Propriedades Customizadas de Segurança

Use esta página entender as propriedades customizadas psecurity.allowCustomHTTPMethodsredefined que estão relacionadas à segurança.

Para visualizar esta página do console administrativo, clique em Segurança > Segurança Global > Propriedades Customizadas. Em seguida, clique em Novo para incluir uma nova propriedade customizada e seu valor associado.

As propriedades customizadas neste tópico são configuradas no console administrativo através do caminho listado anteriormente, a menos que seja indicado de outra forma na descrição.

Você pode usar a página de propriedades customizadas para definir as seguintes propriedades de segurança:
[z/OS]

com.ibm.audit.field.length.limit

Esta propriedade se aplica apenas à implementação do emissor SMF que a IBM fornece para o recurso Auditoria de Segurança. É possível usar essa propriedade para especificar, em bytes, o comprimento no qual os dados de auditoria de comprimento variável serão truncados. Por padrão, se essa propriedade customizada não for especificada e o limite de 20480 for excedido, os campos dos dados de auditoria de comprimento variável serão truncados para 128 bytes.

Evitar Problemas Evitar Problemas: Você deve usar o comando modifyAuditEmitter para o objeto AdminTask para ativar essa propriedade customizada. Para obter uma descrição de como usar esse comando, consulte a documentação sobre AuditEmitterCommands do objeto AdminTask.gotcha

Os dados de relocação de SMF têm um limite de tamanho de 20480 bytes. Se os dados de auditoria exceder esse limite, eles serão truncados para evitar perda dos registros de auditoria.

Informações Valor
Default 20480
Type Um número inteiro entre 1 e 512

com.ibm.audit.report.granularity

Use esta propriedade para especificar quantos dados de auditoria são registrados para cada tipo de evento. Se você só precisar registrar informações básicas sobre um evento, por exemplo, quem executou qual ação para qual recurso e quando, a configuração dessa propriedade como high pode melhorar o desempenho do servidor de aplicativos.

É possível especificar valores de high, medium ou low para essa propriedade. O valor padrão é low.

Tabela 1. Tipo dos Dados Registrados para Cada Tipo de Evento com Base na Configuração de com.ibm.audit.report.granularity. A tabela a seguir indica o tipo de dado que é registrado para cada tipo de evento com base na configuração para esta propriedade.
Tipo de evento configuração alta configuração média configuração baixa
SessionContext sessionId sessionId, remoteHost sessionId, remoteHost, remoteAddr, remotePort
PropagationContext (só é relatada se o SAP estiver ativado) firstCaller (como parte de quem) firstCaller, e se o modo detalhado estiver ativado, callerList firstCaller, e se o modo detalhado estiver ativado, callerList
RegistryContext nada é registrado tipo de registro tipo de registro
ProcessContext nada registrado região região, e domínio se o detalhado estiver ativado
EventContext creationTime creationTime, globalInstanceId creationTime, globalInstanceId, eventTrailId e lastTrailId se o modo detalhado estiver ativado
DelegationContext identityName delegationType e identityName delegationType, roleName e identityName
AuthnContext nada é registrado authntipo Tipo authn
ProviderContext nada é registrado provedor provider e providerStatus
AuthnMappingContext mappedUserName mappedUserName e mappedSecurityRealm mappedUserName, mappedSecurityRealm e mappedSecurityDomain
AuthnTermContext terminateReason terminateReason terminateReason
AccessContext progName, action, appUserName, resourceName progName, action, appUserName, resourceName, registryUserName, accessDecision progName, action, appUserName, resourceName, registryUserName, accessDecision, resourceType, permissionsChecked, permissionsGranted, rolesChecked, rolesGranted
PolicyContext nada registrado policyName policyName, policyType
KeyContext keyLabel keyLabel, keyLocation keyLabel, keyLocation, certificateLifetime
MgmtContext nada registrado mgmtType, mgmtCommand mgmtType, mgmtCommand, targetInfoAttributes

com.ibm.CSI.disablePropagationCallerList

Esta propriedade desativa a lista de responsáveis pela chamada e não permite que a lista de responsáveis pela chamada seja alterada. Esta propriedade impede a criação de várias sessões.

Esta propriedade desativa completamente a inclusão de um responsável pela chamada ou lista de host no token de propagação. Configurar esta propriedade pode ser um benefício quando o responsável pela chamada ou lista do host no token de propagação não é necessária no ambiente.
Evitar Problemas Evitar Problemas: Se a propriedade customizada com.ibm.CSI.propagateFirstCallerOnly for configurada como true, essa configuração terá precedência sobre a configuração para esta propriedade.gotcha
Informações Valor
Padrão falso
[z/OS]

com.ibm.CSI.localCommDataForNonLocalOSEnabled

Esta propriedade permite que dados de comunicação local sejam utilizados como material de autenticação para a camada de transporte CSIv2 quando o registro do usuário não é um registro do usuário LocalOS.

Quando essa propriedade estiver configurada como true, os dados recuperados do transporte de comunicação local corresponderão ao ASID do cliente local que se conecta ao processo do WebSphere Application Server. Um usuário que corresponde ao ASID deve existir no registro do usuário. Quando um processo do WebSphere Application Server recebe uma Mensagem de Estabelecimento de CSIv2, e uma Asserção de Identidade é solicitada, os dados recuperados do transporte de comunicação local são usados para validar se o cliente possui permissão para declarar o usuário especificado no Token de Identidade na Camada do Atributo. Se o usuário que o ASID recebido representa está na lista de Identidades Confiáveis na página Autenticação de Entrada de CSIv2 no console administrativo, esse ID poderá declarar o Token de Identidade.

Informações Valor
Padrão falso

com.ibm.CSI.propagateFirstCallerOnly

Esta propriedade limita a lista de responsáveis pela chamada apenas ao primeiro responsável pela chamada, o que significa que a lista de responsáveis pela chamada não pode ser alterada. A configuração desta propriedade como true elimina o potencial para a criação de diversas entradas de sessão.

Esta propriedade registra em log o primeiro responsável pela chamada no token de propagação que permanece no encadeamento quando a propagação do atributo de segurança está ativada. Sem configurar esta propriedade, todos os comutadores do responsável pela chamada serão registrados em log, o que afeta o desempenho. Geralmente, apenas o primeiro responsável pela chamada é de interesse.

Evitar Problemas Evitar Problemas: Se a propriedade customizada com.ibm.CSI.disablePropagationCallerList for configurada como true, essa configuração terá precedência sobre a configuração para esta propriedade.gotcha
Informações Valor
Padrão true
Nota: O valor padrão da propriedade customizada de segurança com.ibm.CSI.propagateFirstCallerOnly é configurado como true. Quando essa propriedade é configurada como true, ela registra em log o primeiro responsável pela chamada no token de propagação que permanece no encadeamento quando a propagação do atributo de segurança é ativada. Quando essa propriedade é configurada como false, todos os alternadores do responsável pela chamada são registrados, o que pode afetar o desempenho.

com.ibm.CSI.rmiInboundLoginConfig

Essa propriedade especifica a configuração de login JAAS (Java Authentication and Authorization Service) que é utilizada para pedidos RMI (Chamada de Método Remoto) de entrada recebidos.

Conhecendo a configuração de login, é possível efetuar plug-in em um módulo de login que pode manipular casos específicos para logins de RMI.

Informações Valor
Padrão system.RMI_INBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingConfig

Essa propriedade define a configuração de login JAAS do sistema que é utilizada para executar mapeamento de proprietário específico do aplicativo.

Informações Valor
Padrão Nenhuma
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingEnabled

Esta propriedade, quando configurada como true, ativa a capacidade de mapeamento principal específica do aplicativo.

Informações Valor
Padrão falso

com.ibm.CSI.rmiOutboundLoginConfig

Essa propriedade especifica a configuração de login JAAS utilizada para pedidos de RMI que são enviados externamente.

Essa propriedade prepara principalmente os atributos propagados no Subject para envio para o servidor de destino. No entanto, é possível efetuar plug-in de um módulo de login customizado para executar o mapeamento de saída.

Informações Valor
Padrão system.RMI_OUTBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiOutboundMappingEnabled

Esta propriedade, quando configurada como true, permite que o assunto do responsável pela chamada original integrado no objeto WSSubjectWrapper seja restaurado.

Informações Valor
Padrão falso

com.ibm.CSI.supportedTargetRealms

Essa propriedade permite que credenciais autenticadas na região atual sejam enviadas a qualquer região especificada no campo Regiões de Destino Confiáveis. O campo Regiões de Destino Confiáveis está disponível no painel Autenticação de Saída do CSIv2. Essa propriedade permite que essas regiões executem mapeamento de entrada dos dados a partir da região atual.

