전송 및 수신 서버 간의 연결은 이 콜백 프로세스 동안 제한시간 초과되지 않습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.enableAuditForIsCallerInRole
이 특성을 사용하면 isCallerInRole 메소드 호출에 대한 감사를 사용할 수 있습니다.
이 특성을 false로 설정하면 isCallerInRole의 호출에 대해 감사를 사용할 수 없습니다. z/OS에서는 호출에 대해 SMF 레코드가 실행되지 않습니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
TAI에서 제공하는 사용자가 사용자 레지스트리에 없을 때 이 특성을 사용하면 오류 페이지 대신 로그인 페이지가 표시됩니다.
TAI에서 제공하는 사용자가 사용자 레지스트리에 없으면 WebSphere Application Server는 오류 페이지를 표시합니다. 이 동작을 조정하려면 이 특성을 true로 설정하십시오. 그러면 로그인 페이지가 표시됩니다. 이 특성의 기본 설정은 false이고 WebSphere Application Server의 정상 동작은 오류 페이지를 표시하는 것입니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.initializeRSAProperties
인증 만기 모니터 실행 후 작업 관리자 또는 관리 에이전트 환경에서 CPU 이용률이 높게 관찰되는 경우에 하나의 서버에서 CPU 로드를 줄이려면 여러 서버로 노드를 분배해야 합니다.
이 특성을 false로 설정하면 WebSphere가 RSA 토큰 관련 SSL 특성의 재초기화를 수행하지 않습니다. 이 특성을 false로 구성하기 전에 사용자 환경에서 작업 관리자 또는 관리 에이전트가 사용되지 않는지 확인하십시오. 이러한 기능을 수행하려면 RSA 토큰이 필요하며 이 특성은 사용할 수 없습니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.websphere.security.InvokeTAIbeforeSSO
이 특성을 통해 싱글 사인온(SSO) 사용자 인증과 관련하여 신뢰 연관 인터셉터(TAI)의 기본 호출 순서를 변경할 수 있습니다. 기본 순서는 SSO 다음에 신뢰 연관 인터셉터를 호출하는 것입니다. 이 특성은 SSO와 함께 TAI 호출의 기본 순서를 변경하는 데 사용됩니다. 특성 값은 SSO 이전에 호출할 TAI 클래스 이름의 쉼표(,)로 구분된 목록입니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
유형 | 문자열 |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
기본적으로 JAAS 인증 데이터 항목이 글로벌 보안 레벨에서 작성되며 이 항목의 별명 이름은 aliasName 형식입니다. 항목에 대한 별명 이름을 nodeName/aliasName 형식으로 작성하기 위해 도메인 보안 레벨에서 다음과 같은 특성을 설정하여 별명 이름에 노드 이름을 추가할 수 있습니다.
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true를 글로벌 보안 레벨에 설정하여 모든 보안 도메인에 대한 JAAS 인증 데이터 항목의 별명 이름에 노드 이름을 추가할 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
기본적으로 JAAS 인증 데이터 항목이 글로벌 보안 레벨에서 작성되며 이 항목의 별명 이름은 nodeName/aliasName 형식입니다. 이 특성의 true 값을 글로벌 보안 레벨에 설정하여 항목의 별명 이름에 노드 이름을 추가하지 못하게 할 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.krb.canonical_host
이 사용자 정의 특성은 애플리케이션 서버에서 클라이언트를 인증할 때 URL/HTTP 호스트의 표준 양식을 사용할지 여부를 지정합니다. 이 특성은 SPNEGO TAI 및 SPNEGO 웹 둘 다에 사용될 수 있습니다.
CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
이 사용자 정의 특성이
true로 설정되면, 이 오류 메시지가 나타나지 않도록 방지할 수 있으며
URL/HTTP 호스트 이름의 표준 양식을 사용하여 인증하도록 애플리케이션 서버를 허용할 수 있습니다.정보 | 값 |
---|---|
기본값 | true |
com.ibm.websphere.security.ldap.logicRealm
이 사용자 정의 특성을 사용하면 토큰에 있는 영역의 이름을 변경할 수 있습니다.
이 사용자 정의 특성을 사용하면 각 셀이 상호운영성 및 역호환성을 위해 고유한 LDAP 호스트를 갖도록 구성할 수 있습니다. LDAP 호스트를 동적으로 유연하게 추가하거나 제거할 수도 있습니다. 이전 설치를 마이그레이션 중인 경우 관리 보안이 다시 사용 가능하게 될 때까지 수정된 영역 이름이 적용되지 않습니다. 논리 영역을 지원하지 않는 이전 릴리스와 호환 가능하도록 하려면, 이름이 이전 설치에서 사용한 이름과 동일해야 합니다. 이름 후미의 콜론 및 포트 번호를 포함한 LDAP 호스트 이름을 사용해야 합니다.
정보 | 값 |
---|---|
유형 | 문자열 |
- 보안 > 글로벌 보안을 클릭하십시오.
- 사용자 계정 저장소 아래에서, 사용 가능한 영역 정의 목록을 펼치고 독립형 LDAP 저장소를 선택한 후 구성을 클릭하십시오.
- 사용자 정의 특성 아래에서, 새로 작성을 클릭하고 이름 필드에 com.ibm.websphere.security.ldap.logicRealm을 입력한 후 값 필드에 토큰에 있는 영역의 새 이름을 입력하십시오.
