安全性定制属性
使用此页面来了解与安全性相关的 psecurity.allowCustomHTTPMethodsredefined 定制属性。
要查看此管理控制台页面,请单击新建以添加新的定制属性及其相关联的值。
。然后单击除非描述中另有说明,否则将在管理控制台中通过先前列示的操作途径来设置本主题中的定制属性。
com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.CSI.disablePropagationCallerList
com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
com.ibm.CSI.rmiInboundMappingConfig
com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
com.ibm.security.SAF.forceDelegation
com.ibm.security.SAF.overrideStartupAPPL
com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.auth.setDRSBootstrap
com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.delegateStarStarRoleAuthorization
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.canonical.lookupcom.ibm.websphere.security.skip.canonical.lookup
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.useDefaultPolicyWhenJ2SDisabled
- security.useAllSSLClientAuthKeytypes
- WAS_customUserMappingImpl
![[z/OS]](../images/ngzos.gif)
com.ibm.audit.field.length.limit
此属性仅适应于 IBM 为“安全性审计”功能提供的 SMF 发射器实现。可以使用此属性来指定截断后的可变长度审计数据的长度(以字节计)。缺省情况下,如果未指定此定制属性并且可变长度审计数据字段超过了阈值限制( 20480 个字节),那么会将该字段截断为 128 个字节。

SMF 重定位数据的阈值大小限制是 20480 个字节。如果审计数据超过此限制,那么将截断审计数据以防止丢失审计记录。
信息 | 值 |
---|---|
缺省 | 20480 |
类型 | 1 到 512 之间的整数 |
com.ibm.audit.report.granularity
使用此属性可指定要为每种事件类型记录的审计数据量。如果您只需要记录关于事件的基本信息,例如哪个用户对哪些资源执行了哪些操作以及操作时间,请将此属性设置为 high,这有助于提高应用程序服务器性能。
可以对此属性指定值 high、medium 或 low。缺省值为 low。
事件类型 | high 设置 | medium 设置 | low 设置 |
---|---|---|---|
SessionContext | sessionId | sessionId 和 remoteHost | sessionId、remoteHost、remoteAddr 和 remotePort |
PropagationContext(仅当 SAP 处于启用状态时,才会报告此项) | firstCaller(作为用户的组成部分) | firstCaller,如果详细方式处于启用状态,还将记录 callerList | firstCaller,如果详细方式处于启用状态,还将记录 callerList |
RegistryContext | 不记录任何内容 | 注册表类型 | 注册表类型 |
ProcessContext | 不记录任何内容 | realm | 领域,如果详细方式处于启用状态,那么还将记录域 |
EventContext | creationTime | creationTime 和 globalInstanceId | creationTime、globalInstanceId 和 eventTrailId,如果详细方式处于启用状态,那么还将记录 lastTrailId |
DelegationContext | identityName | delegationType 和 identityName | delegationType、roleName 和 identityName |
AuthnContext | 不记录任何内容 | authn 类型 | authn 类型 |
ProviderContext | 不记录任何内容 | provider | provider 和 providerStatus |
AuthnMappingContext | mappedUserName | mappedUserName 和 mappedSecurityRealm | mappedUserName、mappedSecurityRealm 和 mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName、action、appUserName 和 resourceName | progName、action、appUserName、resourceName、registryUserName 和 accessDecision | progName、action、appUserName、resourceName、registryUserName、accessDecision、resourceType、permissionsChecked、permissionsGranted、rolesChecked 和 rolesGranted |