Você não deve enviar informações sobre autenticação para uma região desconhecida. Portanto, esta propriedade fornece uma maneira de especificar que as regiões alternativas são confiáveis. Para acessar o painel Autenticação de Saída CSIv2, execute as seguintes etapas:
  1. Clique em Segurança > Segurança Global.
  2. Em Segurança de RMI/IIOP, clique em Autenticação de Saída de CSIv2.

com.ibm.security.multiDomain.setNamingReadUnprotected

Esta propriedade pode ser configurada como true se você desejar que a função CosNamingRead proteja todas as operações de leitura de nomenclatura. A configuração dessa propriedade como true equivale à designar a função CosNamingRead ao objeto especial Everyone. Quando esta propriedade é configurada, qualquer designação feita para a função CosNamingRead é ignorada.

Informações Valor
Padrão none
[z/OS]

com.ibm.security.SAF.forceDelegation

Determina se a delegação do System Authorization Facility (SAF) pode ser utilizada independentemente da autorização do SAF. Quando essa propriedade for configurada como true, a delegação do SAF poderá ser utilizada sempre que o registro do usuário for um registro do usuário do Repositório Associado e será configurado com uma ponte de registro do usuário do SAF.

Não existe valor padrão para esta propriedade.

[z/OS]

com.ibm.security.SAF.overrideStartupAPPL

Esta propriedade pode ser utilizada para substituir o valor do perfil do APPL, especificamente para as duas chamadas RACROUTE que são feitas durante a inicialização do servidor. Para estas chamadas, o valor de APPL não é usado para o processo de verificação de autorização, mas é disponibilizado para a rotina de saída de instalação. O valor do perfil do APPL utilizado para a verificação de autorização não é controlado por essa propriedade; ele é configurado como CBS390 ou para o valor do prefixo do perfil do SAF.

Informações Valor
Padrão none
[z/OS]

com.ibm.security.SAF.useAPPLpr

Esta propriedade customizada especifica se deve usar o perfil APPL para restringir o acesso ao WebSphere Application Server.

Se você definiu um prefixo de perfil do SAF, o perfil do APPL utilizado será o prefixo do perfil. Caso contrário, o nome do perfil do APPL será CBS390. Todas as identidades do z/OS que usam os serviços do WebSphere devem ter permissão de LEITURA ao perfil do APPL. Isto inclui todas as identidades do WebSphere Application Server, as identidades não autenticadas do WebSphere Application Server, as identidades administrativas do WebSphere Application Server, os IDs do usuário baseados em mapeamentos de função para usuário e todas as identidades do usuário para usuários do sistema. Se a classe do APPL não estiver ativa no sistema z/OS, essa propriedade não terá efeito, independentemente do seu valor.

Informações Valor
Padrão true

com.ibm.security.useFIPS

Especifica que algoritmos FIPS (Federal Information Processing Standard) são utilizados. O servidor de aplicativos utiliza o provedor criptográfico IBMJCEFIPS em vez do provedor criptográfico IBMJCE.

Informações Valor
Padrão falso

com.ibm.websphere.crypto.config.certexp.notify.fromAddress

Esta propriedade de segurança é usada para customizar o endereço de origem do email de notificação de expiração do certificado.

O valor designado a essa propriedade deve ser um endereço de Internet, como Notification@abc-company.com. Se essa propriedade não estiver configurada, o servidor de aplicativos usará o e-mail fromAddress: WebSphereNotification@ibm.com.

Informações Valor
Padrão Nenhuma

com.ibm.websphere.crypto.config.certexp.notify.textEncoding

Esta propriedade de segurança é utilizada para customizar o o conjunto de caracteres de codificação de texto para o e-mail de notificação de expiração de certificado.

O WebSphere Application Server envia um e-mail de notificação sobre expiração de certificado em inglês dos Estados Unidos ou sobre o conjunto de caracteres padrão da máquina (se um código do idioma não inglês for especificado). Se você quiser um conjunto de caracteres de codificação de texto diferente para o email de notificação de expiração de certificado, poderá utilizar essa propriedade para customizar o conjunto de caracteres de codificação de texto.

Informações Valor
Default Nenhuma

com.ibm.websphere.lookupRegistryOnProcess

Essa propriedade pode ser configurada quando as consultas de registro da região forem executadas usando um MBean em um servidor remoto e o domínio for a segurança do S.O. local.

Por padrão, as tarefas de registro do usuário listRegistryUsers e listRegistryGroups fazem consultas a partir do processo atual. No caso de Network Deployment (ND), esse é o gerenciador de implementação.

Ao lidar com um registro do usuário do S.O. local, a consulta deve ocorrer no servidor real no qual o registro reside. Em um ambiente do ND, o servidor poderia ser uma máquina remota. Para executar uma consulta no processo do servidor no qual o registro reside, configure a propriedade customizada com.ibm.websphere.lookupRegistryOnProcess como true.

Se com.ibm.websphere.lookupRegistryOnProcess não estiver configurada ou estiver configurada como false, a consulta será feita no processo atual. A propriedade customizada pode ser configurada utilizando-se a tarefa setAdminActiveSecuritySettings para segurança global ou a tarefa setAppActiveSecuritySettings para um domínio de segurança.

com.ibm.websphere.security.allow.committed.response

Essa propriedade customizada especifica se as respostas HTTP são permitidas.

Quando o servidor de aplicativos detecta uma resposta HTTP confirmada, ele exibe uma mensagem de erro 403 genérica. Configure essa propriedade como true para permitir respostas HTTP confirmadas e suprime as mensagens de erro 403. Em configurações que usam módulos de login customizados, o módulo pode confirmar uma resposta HTTP para exibir uma mensagem de erro customizada.

O valor padrão é false.

com.ibm.websphere.security.allowAnyLogoutExitPageHost

Quando estiver utilizando formulário de login e logout de aplicativos, será possível fornecer uma URL para uma página de logout customizada. Por padrão, a URL deve apontar para o host ao qual o pedido é feito ou para seu domínio. Se isso não for feito, uma página de logout genérica será exibida no lugar de uma customizada. Se desejar poder apontar para qualquer host, é necessário configurar esta propriedade no arquivo security.xml com um valor igual a true. A configuração desta propriedade como true pode abrir seus sistemas para ataques de redirecionamento de URL.

Informações Valor
Default falso

com.ibm.websphere.security.alwaysRestoreOriginalURL

Utilize esta propriedade para indicar se um cookie com o valor WASReqURL é respeitado quando o processador de login de formulário customizado é utilizado.

Quando essa propriedade é configurada como true, o valor de WASReqURL tem precedência sobre a atual URL, e o cookie WASReqURL é removido de pedidos subsequentes.

Quando essa propriedade é configurada como false, o valor da URL atual tem precedência, e o cookie WASReqURL não é removido de pedidos subsequentes.

Informações Valor
Padrão falso

com.ibm.websphere.security.auth.setDRSBootstrap

Especifica se o serviço de replicação de dados (DRS) ativa a função DRSbootstrap.

Em ambientes de alto volume, a replicação de dados de cache dinâmico pode aumentar a quantidade de tempo que demora para um servidor iniciar. Se você experimentar inicializações do servidor lentas devido à replicação de dados, inclua esta propriedade em suas configurações de segurança do servidor e configure-a como false. Quando esta propriedade é configurada como false, o serviço de replicação de dados desativa a função DRSbootstrap.

True é a configuração padrão para esta propriedade.

[z/OS]

com.ibm.websphere.security.cms.use.default

Especifica se a versão padrão do CMSProvider deve ser mudada ou não de v4 para v3 no z/OS para os novos keystores do CMS gerados usando o WebSphere Application Server.

Para o CMSProvider versão 2.50, a versão da especificação padrão é v4. Os novos keystores gerados estarão no nível v4 e o z/OS não pode usar atualmente os keystores do CMS v4. Para esses keystores do CMS v4 gerados, você configura com.ibm.websphere.security.cms.use.default=true, que muda a versão padrão do CMSProvider de v4 para v3 no z/OS. Se os seus keystores foram gerados antes dessas versões do Java, eles já são v3 e funcionarão com sucesso com o CMSProvider 2.50 no z/OS.

Informações Valor
Padrão falso

com.ibm.websphere.security.config.inherit.trustedRealms

Esta propriedade é usada para herdar as configurações da região confiável global a partir da configuração de segurança global no domínio.

As regiões de entrada e saída confiáveis de configuração de segurança não são herdadas por padrão. No entanto, Há alguns casos em que a configuração pode desejar usar (herdar) as configurações da configuração de segurança global no domínio.