- 이 사용자 정의 특성을 선택한 후 적용 또는 확인을 클릭하십시오.
com.ibm.websphere.security.ldapSSLConnectionTimeout
LDAP 서버에서 SSL이 사용 가능한 경우 이 특성을 사용하여 제한시간 초과가 발생하기 전에 JVM이 소켓 연결을 대기하는 최대 시간(밀리초)를 지정하십시오.
서버 프로세스가 시작될 때 하나 이상의 독립형 LDAP 서버가 오프라인이고 LDAP-SSL이 사용 가능하면 com.sun.jndi.ldap.connect.timeout 사용자 정의 특성 값을 지정하는 경우에도 시작 프로시저에 최대 3분의 지연이 발생할 수 있습니다. LDAP-SSL이 사용 가능한 경우 com.sun.jndi.ldap.connect.timeout 특성에 지정된 값이 무시됩니다.
이 특성 값이 지정된 경우 JVM은 소켓 연결을 완료하려고 할 때 디렉토리 컨텍스트 설정을 시도하는 대신에 이 연결 제한시간 값을 사용하려고 시도합니다. 이 특성 값이 지정되지 않으면 JVM이 디렉토리 컨텍스트를 설정하려고 시도합니다.
이 특성에 대한 기본값은 없습니다.
com.ibm.websphere.security.logoutExitPageDomainList
애플리케이션 양식 로그인 및 로그아웃을 사용 중일 때 사용자 정의 로그아웃 페이지에 URL을 제공할 수 있습니다. 기본적으로 URL은 요청이 수행되는 호스트나 도메인을 가리켜야 합니다. 그렇지 않으면 사용자 정의 로그아웃 페이지가 아닌 일반 로그아웃 페이지가 표시됩니다. 다른 호스트를 가리켜야 할 경우 security.xml의 이 특성을 로그아웃 페이지에 허용되는, 파이프(|)로 구분된 URL 목록으로 채울 수 있습니다.
정보 | 값 |
---|---|
기본값 | 없음 |
com.ibm.websphere.security.performTAIForUnprotectedURI
이 특성은 관리 콘솔에서 보호되지 않는 URI가 액세스될 때 사용 가능한 인증 데이터 사용이 선택되었을 때 TAI 호출 동작을 지정하는 데 사용됩니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.recoverContextWithNewKeys
이 특성은 이전에 웹 서비스 또는 비동기 Bean에 대한 비동기 보안 처리의 일부로 저장된 보안 컨텍스트를 직렬화 해제할 때 동작에 영향을 미칩니다.
이 특성을 true로 설정하면 컨텍스트가 직렬화된 이후 LTPA 키가 변경된 경우에도 보안 컨텍스트를 직렬화 해제할 수 있습니다. 보안 컨텍스트 직렬화 해제가 다음 메시지가 포함된 WSSecurityException과 함께 실패한 경우 이 특성을 true로 설정해야 합니다. 올바르지 않은 키 또는 토큰 유형으로 인해 LTPA 토큰의 유효성 검증에 실패함
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.rsaCertificateAliasCache
이 특성은 별명 캐시의 크기를 제어하는 데 사용됩니다.
기본값은 5000이고 더 큰 배치의 경우 늘릴 수 있습니다. 작업 관리자 토폴로지에서 5000개의 등록된 노드 수를 초과하지 않는 경우에는 이 특성을 추가할 필요가 없습니다.
1 - N 범위로 값을 입력해야 합니다. 여기서, N은 작업 관리자에 등록된 노드 수 이상의 유효한 양의 정수입니다.
정보 | 값 |
---|---|
기본값 | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
이 특성은 WASReqURL 쿠키가 생성될 때마다 고유 경로 이름을 설정하는 데 사용됩니다.
브라우저는 각 쿠키가 고유한 경로 이름을 가지는 한 여러 WASReqURL 쿠키를 보유할 수 있습니다. 이 특성을 true로 설정하면 WASReqURL 쿠키가 생성될 때마다 고유 경로 이름이 설정됩니다. 따라서, 동일한 애플리케이션 서버에 양식 로그인을 로그인 메소드로 사용하는 애플리케이션이 하나 이상 설치되어 있으면, 이 특성을 해당 애플리케이션 서버에 대한 보안 설정 중 하나로 지정하고 true로 설정하십시오.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.skip.canonical.lookup
특정 호스트 이름에 대한 표준 검색을 건너뛰어야 하는 경우 이 특성을 사용하십시오. 이 특성에 지정하는 값은 대소문자를 구분하며 SPNEGO 필터의 호스트 이름과 일치해야 합니다.
WebSphere Application Server는 java.net.InetAddress #getCanonicalHostName() Java API가 실제 호스트 이름을 리턴할 것을 예상합니다. 경우에 따라 이 API는 호스트 이름 대신 IP 주소의 문자열 표시를 리턴합니다. 이러한 시나리오가 발생할 경우 WebSphere Application Server는 수신되는 요청이 SPNEGO 인증에 대해 평가되어야 하는 것을 인식하지 못합니다.