PolicyContext | 不记录任何内容 | policyName | policyName 和 policyType |
KeyContext | keyLabel | keyLabel 和 keyLocation | keyLabel、keyLocation 和 certificateLifetime |
MgmtContext | 不记录任何内容 | mgmtType 和 mgmtCommand | mgmtType、mgmtCommand 和 targetInfoAttributes |
com.ibm.CSI.disablePropagationCallerList
此属性将禁用调用者列表并且不允许调用者列表更改。此属性可防止创建多个会话。

信息 | 值 |
---|---|
缺省 | False |
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.localCommDataForNonLocalOSEnabled
此属性允许在用户注册表不是 LocalOS 用户注册表时,将本地通信数据用作 CSIv2 传输层的认证材料。
如果此属性设置为 True,那么从本地通信传输检索到的数据将与连接到 WebSphere Application Server 进程的本地客户机的 ASID 相对应。在用户注册表中,必须存在与该 ASID 相对应的用户。当 WebSphere Application Server 进程接收到 CSIv2 建立消息,并且请求进行身份断言时,那么从本地通信传输检索到的数据将用于验证客户机是否有权声明属性层中的身份令牌中指定的用户。 如果接收到的 ASID 所表示的用户已包含在管理控制台中“CSIv2 入站认证”页面上的“可信身份”列表中,那么该标识将能够声明身份令牌。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.CSI.propagateFirstCallerOnly
此属性将调用者列表限制为仅第一个调用者,这表示调用者列表无法更改。如果将此属性设置为 True,那么将消除创建多个会话条目的可能性。
当启用了安全性属性传播时,此属性将记录传播令牌中的存在于线程上的第一个调用者。如果未设置此属性,那么将记录所有调用者开关,这将影响性能。通常,只对第一个调用者感兴趣。

信息 | 值 |
---|---|
缺省 | true |
com.ibm.CSI.rmiInboundLoginConfig
此属性指定用于所接收入站远程方法调用 (RMI) 请求的 Java 认证和授权服务 (JAAS) 登录配置。
通过了解登录配置,您就可以插入能处理特定的 RMI 登录情况的定制登录模块。
信息 | 值 |
---|---|
缺省 | system.RMI_INBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingConfig
此属性定义用来执行特定于应用程序的主体映射的系统 JAAS 登录配置。
信息 | 值 |
---|---|
缺省 | 无 |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiInboundMappingEnabled
当此属性设置为 True 时,将启用应用程序特定主体映射功能。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.CSI.rmiOutboundLoginConfig
此属性指定用于所发送出站 RMI 请求的 JASS 登录配置。
此属性主要用来在要发送到目标服务器的主体集中准备传播的属性。但是,可以插入定制登录模块以执行出站映射。
信息 | 值 |
---|---|
缺省 | system.RMI_OUTBOUND |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.CSI.rmiOutboundMappingEnabled
当此属性设置为 True 时,将使嵌入在 WSSubjectWrapper 对象中的原始调用者主体集能够恢复。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.CSI.supportedTargetRealms
此属性允许将当前领域中认证的凭证发送到“可信目标域”字段中指定的任何领域。“可信目标域”字段在“CSIv2 出站认证”面板上。此属性使那些领域能够对来自当前领域的数据执行入站映射。
- 单击 。
- 在“RMI/IIOP 安全性”下,单击 CSIv2 出站认证。
com.ibm.security.multiDomain.setNamingReadUnprotected
如果希望 CosNamingRead 角色保护所有命名读操作,那么可将此属性设置为 True。 将此属性设置为 true 等同于将 CosNamingRead 角色分配给“每个人”特殊主体集。如果设置了此属性,那么将忽略对 CosNamingRead 角色进行的任何分配。
信息 | 值 |
---|---|
缺省 | none |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.forceDelegation
确定是否可独立于 SAF 授权来使用系统授权工具 (SAF) 委派功能。如果此属性设置为 True,而用户注册表是联合存储库用户注册表,并且已对其配置 SFA 用户注册表桥,那么可以使用 SAF 委派功能。