O valor desta propriedade pode ser true ou false.

com.ibm.websphere.security.console.noSSLTreePortEndpoints

Esta propriedade é utilizada para melhorar o tempo de resposta para grandes configurações de topologia.

Quando essa propriedade é configurada como true, o status dos terminais de porta SSL não é exibido na página Gerenciar Configurações de Segurança do Terminal no console administrativo. A exibição do status dos terminais de porta SSL às vezes faz com que o console administrativo pareça estar fora de funcionamento devido a um tempo de resposta mais longo do que o esperado.

Informações Valor
Padrão falso

com.ibm.websphere.security.continueAfterTAIError

Esta propriedade o direciona automaticamente para uma página de login, se um TAI customizado retornar um erro.

Não é necessário digitar uma URL no navegador para tentar fazer login novamente. A propriedade deve ser configurada como true para ativar esse comportamento.

Informações Valor
Padrão falso

com.ibm.websphere.security.customLTPACookieName

Esta propriedade é usada para customizar o nome dos cookies usados para tokens Lightweight Third Party Authentication (LTPA).

O WebSphere Application Server Versão 8.0 permite que você customize o nome dos cookies usados para os tokens LTPA e LTPA2. Os nomes de cookies customizados permitem que você separe logicamente a autenticação entre domínios de conexão única (SSO) e ative a autenticação customizada para um determinado ambiente.

Para obter as vantagens dessa funcionalidade, uma propriedade customizada deverá ser configurada. Para tokens LTPA, a propriedade customizada com.ibm.websphere.security.customLTPACookieName pode ser configurada para qualquer sequência válida (caracteres especiais e espaços não são permitidos) para o cookie de token LTPA, e com.ibm.websphere.security.customSSOCookieName para o cookie de token LTPA2 (SSO). Cada propriedade faz distinção de maiúsculas e minúsculas.

O valor dessa propriedade é uma sequência válida.

Nota: Antes de configurar essa propriedade customizada, considere o seguinte:
  • Esta propriedade, como ocorre com a maioria das propriedades customizadas, pode ser configurada no nível de domínio de segurança. Dessa forma, um login separado pode ser forçado entre um login do console administrativo e um login de aplicativo.
  • Os nomes dos cookies padrão originais LtpaToken ou LtpaToken2 são aceitos e confiáveis pelo WebSphere Application Server Versão 8.0. Isso permite a compatibilidade com produtos, como Lotus Domino e WebSphere Portal, que utilizam o nome de cookie padrão.
  • A configuração de um nome de cookie customizado poderá causar uma falha de autenticação. Por exemplo, uma conexão com um servidor que tem uma propriedade de cookie customizada configurada envia esse cookie customizado para o navegador. Uma conexão subsequente para um servidor que usa o nome de cookie padrão ou um nome de cookie diferente não pode autenticar a solicitação através de uma validação do cookie de entrada.
  • Essa propriedade não funciona corretamente em um ambiente de células mistas. Por exemplo, um gerenciador de implementação no WebSphere Application Server Versão 8.0 pode ser capaz de criar cookies customizados. No entanto, um nó ou servidor do WebSphere Application Server Versão 7.0 existentes na mesma célula não entendem o que fazer com esse cookie e, subsequentemente, o rejeitam.
  • Se você usar um produto que interaja com o WebSphere Application Server, que gere tokens LTPA, como o Lotus Domino ou o WebSphere Portal, esteja ciente de que esses produtos talvez não possam tratar de nomes de cookies LTPA customizados. Consulte a documentação do produto sobre como tratar de nomes de cookies LTPA customizados.
Nota: Para ativar essa propriedade, uma reinicialização do WebSphere Application Server é necessária.

com.ibm.websphere.security.customSSOCookieName

Esta propriedade é usada para customizar o nome dos cookies usados para tokens Lightweight Third Party Authentication Versão 2 (LTPA2).

O WebSphere Application Server Versão 8.0 permite que você customize o nome dos cookies usados para os tokens LTPA e LTPA2. Os nomes de cookies customizados permitem que você separe logicamente a autenticação entre domínios de conexão única (SSO) e ative a autenticação customizada para um determinado ambiente.

Para obter as vantagens dessa funcionalidade, uma propriedade customizada deverá ser configurada. Para tokens LTPA, a propriedade customizada com.ibm.websphere.security.customLTPACookieName pode ser configurada para qualquer sequência válida (caracteres especiais e espaços não são permitidos) para o cookie de token LTPA, e com.ibm.websphere.security.customSSOCookieName para o cookie de token LTPA2 (SSO). Cada propriedade faz distinção de maiúsculas e minúsculas.

O valor dessa propriedade é uma sequência válida.

Nota: Antes de configurar essa propriedade customizada, considere o seguinte:
  • Esta propriedade, como ocorre com a maioria das propriedades customizadas, pode ser configurada no nível de domínio de segurança. Dessa forma, um login separado pode ser forçado entre um login do console administrativo e um login de aplicativo.
  • Os nomes dos cookies padrão originais LtpaToken ou LtpaToken2 são aceitos e confiáveis pelo WebSphere Application Server Versão 8.0. Isso permite a compatibilidade com produtos, como Lotus Domino e WebSphere Portal, que utilizam o nome de cookie padrão.
  • A configuração de um nome de cookie customizado poderá causar uma falha de autenticação. Por exemplo, uma conexão com um servidor que tem uma propriedade de cookie customizada configurada envia esse cookie customizado para o navegador. Uma conexão subsequente para um servidor que usa o nome de cookie padrão ou um nome de cookie diferente não pode autenticar a solicitação através de uma validação do cookie de entrada.
  • Essa propriedade não funciona corretamente em um ambiente de células mistas. Por exemplo, um gerenciador de implementação no WebSphere Application Server Versão 8.0 pode ser capaz de criar cookies customizados. No entanto, um nó ou servidor do WebSphere Application Server Versão 7.0 existentes na mesma célula não entendem o que fazer com esse cookie e, subsequentemente, o rejeitam.
  • Se você usar um produto que interaja com o WebSphere Application Server, que gere tokens LTPA, como o Lotus Domino ou o WebSphere Portal, esteja ciente de que esses produtos talvez não possam tratar de nomes de cookies LTPA customizados. Consulte a documentação do produto sobre como tratar de nomes de cookies LTPA customizados.
Nota: Para ativar essa propriedade, uma reinicialização do WebSphere Application Server é necessária.

com.ibm.websphere.security.delegateStarStarRoleAuthorization

A propriedade customizada com.ibm.websphere.security.delegateStarStarRoleAuthorization define se o código de segurança concede acesso a todos os usuários autenticados quando o nome da função é **.
  • true – O código de segurança concede acesso sem interação com a tabela de autorização conectável.
  • false - O código de segurança delega a decisão à tabela de autorização conectável. Esse é o valor padrão.

com.ibm.websphere.security.displayRealm

Essa propriedade especifica se a janela de login da autenticação básica HTTP exibirá o nome da região que não está definido no arquivo web.xml do aplicativo.

Nota: Se o nome da região for definido no arquivo web.xml do aplicativo, a propriedade será ignorada.
Se o nome da região não estiver definido no arquivo web.xml, um dos seguintes ocorre:
  • Se a propriedade estiver configurada como false, o nome de domínio do WebSphere exibido será Domínio Padrão.
  • Se essa propriedade estiver configurada como true, o nome de região do WebSphere exibido será o nome de região do registro de usuário para o mecanismo de autenticação LTPA ou o nome de região do Kerberos para o mecanismo de autenticação do Kerberos.
Importante: Se essa propriedade for configurada como true e o nome de região de registro do usuário contiver informações sensíveis, ela será exibida para o usuário. Por exemplo, se a configuração LDAP independente for usada, o nome de host e a porta do servidor LDAP serão exibidos. Para LocalOS, o nome de host será exibido.
Informações Valor
Default falso
Type Sequência de Caracteres

com.ibm.websphere.security.disableGetTokenFromMBean

Use esta propriedade para desativar a chamada SOAP de saída para recuperar o assunto do servidor original quando a Conexão Única está ativada.

Geralmente, quando a Conexão Única é ativada e uma solicitação de entrada precisa ser autenticada, o servidor receptor tenta recuperar a autenticação do servidor original. A conexão entre os servidores de emissão e de recebimento nunca expira durante esse procedimento de retorno.

Quando essa propriedade é configurada como true, o servidor de recebimento não tenta autenticar a solicitação de entrada.
Informações Valor
Default falso

com.ibm.websphere.security.enableAuditForIsCallerInRole

Use essa propriedade para ativar a auditoria para a chamada de método isCallerInRole.

Se você configurar essa propriedade como false, ela desativará a auditoria para a chamada de isCallerInRole. No z/OS, os registros do SMF não são emitidos para a chamada.