이러한 상황이 발생하면 이 사용자 정의 특성을 보안 구성 설정에 추가하고 이를 표준 검색이 발생되지 않게 하려는 호스트 이름으로 설정하십시오.
myhost1.mycompany.com|myhost2.mycompany.com
정보 | 값 |
---|---|
기본값 | 없음 |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
SPNEGO 웹 인증을 위해 Kerberos 프린시펄에서 RACF ID로의 맵핑이 수행되는지 확인하려면 이 특성을 사용합니다.
이 특성을 보안 설정에 추가하지 않고 true로 설정하면 SPNEGO 웹 인증을 위한 Kerberos 프린시펄에서 RACF ID로의 맵핑이 수행되지 않습니다.

정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.strictCredentialExpirationCheck
로컬 EJB(Enterprise JavaBeans) 호출에 대한 신임 만기 검사가 발생하는지 여부를 지정합니다. 일반적으로 EJB가 로컬 시스템에 있는 다른 EJB를 호출하는 경우 로컬 EJB 호출이 발생하기 전에 원래 호출자의 신임 정보가 만료되더라도 직접 메소드 호출이 발생합니다.
이 특성이 true로 설정되면, 로컬 시스템에서 EJB를 호출하기 전에 로컬 EJB에서 신임 만기 검사가 발생합니다. 신임이 만기되면, EJB 호출이 거부됩니다.
이 특성이 false로 설정되면, 로컬 EJB 호출에 대해 신임 만기 검사가 발생하지 않습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
싱글 사인온이 사용될 때 원래 서버에서 적절한 인증을 검색하기 위해 수신 서버가 아웃바운드 SOAP 호출을 대기하는 시간을 지정하려면 이 특성을 사용합니다.
이 특성에 대한 기본값은 없습니다. 값이 지정되지 않으면 글로벌 SOAP 제한시간 값은 SOAP 연결의 제한시간 값으로 사용됩니다.
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
새 기본 싱글 사인온(SSO) 토큰 작성 시 활성 사용자 레지스트리를 사용해야 함을 나타내려면 이 특성을 사용하십시오.
일반적으로 수신 SSO 인증 토큰의 액세스 ID와 인증 토큰의 프린시펄 이름이 불일치할 때마다 기본 SSO 토큰이 작성됩니다. 이 불일치는 영역이 다르기 때문에 발생할 수 있습니다. 예를 들어, 관리 도메인이 LocalOS 레지스트리를 사용 중이고 활성 레지스트리가 LDAP인 경우 불일치가 발생합니다.
이 특성을 true로 설정하면 LDAP 레지스트리를 사용하여 새 SSO 토큰이 작성됩니다.
이 특성의 기본값은 false입니다.
com.ibm.websphere.security.useLoggedSecurityName
이는 사용자 레지스트리의 사용자 정의 특성입니다. 이 특성은 WSCredential 작성 작동을 변경합니다.
false로 설정하면 사용자 레지스트리가 리턴한 보안 이름이 WSCredential을 구성하는 데 항상 사용됩니다.
true 설정은 로그인 모듈에 제공된 보안 이름 또는 사용자 레지스트리에 제공된 표시 이름이 사용됨을 나타냅니다. 이 설정은 WebSphere Application Server 버전 6.1 이전과 호환 가능합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
이 특성은 CSIv2 세션이 삭제될 때까지 유휴 상태로 있을 수 있는 시간(밀리초)을 지정합니다. com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 사용자 정의 특성이 true 값으로 설정되고 CSIv2 세션 캐시의 최대 크기가 초과되면 세션이 삭제됩니다.
- 보안 섹션을 펼치고 글로벌 보안을 클릭하십시오.
- RMI/IIOP 보안 섹션을 펼치고 CSIv2 아웃바운드 통신을 클릭하십시오.
이 사용자 정의 특성 값의 범위는 60,000 - 86,400,000밀리초입니다. 기본적으로, 값은 설정되지 않습니다.
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
이 사용자 정의 특성은 CSIv2 세션 캐시의 크기를 제한할지 여부를 지정합니다.
이 사용자 정의 특성 값을 true로 설정할 때, com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 및 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize custom 특성의 값을 설정해야 합니다. 이 사용자 정의 특성을 false로 설정하면 CSIv2 세션 캐시가 제한되지 않습니다. 기본 특성 값은 false입니다.
환경에 Kerberos 인증이 사용되며 구성된 KDC(Key Distribution Center)에 대한 클럭 스큐가 작은 경우에는 이 사용자 정의 특성을 true로 설정할 것을 고려하십시오. 이 시나리오에서는 작은 클럭 스큐가 20분 미만으로 정의됩니다. 클럭 스큐가 작으면 많은 수의 CSIv2 세션이 거부될 수 있습니다. 그러나 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 사용자 정의 특성의 값이 더 작으면 애플리케이션 서버가 거부된 세션을 보다 자주 정리하므로 잠재적으로 자원 부족을 줄일 수 있습니다.
- 보안 섹션을 펼치고 글로벌 보안을 클릭하십시오.
- RMI/IIOP 보안 섹션을 펼치고 CSIv2 아웃바운드 통신을 클릭하십시오.
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
이 특성은 캐시에서 만기된 세션을 삭제한 후 세션 캐시의 최대 크기를 지정합니다.
만기된 세션은 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 사용자 정의 특성에 지정된 시간보다 유휴 시간이 긴 세션으로 정의됩니다. com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 사용자 정의 특성을 사용하면, 100 - 1000개의 항목 값 설정에 대해 고려하십시오.