此属性没有缺省值。
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.overrideStartupAPPL
可以使用此属性来覆盖 APPL 概要文件的值,尤其适用于服务器启动期间执行的两个 RACROUTE 调用。对于这些调用,APPL 值不用于授权检查过程,但可用于安装出口例程。用于授权检查的 APPL 概要文件值不由此属性控制,而是设置为 CBS390 或 SAF 概要文件前缀值。
信息 | 值 |
---|---|
缺省 | none |
![[z/OS]](../images/ngzos.gif)
com.ibm.security.SAF.useAPPLpr
此定制属性指定是否使用 APPL 概要文件来限制对 WebSphere Application Server 的访问。
如果您定义了 SAF 概要文件前缀,那么使用的 APPL 概要文件是该概要文件前缀。否则,APPL 概要文件名称为 CBS390。使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。这包括所有 WebSphere Application Server 标识、WebSphere Application Server 未认证标识、WebSphere Application Server 管理标识、基于角色至用户映射的用户标识和系统用户的所有用户标识。如果 APPL 类在 z/OS 系统上未处于活动状态,那么无论此属性的值是什么,它都无效。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.security.useFIPS
指定将使用联邦信息处理标准 (FIPS) 算法。应用程序服务器使用 IBMJCEFIPS 加密提供程序而不是 IBMJCE 加密提供程序。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
此安全性属性用于定制证书到期通知电子邮件的源地址。
分配给此属性的值应该是一个因特网地址,例如 Notification@abc-company.com。如果未设置此属性,那么应用程序服务器将使用电子邮件的“源地址”:WebSphereNotification@ibm.com。
信息 | 值 |
---|---|
缺省 | 无 |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
此安全性属性用于定制证书到期通知电子邮件的文本编码字符集。
WebSphere Application Server 以美式英语或机器缺省字符集(如果指定了非英语语言环境)发送证书到期通知电子邮件。如果要对证书到期通知电子邮件使用其他文本编码字符集,那么可以使用此属性来定制文本编码字符集。
信息 | 值 |
---|---|
缺省 | 无 |
com.ibm.websphere.lookupRegistryOnProcess
如果使用 MBean 在远程服务器上执行域注册表查找,而且域启用了本地操作系统安全性时,那么可以设置此属性。
缺省情况下,用户注册表任务 listRegistryUsers 和 listRegistryGroups 从当前进程执行查询。对于 Network Deployment (ND),由 Deployment Manager 执行。
处理本地操作系统用户注册表时,应该在该注册表所驻留的实际服务器中执行查询。在 ND 环境中,该服务器可能是远程机器。要在注册表所驻留的服务器进程中执行查找,请将 com.ibm.websphere.lookupRegistryOnProcess 定制属性设置为 True。
如果未设置 com.ibm.websphere.lookupRegistryOnProcess 或将其设置为 false,那么将在当前进程中执行查询。可以使用全局安全性的 setAdminActiveSecuritySettings 任务或安全域的 setAppActiveSecuritySettings 任务来设置此定制属性。
com.ibm.websphere.security.allow.committed.response
此定制属性指定是否允许已落实的 HTTP 响应。
当应用程序服务器检测已落实的 HTTP 响应时,它将显示一般的 403 错误消息。将此属性设置为 true 以允许已落实的 HTTP 响应并且不显示 403 错误消息。在使用定制登录模块的配置中,模块可以落实 HTTP 响应以显示定制错误消息。
缺省值为 false。
com.ibm.websphere.security.allowAnyLogoutExitPageHost
使用应用程序表单登录和注销时,可以为定制注销页面提供 URL。缺省情况下,该 URL 必须指向被请求的主机或其域。否则,将显示通用注销页面,而不是定制注销页面。如果您希望能够指向任何主机,那么需要在 security.xml 文件中将此属性设置为值 True。将此属性设置为 True 可能使您的系统暴露于 URL 重定向攻击。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.alwaysRestoreOriginalURL
使用此属性来指示当使用定制格式的登录处理器时是否采用具有 WASReqURL 值的 cookie。
当此属性设置为 True 时,WASReqURL 的值优先于当前 URL,并且将从后续请求中除去 WASReqURL cookie。