Informações Valor
Padrão true

com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound

Use essa propriedade quando o usuário fornecido por um TAI não é localizado no registro do usuário, de forma que uma página de login é exibida no lugar de uma página de erro.

Quando o usuário fornecido por um TAI não é localizado no registro do usuário, o WebSphere Application Server exibe uma página de erro. Para ajustar este comportamento, configure essa propriedade como true. Então, a página de login será exibida. A configuração padrão para essa propriedade é false e o comportamento normal do WebSphere Application Server é exibir uma página de erro.

Quando essa propriedade é configurada como true, a página de login é exibida.
Informações Valor
Padrão falso

com.ibm.websphere.security.initializeRSAProperties

Se for observada alta utilização da CPU no ambiente do Gerenciador de tarefa ou do Agente administrativo após a execução do Monitor de expiração do certificado, poderá ser necessário distribuir os nós para vários servidores, para reduzir a carga da CPU em um servidor.

Se essa propriedade estiver configurada como false, o WebSphere não executará a reinicialização de propriedades de SSL relacionadas ao token RSA. Antes de configurar essa propriedade como false, certifique-se de que o Gerenciador de tarefa ou o Agente administrativo não seja usado em seu ambiente. Esses recursos requerem tokens RSA e essa propriedade não deve ser usada.

Informações Valor
Padrão true

com.ibm.websphere.security.InvokeTAIbeforeSSO

A ordem de chamada padrão de Trust Association Interceptors (TAIs) em relação à autenticação de usuário de Conexão Única (SSO) pode ser alterada utilizando-se esta propriedade. A ordem padrão é chamar Trust Association Interceptors após a SSO. Essa propriedade é utilizada para alterar a ordem padrão da chamada de TAI com SSO. O valor da propriedade é uma lista separada por vírgulas (,) de nomes de classes de TAI que devem ser chamadas antes da SSO.

Informações Valor
Padrão com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
Tipo Sequência de Caracteres

com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain

Por padrão, quando entradas de dados de autenticação JAAS forem criadas no nível de segurança do domínio, o nome alternativo para a entrada estará no formato aliasName. É possível ativar a adição do nome do nó no nome alternativo para criar o nome alternativo, no formato nodeName/aliasName, para a entrada, configurando a propriedade a seguir no nível de segurança do domínio.

É possível configurar com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true no nível de segurança global para permitir a inclusão do nome do nó no nome do alias das entradas de dados de autenticação JAAS para todos os domínios de segurança.

Informações Valor
Default falso

com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal

Por padrão, quando as entradas de dados de autenticação JAAS são criadas no nível de segurança global, o nome alternativo para a entrada está no formato nodeName/aliasName. É possível desativar a inclusão do nome do nó no nome do alias para a entrada configurando um valor de true para essa propriedade no nível de segurança global.

Informações Valor
Padrão falso

com.ibm.websphere.security.krb.canonical_host

Essa propriedade customizada especifica se o servidor de aplicativos utiliza a forma canônica do nome de host URL/HTTP ao autenticar um cliente. Esta propriedade pode ser usada para SPNEGO TAI e SPNEGO Web.

Se você configurar esta propriedade customizada como false, um ticket Kerberos poderá conter um nome do host que difere do cabeçalho do nome do host HTTP e o servidor de aplicativos poderá emitir a mensagem a seguir:
CWSPN0011E: Um token SPNEGO inválido foi encontrado ao autenticar um HttpServletRequest
Se você configurar essa propriedade customizada como true, poderá evitar essa mensagem de erro e permitir que o servidor de aplicativos seja autenticado usando o formato canônico do nome de host de URL/HTTP.
Informações Valor
Default true

com.ibm.websphere.security.ldap.logicRealm

Essa propriedade customizada permite alterar o nome da região que é colocado no token.

Essa propriedade customizada permite configurar cada célula para ter seu próprio host LDAP para interoperabilidade e compatibilidade com versões anteriores. Além disso, ela fornece flexibilidade para incluir ou remover o host LDAP dinamicamente. Se estiver migrando uma instalação anterior, esse nome de região modificado não será efetivado até a segurança administrativa ser reativada. Para ser compatível com um release anterior que não suporta a região lógica, o nome deve ser o mesmo que o utilizado pela instalação anterior. Você deve utilizar o nome do host LDAP, incluindo dois pontos no final e um número de porta.

Informações Valor
Tipo Sequência de Caracteres
Esta propriedade deve ser configurada como a propriedade customizada de um registro LDAP independente. Para configurar esta propriedade customizada, no console administrativo:
  1. Clique em Segurança > Segurança global.
  2. No repositório Conta do Usuário, expanda a lista Definições de Região Disponíveis e selecione Registro LDAP Independente e, em seguida, clique em Configurar.
  3. Em Propriedades Customizadas, clique em Novo e, em seguida, insira com.ibm.websphere.security.ldap.logicRealm no campo Nome e o novo nome do domínio que é colocado no token no campo Valor.
  4. Selecione esta propriedade customizada e, em seguida, clique em Aplicar ou OK.

com.ibm.websphere.security.ldapSSLConnectionTimeout

Use esta propriedade, quando o SSL está ativado no servidor LDAP, para especificar, em milissegundos, a quantidade máxima de tempo que a Java Virtual Machine (JVM) espera por uma conexão do soquete antes de emitir um tempo limite.

Se um ou mais servidores LDAP independentes estiverem offline quando um processo do servidor iniciar, e LDAP-SSL estiver ativado, poderá haver um atraso de até três minutos no procedimento de inicialização, mesmo se você especificar um valor para a propriedade customizada com.sun.jndi.ldap.connect.timeout. Quando o LDAP-SSL é ativado, qualquer valor especificado para a propriedade com.sun.jndi.ldap.connect.timeout é ignorado.

Quando um valor é especificado para esta propriedade, a JVM tenta usar este valor de tempo limite de conexão ao tentar concluir uma conexão do soquete, em vez de tentar estabelecer um contexto de diretório. Quando nenhum valor é especificado para essa propriedade, a JVM tenta estabelecer um contexto de diretório.

Não existe valor padrão para esta propriedade.

com.ibm.websphere.security.logoutExitPageDomainList

Quando você está usando o formulário de login e logout do aplicativo, é possível fornecer uma URL para uma página de logout customizada. Por padrão, a URL deve apontar para o host ao qual o pedido é feito ou para seu domínio. Se isso não for feito, uma página de logout genérica será exibida no lugar de uma customizada. Se precisar apontar para um host diferente, será possível preencher esta propriedade no arquivo security.xml com uma lista separada por barra vertical (|) de URLs que são permitidas para a página de logout.

Informações Valor
Padrão none

com.ibm.websphere.security.performTAIForUnprotectedURI

Esta propriedade é usada para especificar o comportamento de chamada de TAI quando Usar dados de autenticação disponíveis quando um URI não protegido é acessado é selecionado no console administrativo.

Informações Valor
Padrão falso
Nota: Em versões anteriores do WebSphere Application Server, o valor padrão desta propriedade customizada era true. Para o WebSphere Application Server Versão 8.0.0.1, o valor padrão agora é false.

com.ibm.websphere.security.recoverContextWithNewKeys

Esta propriedade afeta o comportamento ao desserializar um contexto de segurança que foi salvo anteriormente como parte do processamento de segurança assíncrono para Serviços da Web ou Beans Assíncronos.

Quando esta propriedade é configurada como true, o contexto de segurança pode ser desserializado mesmo quando as chaves LTPA foram alteradas desde que o contexto foi serializado. Esta propriedade deve ser configurada como true se a desserialização do contexto de segurança falhar com uma WSSecurityException contendo esta mensagem: Validação do token LTPA falhou devido a chaves ou ao tipo de token inválidos.

Informações Valor
Padrão falso

com.ibm.websphere.security.rsaCertificateAliasCache

Esta propriedade é utilizada para controlar o tamanho do cache do alias.

O valor padrão é 5000 e pode ser aumentado para implementações maiores. Não é necessário incluir esta propriedade, a menos que sua topologia de Gerenciador de Tarefa exceda 5000 nós registrados.

O valor deve ser inserido no intervalo 1 - N, em que N é um número inteiro válido positivo maior ou igual ao número de nós registrados com o Gerenciador de Tarefas.

Informações Valor
Default 5000

com.ibm.websphere.security.setContextRootForFormLogin

Essa propriedade é usada para configurar um nome de caminho exclusivo sempre que um cookie WASReqURL é gerado.