환경에 Kerberos 인증이 사용되며 구성된 KDC(Key Distribution Center)에 대한 클럭 스큐가 작은 경우에는 이 사용자 정의 특성의 값을 지정할 것을 고려하십시오. 이 시나리오에서는 작은 클럭 스큐가 20분 미만으로 정의됩니다. 작은 캐시 크기로 인해 가비지 콜렉션이 너무 자주 실행되어 애플리케이션 서버의 성능에 영향이 미치는 경우에는 이 사용자 정의 특성의 값을 늘릴 것을 고려하십시오.
이 사용자 정의 특성은 Stateful 세션을 사용 가능으로 설정하고, com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 사용자 정의 특성을 true로 설정하고, com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 사용자 정의 특성의 값을 설정하는 경우에만 적용됩니다.
- 보안 섹션을 펼치고 글로벌 보안을 클릭하십시오.
- RMI/IIOP 보안 섹션을 펼치고 CSIv2 아웃바운드 통신을 클릭하십시오.
이 사용자 정의 특성의 값 범위는 100 - 1000 항목입니다. 기본적으로, 값은 설정되지 않습니다.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.util.postParamMaxCookieSize
이 특성은 보안 코드에서 생성 중인 WASPostParam 쿠키에 대한 크기 한계를 설정합니다.
정보 | 값 |
---|---|
기본값 | 없음 |
com.ibm.websphere.security.web.removeCacheOnFormLogout
이 사용자 정의 특성을 사용하면 양식 로그아웃이 발생할 경우 캐시된 오브젝트가 인증 캐시 및 동적 캐시에서 제거되는지 여부를 지정할 수 있습니다. 양식 로그아웃은 모든 웹 브라우저 세션을 닫지 않고도 애플리케이션을 로그아웃할 수 있는 메커니즘입니다.
이 사용자 정의 특성을 false로 설정하면 양식 로그아웃이 발생할 경우 해당하는 캐시된 오브젝트가 인증 캐시 및 동적 캐시에서 제거되지 않습니다. 따라서 양식 로그아웃 후 동일한 사용자가 다시 로그인할 경우 캐시된 오브젝트가 다시 사용됩니다.

이 특성을 true로 설정하면 양식 로그아웃이 발생할 경우 캐시된 항목이 인증 캐시 및 동적 캐시에서 제거됩니다.
기본값은 true입니다.
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
이 사용자 정의 특성은 인바운드 웹 자원 요청을 위한 LTPA(Lightweight Third Party Authentication) 토큰의 쿠키 생성 동작을 지정합니다.
이 특성이 true이면 애플리케이션 서버는 요청이 보호되는 웹 자원에 대한 요청인지 또는 보호되지 않는 웹 자원에 대한 요청인지와 무관하게 성공적으로 인증된 모든 자원 요청의 LTPAToken 쿠기를 생성하고 설정합니다. 이 동작은 WebSphere Application Server 버전 6.1에서의 동작과는 다르며, 버전 6.1용으로 개발된 일부 애플리케이션이 이후 버전에서 작동하지 않을 수 있습니다.
보호되는 웹 자원에 대해서만 LTPAToken 쿠키를 생성하려면 이 특성을 false로 설정하십시오. 이 동작은 WebSphere Application Server 버전 6.1과 호환 가능합니다.
기본값은 true입니다
com.ibm.websphere.security.webAlwaysLogin
이 특성은 ID가 이미 인증된 경우 login() 메소드가 예외를 처리할지 여부를 지정합니다. 이 특성을 true로 설정하여 이 동작을 겹쳐쓸 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
유형 | 문자열 |
com.ibm.websphere.ssl.include.ECCiphers
이 사용자 정의 특성은 WebSphere Application Server의 기본 암호 스위트에 ECC(Elliptical Curve Cryptography) 암호가 포함되는지 여부를 지정합니다.
이 특성이 설정되지 않거나 false로 설정되면 기본적으로 애플리케이션 서버가 ECC 암호를 포함하지 않습니다. 기본 cipher suite의 목록에 ECC 암호를 포함하려면 이 특성을 true로 설정하십시오. SP800-131a 또는 Suite B가 사용으로 설정되면 기본적으로 ECC 암호가 항상 포함됩니다.
정보 | 값 |
---|---|
기본값 | true |
유형 | 문자열 |
com.ibm.websphere.ssl.retrieveLeafCert
이 사용자 정의 특성을 사용하여 포트 기능의 검색이 루트 인증서 대신 리프 인증서를 검색할 수 있습니다.
포트에서의 검색은 루트 인증서 대신 리프 인증서를 검색해야 합니다. 리프 인증서를 가져오려면 사용자 정의 특성 com.ibm.websphere.ssl.retrieveLeafCert를 true로 설정해야 합니다.
이 특성이 설정되지 않거나 false로 설정되면 포트 기능의 검색은 루트 인증서를 검색합니다. 포트 기능에서 루트 인증서 대신 리프 인증서를 검색하려면 이 특성을 true로 설정하십시오.