当此属性设置为 False 时,将优先使用当前 URL 的值,并且不会从后续请求中除去 WASReqURL cookie。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.auth.setDRSBootstrap
指定数据复制服务 (DRS) 是否启用 DRSbootstrap 功能。
在高容量环境中,动态高速缓存数据复制可能增加服务器启动所花费的时间。如果由于数据复制导致您的服务器启动变慢,请将此属性添加到服务器安全性设置中,并将其设置为 False。当此属性设置为 False 时,数据复制服务将禁用 DRSbootstrap 功能。
此属性的缺省设置是 True。
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.cms.use.default
对于使用 WebSphere Application Server 生成的新 CMS 密钥库,指定在 z/OS 上是否要将 CMSProvider 缺省版本从 V4 更改为 V3。
对于 CMSProvider V2.50,缺省规范版本是 V4。 所生成的新密钥库将是 V4 级别,并且 z/OS 目前无法使用 V4 CMS 密钥库。对于这些生成的 V4 CMS 密钥库,请设置 com.ibm.websphere.security.cms.use.default=true,这会在 z/OS 上将 CMSProvider 缺省版本从 V4 更改为 V3。 如果是在这些 Java 版本之前生成密钥库,那么密钥库已经是 V3 并将在 z/OS 上成功地与 CMSProvider 2.50 配合工作。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.config.inherit.trustedRealms
此属性用于从域中的全局安全性配置继承全局可信域设置。
缺省情况下,不会继承安全性配置可信入站和出站域。但是,在某些情况下配置可能要使用(继承)域中全局安全性配置中的设置。
此属性的值可以是 true 或 false。
com.ibm.websphere.security.console.noSSLTreePortEndpoints
此属性用于减少大型拓扑配置的响应时间。
当此属性设置为 True 时,SSL 端口端点的状态不会显示在管理控制台中的“管理端点安全性配置”页面上。显示 SSL 端口端点的状态有时使管理控制台看起来不会再运行一样,这是因为该过程所需的时间超过了预期的响应时间。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.continueAfterTAIError
如果定制 TAI 返回错误,那么此属性会自动向你显示登录页面。
您无需在浏览器中输入 URL,即可再次尝试登录。必须将此属性设置为 true 以启用此行为。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.customLTPACookieName
此属性用来定制用于轻量级第三方认证 (LTPA) 令牌的 Cookie 的名称。
WebSphere Application Server V8.0 允许您定制用于 LTPA 和 LTPA2 令牌的 cookie 的名称。定制 cookie 名称允许您以逻辑方式将单点登录 (SSO) 域之间的认证分开进行并允许针对特定环境使用定制的认证。
要利用此功能,必须设置定制属性。对于 LTPA 令牌,可以将定制属性 com.ibm.websphere.security.customLTPACookieName 设置为任何有效字符串(不允许使用特殊字符和空格)来表示 LTPA 令牌 cookie,并可以设置 com.ibm.websphere.security.customSSOCookieName 来表示 LTPA2 (SSO) 令牌 cookie。每个属性都区分大小写。
此属性的值是一个有效字符串。
- 与大多数定制属性一样,可以在安全域级别设置此属性。使用此方式时,可以在管理控制台登录与应用程序登录之间强制进行不同的登录。
- WebSphere Application Server V8.0 接受并信任原始缺省 LtpaToken 或 LtpaToken2 Cookie 名称。这样将能够与诸如 Lotus® Domino® 和 WebSphere Portal(他们都使用缺省 cookie 名称) 之类的产品兼容。
- 设置定制 Cookie 名称可能会导致认证失败。例如,与设置了定制 Cookie 属性的服务器的连接会将此定制 Cookie 发送到浏览器。与使用缺省 Cookie 名称或其他 Cookie 名称的服务器的后续连接将无法通过验证入站 Cookie 来认证请求。
- 此属性在混合单元环境中无法正常起作用。例如,WebSphere Application Server V8.0 中的 Deployment Manager 可能无法创建定制 cookie。但是,存在于此同一单元中的 WebSphere Application Server V7.0 节点或服务器不了解要对此 cookie 执行的操作,因此将拒绝执行该操作。
- 如果您使用与生成 LTPA 令牌的 WebSphere Application Server 交互的产品(例如,Lotus Domino 或 WebSphere Portal),请注意,这些产品可能无法处理定制 LTPA cookie 名称。请查阅产品文档中有关如何处理定制 LTPA Cookie 名称的内容。
com.ibm.websphere.security.customSSOCookieName
此属性用来定制用于轻量级第三方认证 V2 (LTPA2) 令牌的 Cookie 的名称。