Um navegador pode reter diversos cookies WASReqURL, contanto que cada cookie tenha um nome de caminho exclusivo. Quando essa propriedade é configurada como true, um nome de caminho exclusivo é configurado sempre que um cookie WASReqURL é gerado. Portanto, se tiver mais de um aplicativo usando o Login de Formulário como um método de login instalado no mesmo servidor de aplicativos, você deverá especificar essa propriedade como uma de suas configurações de segurança para o servidor de aplicativos e configurar a propriedade como true.

Informações Valor
Padrão falso

com.ibm.websphere.security.skip.canonical.lookup

Use essa propriedade se precisar ignorar a consulta canônica de um nome de host específico. O valor especificado para essa propriedade faz distinção entre maiúsculas e minúsculas e precisa corresponder ao nome do host no filtro SPNEGO.

O WebSphere Application Server espera que a Java API java.net.InetAddress #getCanonicalHostName() retorne um nome de host real. Em algumas situações, essa API retorna uma representação em sequência de um endereço IP em vez de um nome de host. Quando esse cenário ocorre, o WebSphere Application Server não pode reconhecer que a solicitação recebida precisa ser avaliada para autenticação SPNEGO.

Se observar essa situação, inclua essa propriedade customizada em suas definições de configuração de segurança e configure-a para o nome do host para o qual não deseja que ocorra uma consulta canônica.

Para especificar diversos nomes de hosts como o valor para essa propriedade, use o símbolo | como o separador entre os nomes de hosts que precisa especificar. Por exemplo, se não desejar que ocorra consulta canônica para os nomes de hosts myhost1.mycompany.com e myhost2.mycompany.com, especifique o valor a seguir para essa propriedade:
myhost1.mycompany.com|myhost2.mycompany.com
Informações Valor
Padrão Nenhuma

com.ibm.websphere.security.spnego.useBuiltInMappingToSAF

Use essa propriedade para assegurar que um mapeamento de um Kerberos principal para um ID de RACF seja executado para autenticação da web SPNEGO.

Se você não incluir esta propriedade em suas configurações de segurança, e configurá-la como true, um mapeamento de um Kerberos principal para um ID do RACF não será executado para a autenticação da web SPNEGO.

Evitar Problemas Evitar Problemas: Se a autenticação do Kerberos for usada em combinação com a autenticação da web SPNEGO, a configuração de um mapeamento integrado para Kerberos ou SPNEGO resultará em um mapeamento sendo feito para ambos.gotcha
Informações Valor
Padrão falso

com.ibm.websphere.security.strictCredentialExpirationCheck

Especifica se a verificação de expiração credencial ocorre para uma chamada de Enterprise JavaBeans (EJB) local. Normalmente, quando um EJB chama outro que está localizado em uma máquina local, ocorre uma solicitação de método direta, mesmo se as credenciais do invocador original expirarem antes de ocorrer a chamada do EJB local.

Se essa propriedade estiver configurada como true, uma verificação de expiração de credencial ocorrerá em uma chamada EJB local antes do EJB ser chamado na máquina local. Se as credenciais tiverem expirado, a chamada do EJB será rejeitada.

Se esta propriedade estiver configurada como false, uma verificação de expiração de credencial não ocorrerá para uma chamada de EJB local.

Informações Valor
Padrão falso

com.ibm.websphere.security.tokenFromMBeanSoapTimeout

Use essa propriedade para especificar quanto tempo o servidor de recebimento esperará que uma chamada SOAP de saída recupere a autenticação adequada do servidor original quando a Conexão Única for ativada.

Não existe valor padrão para esta propriedade. Se nenhum valor for especificado, o valor de tempo limite SOAP global será usado como o valor de tempo limite para a conexão SOAP.

com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens

Use esta propriedade para indicar que o registro do usuário ativo deve ser usado ao criar um novo token de Conexão Única (SSO) padrão.

Geralmente, um token de SSO padrão é criado sempre que há uma incompatibilidade entre o ID de acesso do token de autenticação de SSO recebido e o nome do principal no token de autorização. Uma causa possível desta incompatibilidade é ter regiões diferentes. Por exemplo, uma incompatibilidade ocorre se o domínio administrativo está usando um registro LocalOS e o registro ativo é LDAP.

A configuração desta propriedade como true faz com que novos tokens de SSO sejam criados usando o registro LDAP.

O valor padrão para a propriedade é false.

com.ibm.websphere.security.useLoggedSecurityName

Esta é uma propriedade customizada de registros do usuário. Essa propriedade altera o comportamento de criação de WSCredential.

Uma configuração false indica que o nome da segurança retornado por um registro do usuário sempre é usado para construir a WSCredential.

Uma configuração de true indica que um nome de segurança que é fornecido pelo módulo de login é utilizado ou um nome de exibição que foi fornecido por um registro do usuário é utilizado. Essa configuração é compatível com o WebSphere Application Server versão 6.1 e anterior.

Informações Valor
Padrão falso

com.ibm.websphere.security.util.csiv2SessionCacheIdleTime

Essa propriedade especifica o tempo em milissegundos que uma sessão CSIv2 pode permanecer inativa antes de ser excluída. A sessão é excluída se a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled é configurada como true e o tamanho máximo do cache de sessão CSIv2 é excedido.

Essa propriedade customizada aplica-se apenas se você ativar as sessões stateful, configurar a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled para true e configurar um valor para a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Considere diminuir o valor para essa propriedade customizada se seu ambiente utilizar autenticação do Kerberos e tiver um pequeno clock skew para o centro de distribuição de chaves (KDC) configurado. Nesse cenário, um clock skew curto é definido como inferior a 20 minutos.
Importante: Não configure um valor para essa função pelo painel de propriedade customizada porque o valor não é validado em relação ao intervalo de valores esperado. Em vez disso, configure o valor no painel de comunicações de saída do CSIv2, que fica disponível no console administrativo por meio da conclusão das seguintes etapas:
  1. Expanda a seção Segurança e clique em Segurança Global.
  2. Expanda a seção Segurança RMI/IIOP e clique em Comunicações de Saída do CSIv2.
É possível configurar o valor no campo Tempo Limite da Sessão Inativa. Entretanto, quando você especifica esse valor no painel de comunicações de saída do CSIv2, o valor do console administrativo será esperado em segundos e não em milissegundos.

O intervalo de valores para essa propriedade customizada é de 60.000 a 86.400.000 milissegundos. Por padrão, o valor não é configurado.

com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled

Esta propriedade customizada especifica se você deve limitar o tamanho do cache de sessão CSIv2.

Quando você configura essa propriedade customizada para true, você deve configurar os valores para as propriedades customizadas com.ibm.websphere.security.util.csiv2SessionCacheIdleTime e com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Quando você configura essa propriedade customizada como false, o cache de sessão CSIv2 não é limitado. O valor da propriedade padrão é false.

Considere configurar essa propriedade customizada como true se seu ambiente utilizar autenticação do Kerberos e tiver um pequeno clock skew para o key distribution center (KDC) configurado. Neste cenário, um pequeno clock skew é definido para menos de 20 minutos. Uma distorção de clock pequena pode resultar em um número maior de sessões CSIv2 rejeitadas. Porém, com um valor menor para a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime, o servidor de aplicativos pode limpar essas sessões rejeitadas com mais frequência e potencialmente reduzir as faltas de recursos.

Importante: Essa propriedade customizada aplica-se apenas se você ativar sessões stateful.
Importante: Embora seja possível ativar a opção para limitar o cache de sessão CSIv2 como uma propriedade customizada, é recomendável ativar a opção no painel de comunicações de saída do CSIv2, que fica disponível no console administrativo por meio da conclusão das seguintes etapas:
  1. Expanda a seção Segurança e clique em Segurança Global.
  2. Expanda a seção Segurança RMI/IIOP e clique em Comunicações de Saída do CSIv2.
É possível ativar a opção Ativar o limite de cache de sessão do CSIv2 . O valor padrão é false.

com.ibm.websphere.security.util.csiv2SessionCacheMaxSize

Esta propriedade especifica o tamanho máximo do cache de sessão após o qual sessões expiradas são excluídas do cache.

As sessões expiradas são definidas como sessões que ficam inativas por mais tempo que o especificado pela propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Quando você utilizar a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheMaxSize, considere configurar seu valor entre as entradas 100 e 1000.

Considere especificar um valor para essa propriedade customizada se seu ambiente utilizar autenticação do Kerberos e tiver um pequeno clock skew para o key distribution center (KDC) configurado. Neste cenário, um pequeno clock skew é definido para menos de 20 minutos. Considere aumentar o valor dessa propriedade customizada se o tamanho do cache pequeno fizer com que a coleta de lixo seja executada com tanta frequência a ponto de afetar o desempenho do servidor de aplicativos.