정보 | 값 |
---|---|
기본값 | false |
유형 | 문자열 |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
이 사용자 정의 특성으로 싱글 사인온(SSO) 쿠키의 HTTPOnly 속성을 설정할 수 있습니다.
com.ibm.ws.security.addHttpOnlyAttributeToCookies 사용자 정의 특성을 사용하여 중요한 값이 포함된 쿠키를 보호할 수 있습니다. 이 사용자 정의 특성 값을 true로 설정하면, Application Server는 값이 서버에 의해 설정된 SSO 쿠키에 HTTPOnly 속성을 설정합니다. HTTPOnly 속성을 통해 쿠키의 민감한 값을 보호할 수 있습니다.
true 값으로 설정한 경우에는 애플리케이션 서버가 HTTPOnly 속성의 인바운드 쿠키를 제대로 인식, 승인 및 처리하고 민감한 쿠키 정보에 액세스하지 않도록 사이트간 스크립팅을 금지합니다.
웹 서버에 영향을 주는 공통 보안 문제점은 XSS(Cross-site scripting)입니다. 사이트간 스크립팅은 사용자 입력이 HTML로 렌더링될 때 종종 나타나는 서버측 취약성입니다. XSS(Cross-site scripting) 공격은 웹 사이트 사용자에 대한 민감한 정보를 노출시킬 수 있습니다. 최신 웹 브라우저에서는 HTTPOnly 속성을 사용하여 이 공격을 방지합니다. 이 속성이 있는 쿠키를 HTTPOnly 쿠키라 합니다. HTTPOnly 쿠키에 있는 정보는 해커 또는 악의적인 웹 사이트에 노출될 가능성이 적습니다. HTTPOnly 속성에 대한 자세한 정보는 OWASP(Open Web Application Security Project) 웹 사이트를 참조하십시오.
- JSESSIONID 쿠키
- 다른 소프트웨어 벤더의 제공자 또는 인증기에서 작성된 SSO 쿠키
- HTTPOnly 속성이 포함되지 않은 클라이언트 또는 브라우저 쿠키
- 보안 > 글로벌 보안을 클릭하십시오.
- 인증 아래에서 웹 및 SIP 보안 > 싱글 사인온(SSO)을 클릭하십시오.
정보 | 값 |
---|---|
기본값 | true |
유형 | 부울 |
com.ibm.ws.security.allowNonAdminToSecurityXML
이 특성은 비관리 보안 역할이 security.xml 파일을 수정할 수 있는지 여부를 지정합니다. 이 특성을 true로 설정하면 비관리 보안 역할에 security.xml 파일을 수정할 수 있는 기능이 제공됩니다. 버전 6.1 이상에서는 기본적으로 비관리 보안 역할이 security.xml 파일을 수정할 수 있습니다.
정보 | 값 |
---|---|
기본값 | false |
유형 | 부울 |
com.ibm.ws.security.config.SupportORBConfig
특성의 오브젝트 요청 브로커(ORB)를 확인할지 여부를 지정합니다. 이 특성은 시스템 특성으로 설정해야 합니다. 특성의 ORB를 확인하려면 이 특성을 true 또는 yes로 설정합니다. 기타 설정에서는 ORB가 완전히 무시됩니다.
이 특성은 플러그 가능 애플리케이션 클라이언트가 WebSphere Application Server에 연결할 때 사용됩니다. 특히, 이 특성은 새 InitialContext(env) 호출의 해시 맵에서 보안 특성을 포함한 해시 맵이 전달될 때마다 사용됩니다.
com.ibm.ws.security.createTokenSubjectForAsynchLogin
현재 릴리스에서는 컨텍스트 프록시 또는 비동기 Bean에서 호출되는 경우 WSCredential.getCredentialToken() 호출에서 실제 LTPA 토큰 데이터를 사용할 수 없습니다. 기존 구성의 경우, LTPAToken을 컨텍스트 프록시 및 비동기 Bean에 전달할 수 있도록 com.ibm.ws.security.createTokenSubjectForAsynchLogin 사용자 정의 특성 및 true 값을 추가할 수 있습니다. 이 특성은 포틀릿이 LTPA 토큰 전달을 수행할 수 있도록 합니다.이 사용자 정의 특성은 대소문자를 구분합니다. 이 사용자 정의 특성을 추가한 후 애플리케이션 서버를 다시 시작해야 합니다.

정보 | 값 |
---|---|
기본값 | 적용할 수 없음 |
com.ibm.ws.security.defaultLoginConfig
이 특성은 WEB_INBOUND, RMI_OUTBOUND 또는 RMI_INBOUND 로그인 구성 카테고리에 속하는 로그인에 사용되는 JAAS 로그인 구성입니다.
특정 JAAS 플러그 지점이 없는 내부 인증 및 프로토콜은 com.ibm.ws.security.defaultLoginConfig 구성이 참조하는 시스템 로그인 구성을 호출합니다.
정보 | 값 |
---|---|
기본값 | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
com.ibm.ws.security.failSSODuringCushion 사용자 정의 특성을 사용하여 LTPA 토큰에 대한 사용자 정의 JAAS 주제 데이터를 업데이트하십시오.
이 사용자 정의 특성을 true로 설정하지 않으면 새 JAAS 주제에 사용자 정의 JAAS 주제 데이터가 포함되지 않을 수 있습니다.
기본값은 true입니다.
