Web 认证设置

使用此页面来指定与 Web 客户机相关联的 Web 认证设置。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 在“认证”下,展开 Web 和 SIP 安全性并单击常规设置
[IBM i][AIX Solaris HP-UX Linux Windows]可以通过在服务器级别上指定下列一个或多个系统属性来覆盖在此面板上选择的全局 Web 认证设置。完成以下步骤,以指定这些系统属性中的一个:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“服务器基础结构”下,单击 Java 和进程管理 > 进程定义
  3. 在“其他属性”下,单击 Java 虚拟机 > 定制属性 > 新建
[z/OS]可以通过为控制器和服务方指定下列一个或多个系统属性来覆盖在此面板上选择的全局 Web 认证设置。完成以下步骤,以便为控制器指定这些系统属性中的一个:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“服务器基础结构”下,单击 Java 和进程管理 > 进程定义
  3. 在“其他属性”下,单击 Java 虚拟机 > 定制属性 > 新建
[z/OS]完成以下步骤,以便为服务方指定这些系统属性中的一个:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“服务器基础结构”下,单击 Java 和进程管理 > 进程定义
  3. 在“其他属性”下,单击 Java 虚拟机 > 定制属性 > 新建
表 1. Web 认证系统属性值. 此表列示 Web 认证系统属性值。
属性名 说明
com.ibm.wsspi.security.web.webAuthReq 延迟 此值与仅当 URI 受保护时才进行认证选项等同。
注: 在使用全局域或安全域时,可以通过管理控制台或脚本编制以不同方式来设置 webAuthReq,但全局级别始终优先。
com.ibm.wsspi.security.web.webAuthReq 持久 此值与当访问不受保护的 URI 时使用可用的认证数据选项等同。
com.ibm.wsspi.security.web.webAuthReq 始终 此值与访问任何 URI 时都进行认证选项等同。
com.ibm.wsspi.security.web.failOverToBasicAuth true 此值与当 HTTPS 客户机的证书认证失败时缺省为基本认证选项等同。

仅当 URI 受保护时才进行认证

当 Web 客户机访问受 Java™ Platform, Enterprise Edition (Java EE) 角色保护的统一资源标识 (URI) 时,应用程序服务器将要求该 Web 客户机提供认证数据。仅当 Web 客户机访问受保护的 URI 时,才能获得已认证标识。

此选项是缺省的 Java EE Web 认证行为,在先前发行版的 WebSphere® Application Server 中也提供了此行为。

注: 当您选择此选项时,管理控制台的登录页面将缺少图像。您在管理控制台中可能会遇到以下错误:“CWLAA6003: Could not display the portlet, the portlet may not be started. Check the error logs”。

此选项的副作用就是缺少图像和产生错误消息。由于现在需要认证图像的 URI,而认证操作要求您登录,因此不会显示图像。您可以忽略此错误消息。

信息
缺省: 已启用

当访问不受保护的 URI 时使用可用的认证数据

Web 客户机可以访问先前无法访问的有效的已认证数据。此选项使 Web 客户机能够调用 getRemoteUser、isUserInRole 和 getUserPrincipal 方法来从不受保护的 URI 中检索已认证标识。

当同时选中此选项和仅当 URI 受保护时才进行认证选项时,无论 URI 是否受保护,Web 客户机都可以使用已认证数据。

当选择了此选项并且要使用基于表单的认证时,在认证 HTTP POST 请求的过程中,即使目标 URL 不受保护,也会生成 WASPostParam cookie。WASPOSTParam Cookie 是用于存储 HTTP POST 参数的临时 cookie。这导致向 Web 客户机发送不必要的 Cookie 和 HTTP 响应。当 Cookie 的大小大于浏览器限制时,这可能导致意外的行为。为了避免此行为,可以设置定制属性 com.ibm.websphere.security.util.postParamMaxCookieSize,以便在达到最大大小的情况下,让安全性代码停止生成 Cookie。

要点: 当 Web 客户机访问没有已认证数据不受保护的 URI 时,此选项不会要求 Web 客户机提供已认证数据。
信息
缺省: 已启用

访问任何 URI 时都进行认证

无论 URI 是否受保护,Web 客户机都必须提供认证数据。

信息
缺省: 已禁用

当 HTTPS 客户机的证书认证失败时缺省为基本认证

当必须进行的 HTTPS 客户机证书认证失败时,应用程序服务器使用基本认证方法来要求 Web 客户机提供用户标识和密码。

应用程序服务器安全性执行的 HTTP 客户机证书认证与 Web 服务器插件执行的客户机认证不同。如果对 Web 服务器插件进行了相互认证配置,并且客户机认证失败,就会发生下列情况:
  • Web 服务器生成错误,并且应用程序服务器安全性不处理该 Web 请求。
  • 应用程序服务器无法执行故障转移以转移到基本认证。
信息
缺省: 已禁用

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_webauth
文件名:usec_webauth.html