Essa propriedade customizada aplica-se apenas se você ativar as sessões stateful, configurar a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled para true e configurar um valor para a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime.

Importante: Não configure um valor para essa função pelo painel de propriedade customizada porque o valor não é validado em relação ao intervalo de valores esperado. Em vez disso, configure o valor no painel de comunicações de saída do CSIv2, que fica disponível no console administrativo por meio da conclusão das seguintes etapas:
  1. Expanda a seção Segurança e clique em Segurança Global.
  2. Expanda a seção Segurança RMI/IIOP e clique em Comunicações de Saída do CSIv2.
É possível configurar o valor no campo Tamanho Máximo de Cache .

O intervalo de valores para essa propriedade customizada é de 100 a 1000 entradas. Por padrão, o valor não é configurado.

[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.websphere.security.util.postParamMaxCookieSize

Esta propriedade configura um limite de tamanho para os cookies WASPostParam sendo gerados pelo código de segurança.

Quando estiver ativada a opção Utilizar Dados de Autenticação Disponíveis Quando um URI Desprotegido for Acessado e a autenticação baseada em Formulário a estiver utilizando, um WASPOSTParam será gerado durante o procedimento de autenticação do pedido HTTP POST mesmo se a URL de destino estiver desprotegida. Um cookie WASPOSTParam é um cookie temporário utilizado para armazenar os parâmetros HTTP POST. Isso faz com que o cliente da Web envie o cookie desnecessário com uma resposta HTTP. Isso pode provocar um comportamento inesperado quando o tamanho do cookie é maior do que o limite do navegador. Para impedir este comportamento, o com.ibm.websphere.security.util.postParamMaxCookieSize pode ser configurado para fazer com que o código de segurança pare de gerar o cookie, se o tamanho máximo especificado por esta propriedade for alcançado. O valor desta propriedade deve ser um inteiro positivo e representa o tamanho máximo do cookie em bytes.
Informações Valor
Padrão none

com.ibm.websphere.security.web.removeCacheOnFormLogout

Esta propriedade customizada permite especificar se um objeto em cache é removido do cache de autenticação e do cache dinâmico quando ocorre um formulário de logout. Um formulário de logout é um mecanismo que permite que um usuário efetue logout de um aplicativo sem precisar fechar todas as sessões do navegador da web.

Quando esta propriedade é configurada como false, as entradas em cache correspondentes não são removidas do cache de autenticação e do cache dinâmico quando ocorre um formulário de logout. Como resultado, se o mesmo usuário efetua login novamente após um formulário de logout, o objeto em cache é reutilizado.

Evitar Problemas Evitar Problemas: Como o objeto em cache original foi criado durante uma sessão de login anterior, o prazo de expiração para o objeto pode ser mais curto do que o valor de tempo limite configurado. gotcha

Quando esta propriedade é configurada como true, as entrada em cache são removidas do cache de autenticação e do cache dinâmico quando ocorre um formulário de logout.

O valor padrão é true.

com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI

Essa propriedade customizada especifica o comportamento da geração de cookies para tokens da Lightweight Third Party Authentication (LTPA) para solicitações de recursos da web de entrada.

Quando essa propriedade é true, o servidor de aplicativos gera e configura um cookie LTPAToken para todas as solicitações de recurso autenticado com êxito, independentemente de a solicitação ser para recursos da web protegidos ou não protegidos. Esse comportamento é diferente do comportamento no WebSphere Application Server Versão 6.1 e pode fazer com que alguns aplicativos desenvolvidos para a Versão 6.1 não funcionem em versões posteriores.

Configure essa propriedade como false para gerar um cookie LTPAToken somente para recursos da web protegidos. Esse comportamento é compatível com o WebSphere Application Server Versão 6.1.

O valor-padrão é true.

com.ibm.websphere.security.webAlwaysLogin

Esta propriedade especifica se o método login() lançará uma exceção se uma identidade já tiver sido autenticada. É possível substituir esse comportamento configurando essa propriedade como true.

Informações Valor
Default falso
Type Sequência de Caracteres
Nota: O método login() sempre usa o ID de usuário e senha para fazer autenticação do servidor de aplicativos WebSphere sem restrição de presença das informações SSO em HttpServletRequest.

com.ibm.websphere.ssl.include.ECCiphers

Essa propriedade customizada especifica se o WebSphere Application Server inclui cifras Elliptical Curve Cryptography (ECC) no conjunto de cifras padrão.

Quando essa propriedade não é configurada ou é configurada como false, por padrão o servidor de aplicativos não inclui cifras ECC. Configure a propriedade como true para incluir cifras ECC na lista de conjuntos de cifras padrão. Se SP800-131a ou o Suite B estiverem ativados, por padrão as cifras ECC serão sempre incluídas.

Informações Valor
Padrão true
Type Sequência de Caracteres

com.ibm.websphere.ssl.retrieveLeafCert

Essa propriedade customizada permite recuperar a partir função de porta para recuperar um certificado folha, em vez do certificado raiz.

A recuperação da porta deve recuperar o certificado folha, em vez do certificado raiz. Para obter o certificado folha, é necessário configurar a propriedade customizada com.ibm.websphere.ssl.retrieveLeafCert como true.

Quando essa propriedade não está configurada ou está configurada como false, a recuperação da função de porta recupera o certificado raiz. Configure essa propriedade como true se desejar recuperar da função de porta para recuperar o certificado folha, em vez do certificado raiz.

Informações Valor
Padrão falso
Type Sequência de Caracteres

com.ibm.ws.security.addHttpOnlyAttributeToCookies

Esta propriedade customizada permite configurar o atributo HTTPOnly para cookies de conexão única (SSO).

É possível usar a propriedade customizada com.ibm.ws.security.addHttpOnlyAttributeToCookies para proteger os cookies que contêm valores sigilosos. Quando você configura o valor dessa propriedade customizada como true, o servidor de aplicativos configura o atributo HTTPOnly para cookies de SSO cujos valores são configurados pelo servidor. O atributo HTTPOnly permite a proteção de valores sensíveis nos cookies.

Além disso, um valor true permite que o servidor de aplicativos reconheça, aceite e processe corretamente cookies de entrada com os atributos HTTPOnly e evitem que qualquer script de site cruzado acesse as informações de cookie sigilosas.

Um problema de segurança comum, que afeta servidores da Web, é o cross-site scripting. Cross-site scripting é uma vulnerabilidade do lado do servidor que muitas vezes é criada quando entrada do usuário é renderizada como HTML. Os ataques de cross-site scripting podem expor informações sensíveis sobre os usuários do website. Os navegadores da Web mais modernos respeitam o atributo HTTPOnly para evitar esse ataque. Um cookie com esse atributo é chamado cookie HTTPOnly. Informações existentes em um cookie HTTPOnly têm menos chances de serem divulgadas para um hacker ou website doloso. Para obter mais informações sobre o atributo HTTPOnly, consulte o website do Open Web Application Security Project (OWASP).

Importante: Quando você usa essa propriedade customizada, o atributo HTTPOnly não é incluído em cada cookie que passa pelo servidor de aplicativos. Além disso, o atributo não é incluído em outros cookies não seguros que são criados pelo servidor de aplicativos. Uma lista de cookies não HTTPOnly inclui:
  • Cookies JSESSIONID
  • Os cookies SSO que são criados pelos autenticadores ou provedores a partir de outro fornecedor de software.
  • Os cookies de cliente ou de navegador que ainda não contém o atributo HTTPOnly.
É possível configurar ou remover essa propriedade customizada do painel de Conexão Única no console administrativo fazendo o seguinte:
  1. Clique em Segurança > Segurança global.
  2. Em Autenticação, clique em Segurança da Web e SIP > SSO (Conexão Única).
Informações Valor
Padrão true
Type Booleana

com.ibm.ws.security.allowNonAdminToSecurityXML

Esta propriedade especifica se as funções de segurança não administrativas têm permissão para modificar o arquivo security.xml. A configuração desta propriedade como true fornece às funções de segurança não administrativas a capacidade de modificar o arquivo security.xml. Na Versão 6.1 e posterior, por padrão, as funções de segurança não administrativas têm a capacidade de modificar o arquivo security.xml.

Informações Valor
Padrão falso
Type Booleana

com.ibm.ws.security.config.SupportORBConfig

Especifica se verificar ou não o object request broker (ORB) para propriedades. Essa propriedade precisa ser configurada como uma propriedade de sistema. Você configura essa propriedade como true ou yes para que o ORB seja verificado quanto às propriedades. Para qualquer outra configuração, o ORB é completamente ignorado.