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
Java 클라이언트에 PKCS11 유형 키 저장소를 사용하려고 할 때 com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA 사용자 정의 특성을 사용하여 "유효하지 않은 라이브러리 이름" 오류를 정정하십시오.
분산 및 z/OS 운영 체제에서 하드웨어 암호화에
서로 다른 제공자 유형을 사용하므로, IBMJCECCA 제공자를 사용 중인 경우에도
이 사용자 정의 특성을 사용하십시오.
ssl.client.props 파일은 차례로 구성 파일과 비밀번호 장치의 라이브러리 이름을 가리킵니다. Java 클라이언트의 코드가 올바른 제공자 이름의 키 저장소 유형을 검색합니다. 이 사용자 정의 특성이 없으면 PKCS11에 대한 키 저장소 유형 상수가 올바르게 지정되지 않고 대신에, IBMPKCS11Impl 제공자를 참조합니다. 또한 LTPA(Lightweight Third Party Authentication) 코드는 프로바이더 목록을 사용하여 JCE(Java Cryptography Extension) 프로바이더를 판별합니다. 이 접근법은 java.security 파일 내에서 IBMJCE 제공자 이전에 IBMPKCS11Impl 제공자를 나열해야 하기 때문에, SSL(Secure Sockets Layer) 가속이 시도될 때 문제가 발생합니다.
이 사용자 정의 특성은 SSL 및 기타 비밀번호 메커니즘에 하드웨어 가속이 사용될 수 있도록 이 두 가지 문제를 정정합니다.

Java 클라이언트에 PKCS11 유형 키 저장소를 사용하려면 이 사용자 정의 특성을 true로 설정하십시오.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.ws.security.ltpa.useCRT
이 특성을 사용하여 새 LTPA2(SSO) 토큰이 작성될 때 발생하는 sign() 조작 동안 CPU 사용량을 향상시키십시오. 이 특성이 true로 설정되면, 제품은 새 토큰 서명 시 CRT(Chinese Remainder Theorem) 알고리즘을 구현합니다. 이 특성은 이전 스타일 LTPA 토큰에 영향을 미치지 않습니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
RSA 토큰 유효성 검증을 소프트웨어에서 강제 실행되게 하려면 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA 사용자 정의 특성을 사용합니다.
- 관리 콘솔에서 RSA 토큰을 선택 취소하십시오. 을 클릭하고
- 활성 애플리케이션 인증 메커니즘만 사용을 선택하십시오.
- 사용자 정의 특성을 클릭한 후 새로 작성을 클릭하여 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA 사용자 정의 특성을 보안 설정에 추가하십시오.
- 이름 필드에서 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA를 추가하고 값 필드에서 true를 추가하십시오.
이 특성을 true로 설정하면 IBMJCECCA 대신 기본 소프트웨어 JCE 제공자가 보안 유효성 검증에 사용됩니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.ws.security.ssoInteropModeEnabled
이 특성은 웹 요청에 따라 LtpaToken2 및 LtpaToken 쿠키를 전송할 것인지 여부를 결정합니다(상호 운영 가능).
이 특성 값이 false인 경우 Application Server는 더 강력한 새 LtpaToken2 쿠키를 전송하지만 버전 5.1.1 이전의 WebSphere Application Server 릴리스 및 일부 다른 제품과 상호 연동되지 않습니다. 대부분의 경우 이전 LtpaToken 쿠키는 필요하지 않으며 이 특성을 false로 설정할 수 있습니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.ws.security.unprotectedUserRegistryMethods
getRealm, getUsers 및 isValidUser와 같이 원격 액세스로부터 보호하지 않으려는 UserRegistry 인터페이스의 메소드 이름을 지정합니다. 여러 메소드 이름을 지정할 때에는 공백, 쉼표, 세미콜론 및 분리자로 이름을 구분하십시오. 유효한 메소드 이름의 전체 목록을 보려면 UserRegistry 인터페이스 구현을 참조하십시오.
이 특성 값으로 *를 지정하면, 모든 메소드가 원격 액세스로부터 보호되지 않습니다.이 특성에 값을 지정하지 않으면, 모든 메소드가 원격 액세스로부터 보호됩니다.
보호되는 UserRegistry 인터페이스 메소드에 원격으로 액세스하려고 하면, 원격 프로세스가 CORBA NO_PERMISSION 예외를 수신하고 낮음 코드 49421098가 생성됩니다.
이 특성에 대한 기본값은 없습니다.
com.ibm.ws.security.web.saml.disableDecodeURL
이 특성은 URL 디코딩을 사용 안함으로 설정하는 옵션을 제공합니다.
SAML 웹 SSO가 사용으로 설정되고 SAML TAI가 호출되면 원래 요청 URL을 저장하도록 쿠키가 설정됩니다. 인증 후 원래 URL은 경로 재지정으로 전송되기 전에 디코딩됩니다. 이 특성 값이 true로 설정되면 경로 재지정의 원래 URL이 디코딩 없이 사용됩니다. 관리 콘솔을 사용하여 이 특성을 설정하려면 보안 > 글로벌 보안 > 사용자 정의 특성을 클릭하십시오. 새로 작성을 클릭하여 새 사용자 정의 특성 및 연관된 해당 값을 추가하십시오.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
이 특성은 단일 사인온 LtpaToken2 로그인의 동작을 결정합니다.