WebSphere Application Server V8.0 允许您定制用于 LTPA 和 LTPA2 令牌的 cookie 的名称。定制 cookie 名称允许您以逻辑方式将单点登录 (SSO) 域之间的认证分开进行并允许针对特定环境使用定制的认证。
要利用此功能,必须设置定制属性。对于 LTPA 令牌,可以将定制属性 com.ibm.websphere.security.customLTPACookieName 设置为任何有效字符串(不允许使用特殊字符和空格)来表示 LTPA 令牌 cookie,并可以设置 com.ibm.websphere.security.customSSOCookieName 来表示 LTPA2 (SSO) 令牌 cookie。每个属性都区分大小写。
此属性的值是一个有效字符串。
- 与大多数定制属性一样,可以在安全域级别设置此属性。使用此方式时,可以在管理控制台登录与应用程序登录之间强制进行不同的登录。
- WebSphere Application Server V8.0 接受并信任原始缺省 LtpaToken 或 LtpaToken2 Cookie 名称。这样将能够与诸如 Lotus Domino 和 WebSphere Portal(他们都使用缺省 cookie 名称) 之类的产品兼容。
- 设置定制 Cookie 名称可能会导致认证失败。例如,与设置了定制 Cookie 属性的服务器的连接会将此定制 Cookie 发送到浏览器。与使用缺省 Cookie 名称或其他 Cookie 名称的服务器的后续连接将无法通过验证入站 Cookie 来认证请求。
- 此属性在混合单元环境中无法正常起作用。例如,WebSphere Application Server V8.0 中的 Deployment Manager 可能无法创建定制 cookie。但是,存在于此同一单元中的 WebSphere Application Server V7.0 节点或服务器不了解要对此 cookie 执行的操作,因此将拒绝执行该操作。
- 如果您使用与生成 LTPA 令牌的 WebSphere Application Server 交互的产品(例如,Lotus Domino 或 WebSphere Portal),请注意,这些产品可能无法处理定制 LTPA cookie 名称。请查阅产品文档中有关如何处理定制 LTPA Cookie 名称的内容。
com.ibm.websphere.security.delegateStarStarRoleAuthorization
- true - 安全代码将授予访问权而不与可插入授权表交互。
- false - 安全代码将决策委托给可插入授权表。这是缺省值。
com.ibm.websphere.security.displayRealm
此属性指定 HTTP 基本认证登录窗口是否显示未在应用程序 web.xml 文件中定义的域名。
- 如果此属性设置为 false,那么显示的 WebSphere 域名是 Default Realm。
- 如果此属性设置为 true,那么显示的 WebSphere 域名是用户注册表域名(对于 LTPA 认证机制)或 Kerberos 域名(对于 Kerberos 认证机制)。
信息 | 值 |
---|---|
缺省 | False |
类型 | 字符串 |
com.ibm.websphere.security.disableGetTokenFromMBean
使用此属性以禁止出站 SOAP 调用在启用单点登录时从源服务器检索主题。
通常,启用单点登录并需要认证入站请求时,接收服务器会尝试从源服务器检索认证。在此回调进程期间,发送服务器和接收服务器之间的连接不会超时。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.enableAuditForIsCallerInRole
使用此属性来对 isCallerInRole 方法调用启用审计。
如果将此属性设置为 False,那么它会对 isCallerInRole 调用禁用审计。在 z/OS 中,不会对该调用发出 SMF 记录。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
在用户注册表中找不到 TAI 所提供的用户时使用此属性,以便显示登录页面,而不显示错误页面。
在用户注册表中找不到 TAI 所提供的用户时,WebSphere Application Server 将显示一个错误页面。要调整此行为,请将此属性设置为 True。将显示登录页面。此属性的缺省设置为 false,WebSphere Application Server 的正常行为是显示错误页面。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.initializeRSAProperties
如果在证书到期监视器运行之后在作业管理器或管理代理程序环境中观察到 CPU 使用率较高,那么可能需要将节点分布到多台服务器,以降低一台服务器上的 CPU 负载。
如果此属性设置为 false,那么 WebSphere 将不对与 RSA 令牌相关的 SSL 属性执行重新初始化。请先确保环境中未使用作业管理器或管理代理程序,然后再将此属性配置为 false。这些功能部件需要 RSA 令牌,并且不应使用此属性。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.websphere.security.InvokeTAIbeforeSSO
可以使用此属性更改与单点登录 (SSO) 用户认证相关的信任关联拦截器 (TAI) 的缺省调用顺序。缺省顺序是在 SSO 之后调用信任关联拦截器。此属性用于更改 TAI 调用与 SSO 的缺省顺序。属性值是要在 SSO 之前调用的 TAI 类名的逗号 (,) 分隔列表。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