A propriedade deve ser usada quando um cliente de aplicativo conectável se conectar ao WebSphere Application Server. Especificamente, essa propriedade é utilizada sempre que um hashmap contendo propriedades de segurança é transmitido em um hashmap em uma nova chamada InitialContext(env).

com.ibm.ws.security.createTokenSubjectForAsynchLogin

Nesta liberação, os dados reais do token LTPA não estão disponíveis a partir de uma chamada WSCredential.getCredentialToken(), quando chamados a partir de um proxy contextual ou bean assíncrono. Para uma configuração existente, é possível incluir a propriedade customizada com.ibm.ws.security.createTokenSubjectForAsynchLogin e um valor true para permitir que o LTPAToken seja redirecionado para proxies contextuais e beans assíncronos. Essa propriedade permite que os portlets desempenhem o redirecionamento de token LTPA com êxito. Essa propriedade customizada faz distinção entre maiúsculas e minúsculas. Você deve reiniciar o servidor de aplicativos após incluir essa propriedade customizada.

Evitar Problemas Evitar Problemas: Essa propriedade customizada aplica-se apenas às condições do sistema em que o Servidor A faz chamadas EJB de proxies contextuais ou beans assíncronos para o Servidor B. Essa propriedade não se aplica a situações de login JAAS.gotcha
Informações Valor
Padrão não aplicável

com.ibm.ws.security.defaultLoginConfig

Essa propriedade é a configuração de login do JAAS que é utilizada para logins que não ficam sob as categorias de configuração de login WEB_INBOUND, RMI_OUTBOUND ou RMI_INBOUND.

Autenticação interna e protocolos que não têm pontos de conexão JAAS específicos chamam a configuração de login do sistema que é referida pela configuração com.ibm.ws.security.defaultLoginConfig.

Informações Valor
Padrão system.DEFAULT

com.ibm.ws.security.failSSODuringCushion

Utilize a propriedade customizada com.ibm.ws.security.failSSODuringCushion para atualizar dados do JAAS Subject customizados para o token LTPA.

Quando você não configura esta propriedade customizada como true, novos Assuntos do JAAS não podem conter os dados do Assunto do JAAS customizados.

O valor padrão é true.

com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA

Use a propriedade customizada com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA para corrigir um erro de "nome da biblioteca inválido" quando você tenta usar um keystore do tipo PKCS11 com um cliente Java.

[z/OS]Além disso, use essa propriedade customizada se você estiver usando o provedor IBMJCECCA, pois os sistemas operacionais distribuídos e z/OS usam tipos diferentes de provedores para criptografia de hardware.

O arquivo ssl.client.props aponta para um arquivo de configuração que, por sua vez, aponta para o nome da biblioteca para o dispositivo criptográfico. O código para o cliente Java procura um tipo de keystore para o nome do provedor correto. Sem essa propriedade customizada, a constante de tipo de keystore para PKCS11 não é especificada corretamente, já que faz referência ao provedor IBMPKCS11Impl. Além disso, o código Lightweight Third Party Authentication (LTPA) usa a lista de provedores para determinar o provedor Java Cryptography Extension (JCE). Essa abordagem causa um problema quando é feita uma tentativa de aceleração de Secure Sockets Layer (SSL), pois o provedor IBMPKCS11Impl precisa ser listado antes do provedor IBMJCE no arquivo java.security.

Essa propriedade customizada corrige ambos os problemas para que SSL e outros mecanismos criptográficos possam utilizar aceleração de hardware.

Evitar Problemas Evitar Problemas: LTPA não pode utilizar aceleração de hardware porque as chaves de software para LTPA não implementam a interface java.security.interfaces.RSAPrivateCrtKey, que é requerida por várias placas aceleradoras.gotcha

Configure esta propriedade customizada como true quando desejar usar um keystore do tipo PKCS11 com um cliente Java.

Informações Valor
Padrão falso

com.ibm.ws.security.ltpa.useCRT

Use esta propriedade para melhorar a utilização da CPU durante a operação sign() que ocorre quando um novo token LTPA2 (SSO) é criado. Quando essa propriedade é configurada como true, o produto implementa o algoritmo Chinese Remainder Theorem (CRT) ao assinar o novo token. Essa propriedade não tem efeito sobre o token LTPA com estilo antigo.

Informações Valor
Default falso

com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA

Use a propriedade customizada com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA para forçar que validação do token RSA seja realizada no software.

Alguns cartões de criptografia de hardware não são compatíveis com os tokens RSA. Se receber a mensagem A assinatura do token rsa não foi verificada, pode ser necessário usar o mecanismo de autenticação LTPA em vez de tokens RSA para validação de segurança. Para alterar suas definições de validação de segurança:
  1. No console administrativo, clique em Segurança Global > Autenticação Administrativa e desmarque Token RSA.
  2. Selecione Usar somente o mecanismo de autenticação do aplicativo ativo.
  3. Clique em Propriedades Customizadas e, em seguida, clique em Novo para incluir a propriedade customizada com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA em suas configurações de segurança.
  4. Inclua com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA no campo Nome e true no campo Valor.

Quando essa propriedade for configurada para true, o provedor JCE do software padrão, em vez de IBMJCECCA, é usado para validação de segurança.

Informações Valor
Padrão falso

com.ibm.ws.security.ssoInteropModeEnabled

Esta propriedade determina se os cookies LtpaToken2 e LtpaToken serão enviados em resposta a uma solicitação da Web (interoperável).

Quando este valor da propriedade é false, o servidor de aplicativos apenas envia o novo cookie LtpaToken2 que é mais forte, mas não interoperável com alguns outros produtos e liberações do WebSphere Application Server anteriores à Versão 5.1.1. Na maioria dos casos, o cookie LtpaToken antigo não é necessário e você pode configurar esta propriedade como false.

Informações Valor
Padrão true

com.ibm.ws.security.unprotectedUserRegistryMethods

Especifica os nomes de método na interface UserRegistry, como getRealm, getUsers e isValidUser, que você não quer proteger contra acesso remoto. Se você especificar vários nomes de métodos, separe os nomes com um espaço, uma vírgula, um ponto e vírgula e uma barra separadora. Consulte sua implementação do arquivo de interfaces UserRegistry para obter uma lista completa de nomes de métodos válidos.

Se você especificar um * como o valor para essa propriedade, todos os métodos ficarão desprotegidos com relação ao acesso remoto. Se um valor não for especificado para essa propriedade, todos os métodos ficarão protegidos contra o acesso remoto.

Se for feita uma tentativa de acessar remotamente um método de interface UserRegistry protegido, o processo remoto receberá uma exceção CORBA NO_PERMISSION com um código secundário 49421098.

Não existe valor padrão para esta propriedade.

com.ibm.ws.security.web.saml.disableDecodeURL

Essa propriedade fornece uma opção para desativar a decodificação de URL.

Quando a SSO da web do SAML está ativada e o SAML TAI é chamado, um cookie é configurado para armazenar a URL da solicitação original. Após a autenticação, a URL original é decodificada antes de ser enviada como um redirecionamento. Quando esse valor da propriedade é configurado para true, a URL original para redirecionamento é usada sem decodificar a URL. Para configurar essa propriedade com o console administrativo, clique em Segurança > Segurança global > Propriedades customizadas. Clique em Novo para incluir uma nova propriedade customizada e seu valor associado.

Informações Valor
Padrão falso

com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

Essa propriedade determina o comportamento de um login LtpaToken2 de conexão única.

Se o token contiver uma chave de token customizada e o Assunto customizado não puder ser localizado, então o token será usado para efetuar login diretamente, visto que as informações customizadas precisarão ser reagrupadas se a propriedade estiver configurada como true. Uma contestação também ocorre para que o usuário precise efetuar login novamente. Quando este valor da propriedade é configurado como false e o Assunto customizado não é localizado, o LtpaToken2 é usado para efetuar login e reunir todos os atributos de registro. No entanto, o token pode não obter nenhum atributo especial que os aplicativos de recebimento de dados possam esperar.

Informações Valor
Padrão true

com.ibm.ws.security.webInboundLoginConfig

Esta propriedade é a configuração de login do JAAS que é usada para solicitações da Web que são recebidas internamente.

Conhecendo a configuração de login, é possível efetuar plug-in em um módulo de login customizado que pode tratar de casos específicos para logins da Web.

Informações Valor
Padrão system.WEB_INBOUND

com.ibm.ws.security.webInboundPropagationEnabled

Essa propriedade determina se um cookie LtpaToken2 recebido deve procurar pelos atributos propagados localmente antes de procurar o servidor de login original especificado no token. Após os atributos propagados serem recebidos, o Subject é regenerado e os atributos customizados são preservados.