이 특성이 true로 설정되면 토큰에 사용자 정의 캐시 키가 있고 사용자 정의 제목을 찾을 수 없는 경우 사용자 정의 정보를 다시 수집해야 하므로 토큰은 직접 로그인하는 데 사용됩니다. 또한 사용자가 다시 로그인하도록 인증 확인이 수행됩니다. 이 특성 값이 false로 설정되어 있고 사용자 정의 주제를 찾을 수 없는 경우, LtpaToken2가 로그인 및 모든 레지스트리 속성 수집에 사용됩니다. 하지만 토큰이 다운스트림 애플리케이션에 필요할 수 있는 특별한 속성을 가져오지 않을 수 있습니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.ws.security.webInboundLoginConfig
이 특성은 인바운드로 수신되는 웹 요청에 사용되는 JAAS 로그인 구성입니다.
로그인 구성을 알면 웹 로그인에 대한 특수한 경우를 처리할 수 있는 사용자 정의 로그인 모듈을 플러그인할 수 있습니다.
정보 | 값 |
---|---|
기본값 | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
이 특성은 토큰에 지정된 원래 로그인 서버를 검색하기 전에, 수신된 LtpaToken2 쿠키가 전파된 속성을 로컬에서 검색해야 하는지 여부를 결정합니다. 전파된 속성이 수신된 뒤에는 주제가 재생성되고 사용자 정의 속성이 보존됩니다.
DRS(Data Replication Service)가 전파된 속성을 프론트 엔드 서버로 전송하여 로컬 동적 캐시 검색에서 전파된 속성을 찾을 수 있도록 구성할 수 있습니다. 그렇지 않은 경우에는 MBean 요청이 원래 로그인 서버로 전송되어 이들 속성이 검색됩니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
이 특성은 HTTP 세션 타이머가 만료된 후 사용자가 로그아웃되는지 여부를 지정합니다.
정보 | 값 |
---|---|
기본값 | false |
필수 | false |
데이터 유형 | 부울 |
com.ibm.ws.security.WSSecureMapInitAtStartup
이 특성은 보안 속성 전파에 사용하기 위해 동적 캐시의 일부인 보안 캐시(WSSecureMap)가 초기화되도록 설정합니다.
정보 | 값 |
---|---|
기본값 | true |
com.ibm.ws.security.WSSecureMapSize
이 특성은 보안 캐시(WSSecureMap) 크기를 지정합니다.
정보 | 값 |
---|---|
기본값 | 100 |
![[z/OS]](../images/ngzos.gif)
com.ibm.ws.security.zOS.useSAFidForTransaction
이 특성은 서버 ID가 필요한 트랜잭션 메소드(예: commit() 및 prepare())를 호출할 때 서버가 z/OS에서 시작된 태스크의 사용자 ID를 서버 ID로 사용하도록 하는 데 사용됩니다. 이 동작은 해당 서버의 서버 ID 설정과는 관계없이 발생합니다
예를 들어, 사용자 레지스트리에 저장된 실제 ID가 아닌 자동으로 생성된 서버 ID를 사용하도록 서버를 구성할 수 있습니다. 또한 이 서버가 CICS® 3.2 및 CICS 3.2와 통신하려면 SAF(SystemAuthorization Facility) ID를 사용해야 합니다. com.ibm.ws.security.zOS.useSAFidForTransaction이 true로 설정되면, 서버가 자동으로 생성된 ID를 사용하는 대신 SAF ID를 사용하여 CICS와 통신합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.wsspi.security.cred.refreshGroups
이 특성은 이전에 웹 서비스, Concurrency Utilities for Java EE 또는 비동기 Bean에 대한 비동기 보안 처리의 일부로 저장된 보안 컨텍스트를 직렬화 해제할 때 동작에 영향을 미칩니다.
이 특성을 true로 설정하면, 사용자와 연관된 그룹을 가져오기 위해 사용자 레지스트리가 액세스됩니다. 사용자가 레지스트리에 여전히 존재하는 경우 보안 컨텍스트에 직렬화된 그룹 대신에 사용자 레지스트리의 그룹이 사용됩니다. 사용자가 사용자 레지스트리에 없고 verifyUser 특성이 false로 설정된 경우 보안 컨텍스트의 그룹이 사용됩니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.wsspi.security.cred.verifyUser
이 특성은 이전에 웹 서비스 또는 비동기 Bean에 대한 비동기 보안 처리의 일부로 저장된 보안 컨텍스트를 직렬화 해제할 때 동작에 영향을 미칩니다.
이 특성을 true로 설정하면 사용자 레지스트리에 액세스하여 보안 컨텍스트의 사용자가 여전히 존재하는지 확인합니다. 존재하지 않는 경우 WSLoginFailedException이 발생합니다.
정보 | 값 |
---|---|
기본값 | false |
com.ibm.wsspi.security.ltpa.tokenFactory
이 특성은 LGPA 토큰을 사용할 수 있게하는 LTPA(Lightweight Third Party Authentication) 토큰 팩토리를 지정합니다.
LTPA 토큰에는 토큰 유형을 지정하는 오브젝트 ID(OID)가 없기 때문에 유효성 검증은 토큰 팩토리가 지정된 순서대로 수행됩니다. 애플리케이션 서버는 유효성 검증이 성공할 때까지 각 토큰 팩토리를 사용하여 토큰의 유효성을 검증합니다. 이 특성에 대해 지정되는 순서는 수신된 토큰의 순서와 거의 비슷합니다. 파이프(|) 앞에 공백 없이 파이프로 분리하여 여러 토큰 팩토리를 지정합니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
이 특성은 속성 전파 프레임워크에서 인증 토큰으로 사용되는 구현을 지정합니다. 특성은 인증 토큰으로 사용되는 이전 LTPA 토큰 구현을 제공합니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
이 특성은 인증 토큰으로 사용되는 구현을 지정합니다. 이 토큰 팩토리는 권한 정보를 인코드합니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
이 특성은 전파 토큰으로 사용되는 구현을 지정합니다. 이 토큰 팩토리는 전파 토큰 정보를 인코드합니다.
전파 토큰은 실행 스레드에 있으며 특정 사용자 주제와 연관되지 않습니다. 토큰은 프로세스가 수행하는 모든 곳에서 호출 다운스트림 플로우를 따릅니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
이 특성은 단일 사인온(SSO) 토큰에 사용되는 구현을 지정합니다. 이 구현은 com.ibm.ws.security.ssoInteropModeEnabled 특성의 상태에 관계 없이 전파가 사용 가능하게 되었을 떄 설정되는 쿠키입니다.
기본적으로 이 구현은 LtpaToken2 쿠키입니다.
정보 | 값 |
---|---|
기본값 | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
이 특성을 사용하여 요청에 대한 Kerberos 토큰이 만기된 후 요청에 대한 인증을 시스템이 처리하는 방법을 지정하십시오.
이 특성을 true로 설정하면 Kerberos 토큰이 만기된 후에 새로 고칠 수 없는 경우 요청의 인증에 실패합니다.
이 특성을 false로 설정하면 토큰이 만기되어도 요청의 인증에 실패하지 않습니다.
이 특성의 기본값은 false입니다.
security.allowCustomHTTPMethods
이 사용자 정의 특성을 사용하여 사용자 정의 HTTP 메소드를 허용합니다. 사용자 정의 HTTP 메소드는 표준 HTTP 메소드 이외의 메소드로, DELETE, GET, HEAD, OPTIONS, POST, PUT 또는 TRACE입니다.
이 특성이 기본값인 false로 설정되어 있는 경우, URI 패턴과 사용자 정의 HTTP 메소드의 조합이 security-constraint 요소에 나열되어 있지 않으면 URI 패턴만 사용하여 보안 제한 검색이 수행됩니다. 일치하는 항목이 있으면 <auth-constraints> 요소의 값이 적용됩니다. 이 동작은 잠재적 보안 노출을 최소화합니다.
이 특성이 true로 설정되어 있으면 사용자 정의 HTTP 메소드가 표준 HTTP 메소드로 처리됩니다. URI 패턴 및 HTTP 메소드 둘 다에 따라 권한이 결정됩니다. 대상 URI를 보호하려면 <web-resource-collection> 요소에 적절한 HTTP 메소드가 나열되어 있는지 확인하십시오.
security.enablePluggableAuthentication
이 특성은 더 이상 사용되지 않습니다. 대신 WEB_INBOUND 로그인 구성을 사용하십시오.
- 을 클릭하십시오.
- JAAS(Java Authentication and Authorization Service) 아래에서 시스템 로그인을 클릭하십시오.
정보 | 값 |
---|---|
기본값 | true |
security.useDefaultPolicyWhenJ2SDisabled
NullDynamicPolicy.getPermissions 메소드는 이 특성이 true로 설정된 경우 기본 정책 클래스가 사용 권한 오브젝트를 구성하도록 위임하는 옵션을 제공합니다. 이 특성을 false로 설정하면 빈 Permissions 오브젝트가 리턴됩니다.
정보 | 값 |
---|---|
기본값 | false |
security.useAllSSLClientAuthKeytypes
이 특성을 사용하면, SSL 핸드쉐이크 동안 클라이언트 역할을 하며 SSL 클라이언트 인증을 이용할 때 대상 서버가 제공하는 모든 SSL 키 유형이 클라이언트 인증서를 선택하는 데 사용되는지 확인할 수 있습니다.
SSL 클라이언트 인증에서 WebSphere Application Server는 대상 서버에서 보낸 인증 요청에 제공된 SSL 키 유형을 모두 선택하지는 않습니다. WebSphere는 가장 선호되는 SSL 키 유형만 선택합니다. SSL 키 유형이 가장 선호되는 SSL 키 유형과 일치하지 않는 경우, WebSphere는 키 저장소에 올바른 SSL 클라이언트 인증서가 있더라도 클라이언트 인증서를 보내지 않습니다.
WAS_customUserMappingImpl
이 보안 특성은 사용자 정의 UserMapping 클래스를 플러그인하는 데 사용됩니다. 이 값이 사용자 정의 사용자 맵핑 클래스 이름이 있는 보안 최상위 레벨에 설정된 경우, 이 값은 인증서 사용자 맵핑 및/또는 ID 어설션 사용자 맵핑을 사용자 정의하는 데 사용됩니다. 사용자는 사용자 정의 클래스를 포함하는 JAR 파일을 WAS_HOME/lib/ext에 배치해야 합니다.