É possível configurar o serviço de replicação de dados (DRS) para enviar os atributos propagados para servidores front-end para que uma consulta de cache dinâmico local possa localizar os atributos propagados. Caso contrário, um pedido MBean é enviado ao servidor de login original para recuperar esses atributos.

Informações Valor
Padrão true

com.ibm.ws.security.web.logoutOnHTTPSessionExpire

Essa propriedade especifica se os usuários serão desconectados depois que o cronômetro da sessão HTTP expirar.

Se configurado como false, a credencial do usuário permanecerá ativa até o tempo limite do token de Conexão Única ocorrer.
Atenção: A propriedade com.ibm.ws.security.web.logoutOnHTTPSessionExpire se aplica apenas aos aplicativos que usam o login de formulário.
Informações Valor
Padrão falso
Required falso
Tipo de Dado booleano

com.ibm.ws.security.WSSecureMapInitAtStartup

Esta propriedade estabelece que o cache de segurança (WSSecureMap), como parte do cache dinâmico, seja inicializado para uso na propagação do atributo de segurança.

Informações Valor
Padrão true

com.ibm.ws.security.WSSecureMapSize

Esta propriedade especifica o tamanho do cache de segurança (WSSecureMap).

Nota: O tamanho especificado para com.ibm.ws.security.WSSecureMapSize é usado APENAS se com.ibm.ws.security.WSSecureMapInitAtStartup estiver configurado como true.
Informações Valor
Padrão 100
[z/OS]

com.ibm.ws.security.zOS.useSAFidForTransaction

Essa propriedade é usada para permitir que um servidor use a identidade do usuário para a tarefa iniciada pelo z/OS como a identidade do servidor ao chamar métodos transacionais, como commit() e prepare(), que exigem a identidade do servidor. Este comportamento ocorre independentemente da configuração de identidade do servidor para esse servidor.

Como um exemplo, um servidor pode ser configurado para utilizar a identidade de servidor gerada automaticamente, que não é a identidade real armazenada em um repositório de usuário. Além disso, talvez o servidor precise se comunicar com o CICS 3.2 e o CICS 3.2 requer o uso de identidades System Authorization Facility (SAF). Se com.ibm.ws.security.zOS.useSAFidForTransaction for configurado como true, o servidor usará uma identidade SAF para se comunicar com o CICS, em vez de usar a identidade gerada automaticamente.

Informações Valor
Default falso

com.ibm.wsspi.security.cred.refreshGroups

Essa propriedade afeta o comportamento ao desserializar um contexto de segurança que foi salvo anteriormente como parte do processamento de segurança assíncrono para serviços da web, Utilitários de simultaneidade para Java E ou beans assíncronos.

Quando esta propriedade é configurada como true, o registro do usuário é acessado para obter os grupos associados ao usuário. Se o usuário ainda existir no registro, os grupos do registro do usuário serão usados no lugar dos grupos que foram serializados no contexto de segurança. Se o usuário não for localizado no registro do usuário, e a propriedade verifyUser for configurada como false, os grupos do contexto de segurança serão usados.

Informações Valor
Padrão falso

com.ibm.wsspi.security.cred.verifyUser

Esta propriedade afeta o comportamento ao desserializar um contexto de segurança que foi salvo anteriormente como parte do processamento de segurança assíncrono para Serviços da Web ou Beans Assíncronos.

Quando esta propriedade é configurada como true, o registro do usuário é acessado para verificar que o usuário do contexto de segurança ainda existe. Se ele não existir, uma WSLoginFailedException será lançada.

Informações Valor
Padrão falso

com.ibm.wsspi.security.ltpa.tokenFactory

Essa propriedade especifica os depósitos de informações do provedor de tokens LTPA (Lightweight Third Party Authentication) que podem ser utilizados para validar os tokens LTPA.

A validação ocorre na ordem em que os depósitos de informações do provedor de tokens são especificados, pois tokens LTPA não têm OIDs (Object Identifiers) que especificam o tipo de token. O Application Server valida os tokens utilizando cada factory de token até a validação ser bem-sucedida. A ordem especificada para essa propriedade é a ordem mais provável dos tokens recebidos. Especifique vários factories de token separando-os por uma barra vertical (|) sem espaços antes ou após a barra.

Informações Valor
Padrão com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.authenticationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de autenticação na estrutura da propagação do atributo. A propriedade fornece a implementação de um token LTPA antigo para utilização como o token de autenticação.

Informações Valor
Padrão com.ibm.ws.security.ltpa.LTPATokenFactory

com.ibm.wsspi.security.token.authorizationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de autorização. Essa factory de token codifica as informações de autorização.

Informações Valor
Padrão com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.propagationTokenFactory

Essa propriedade especifica a implementação que é utilizada para um token de propagação. Essa factory de token codifica as informações do token de propagação.

O token de propagação está no encadeamento de execução e não está associado a nenhum Subject de usuário específico. O token segue o fluxo de recebimento de dados de chamada onde quer que o processo leve.

Informações Valor
Padrão com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.singleSignonTokenFactory

Essa propriedade especifica a implementação utilizada para um token SSO (conexão única). Essa implementação é o cookie que é configurado quando a propagação é ativada, independentemente do estado da propriedade com.ibm.ws.security.ssoInteropModeEnabled.

Por padrão, essa implementação é o cookie LtpaToken2.

Informações Valor
Padrão com.ibm.ws.security.ltpa.LTPAToken2Factory

com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken

Use esta propriedade para especificar como você deseja que o sistema trate a autenticação de uma solicitação após a expiração do token Kerberos da solicitação.

Quando essa propriedade for configurada como true, se um token do Kerberos não puder ser atualizado após a expiração, a autenticação da solicitação falhará.

Quando essa propriedade for configurada como false, a autenticação da solicitação não falhará, mesmo que o token expire.

O valor-padrão para essa propriedade é false.

security.allowCustomHTTPMethods

Use esta propriedade customizada para permitir métodos de HTTP customizados. Os métodos de HTTP customizados são diferentes dos métodos de HTTP padrão, que são: DELETE, GET, HEAD, OPTIONS, POST, PUT ou TRACE.

Quando essa propriedade for configurada como false, que é o padrão, se uma combinação de um padrão de URI e um método de HTTP customizado não estiverem listados no elemento de restrição de segurança, uma procura da restrição de segurança será executada usando apenas um padrão de URI. Se houver uma correspondência, o valor do elemento <auth-constraints> será aplicado. Esse comportamento minimizará uma possível exposição de segurança.

Quando essa propriedade for configurada como true, os métodos de HTTP customizados serão tratados como os métodos de HTTP padrão. Uma decisão de autorização será feita pelo padrão de URI e o método de HTTP. Para proteger corretamente um URI de destino, certifique-se de que os métodos de HTTP adequados estejam listados no elemento <web-resource-collection>.

security.enablePluggableAuthentication

Essa propriedade não é mais utilizada. Em vez disso, utilize a configuração de login WEB_INBOUND.

Conclua as etapas a seguir para modificar a configuração de login WEB_INBOUND:
  1. Clique em Segurança > Segurança Global.
  2. Em Java Authentication and Authorization Service, clique em Logins do sistema.
Informações Valor
Padrão true

security.useDefaultPolicyWhenJ2SDisabled

O método NullDynamicPolicy.getPermissions fornece uma opção para delegar uma classe de política padrão para construir um objeto Permissões quando esta propriedade é configurada como true. Quando esta propriedade for configurada como false, um objeto Permissões vazio será retornado.

Informações Valor
Padrão falso

security.useAllSSLClientAuthKeytypes

Essa propriedade é utilizada para assegurar que ao agir como o cliente durante um handshake SSL, usando a Autenticação de Cliente SSL, todos os tipos de chaves SSL fornecidos pelo servidor de destino serão usados na seleção de um Certificado de cliente.

Em Autenticação de cliente SSL, o WebSphere Application Server não seleciona todos os tipos de chave SSL fornecidos na solicitação de certificado enviada pelo servidor de destino. O WebSphere seleciona somente o tipo de chave SSL preferencial. Se o tipo de chave SSL não corresponder ao tipo de chave SSL preferencial, o WebSphere não enviará um certificado cliente, mesmo que haja um certificado de cliente SSL correto no keystore.

WAS_customUserMappingImpl

Essa propriedade de segurança é usada para a classe UserMapping customizada de plug-in. Se esse valor estiver configurado em um nível superior de segurança com o nome de classe do mapeamento de usuário, ele é usado para a customização do mapeamento do usuário de certificado e/ou mapeamento do usuário de asserção de identidade. É necessário que o usuário coloque o arquivo JAR que inclui a classe customizada em WAS_HOME/lib/ext.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_seccustomprop
Nome do arquivo: usec_seccustomprop.html