类型 | 字符串 |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
缺省情况下,在域安全级别创建 JAAS 认证数据条目时,条目的别名将采用 aliasName 格式。通过在域安全性级别设置以下属性,可以允许将节点名添加到别名,从而使用 nodeName/aliasName 条目格式创建别名。
可以在全局安全性级别设置 com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true,以允许将节点名添加到所有安全域的 JAAS 认证数据条目的别名。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
缺省情况下,在全局安全性级别创建 JAAS 认证数据条目时,条目的别名采用 nodeName/aliasName 格式。通过在全局安全性级别将此属性的值设置为 True,可以禁止将节点名添加到条目的别名。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.krb.canonical_host
此定制属性指定应用程序服务器在认证客户机时是否使用规范格式的 URL/HTTP 主机名。此属性可同时用于 SPNEGO TAI 和 SPNEGO Web。
CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
如果您将此定制属性设置为
true,那么可以避免此错误消息并允许应用程序服务器使用规范格式的 URL/HTTP 主机名进行认证。信息 | 值 |
---|---|
缺省 | true |
com.ibm.websphere.security.ldap.logicRealm
此定制属性使您能够更改放在令牌中的领域的名称。
此定制属性使您能够将每个单元配置为具有自己的 LDAP 主机,以便实现互操作和向后兼容。并且,它还使您能够灵活地以动态方式添加或除去 LDAP 主机。如果您正在迁移先前的安装版本,那么修改后的域名直到您重新启用管理安全性后才会生效。为了与不支持逻辑领域的前发行版兼容,此名称必须与先前安装版本所使用的名称相同。您必须使用 LDAP 主机名(包括尾部的冒号和端口号)。
信息 | 值 |
---|---|
类型 | String |
- 单击安全性 > 全局安全性。
- 在“用户帐户存储库”下,展开“可用的域定义”列表,选择独立 LDAP 注册表,然后单击配置。
- 在定制属性下,单击新建,然后在名称字段中输入 com.ibm.websphere.security.ldap.logicRealm,并在值字段中输入放置在令牌中的域的新名称。
- 选择此定制属性,然后单击应用或确定。
com.ibm.websphere.security.ldapSSLConnectionTimeout
当在 LDAP 服务器上启用了 SSL 时,使用此属性可指定 Java 虚拟机 (JVM) 在发出超时之前等待套接字连接的最大时间量(以毫秒计)。
当服务器进程启动时,如果一个或多个独立 LDAP 服务器处于脱机状态且 LDAP-SSL 已启用,那么启动过程可能最多延迟 3 分钟,即使对 com.sun.jndi.ldap.connect.timeout 定制属性指定了值也是如此。当启用了 LDAP-SSL 时,指定的任何 com.sun.jndi.ldap.connect.timeout 属性值都将被忽略。
为此属性指定了值时,JVM 在尝试完成套接字连接时会尝试使用此连接超时值,而不是尝试建立目录上下文。未对此属性指定值时,JVM 将尝试建立目录上下文。
此属性没有缺省值。
com.ibm.websphere.security.logoutExitPageDomainList
使用应用程序表单登录和注销时,可以为定制注销页面提供 URL。缺省情况下,该 URL 必须指向被请求的主机或其域。否则,将显示通用注销页面,而不是定制注销页面。如果需要指向其他主机,那么可以在 security.xml 文件中给此属性填充注销页面允许使用的一列 URL,通过管道 (|) 进行分隔。
信息 | 值 |
---|---|
缺省 | none |
com.ibm.websphere.security.performTAIForUnprotectedURI
当在管理控制台中选择了访问不受保护的 URI 时使用可用的认证数据时,此属性用于指定 TAI 调用行为。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.recoverContextWithNewKeys
此属性影响先前对 Web Service 或 Asynch Bean 进行异步安全处理时保存的安全上下文进行反序列化的行为。
当此属性设置为 True 时,可对安全上下文进行反序列化,即使在对该上下文进行序列化之后 LTPA 密钥已更改也是如此。如果安全上下文反序列化失败并抛出包含消息由于密钥无效或令牌类型导致 LTPA 令牌验证失败的 WSSecurityException 时,应将此属性设置为 True。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.rsaCertificateAliasCache
此属性用于控制别名高速缓存的大小。
缺省值为 5000,对于较大型的部署,您可以增大此值。除非作业管理器拓扑中注册的节点超过 5000 个,否则您不需要添加此属性。
输入的值必须在范围 1 - N 之内,其中 N 是有效的正整数并大于或等于已向作业管理器注册的节点数。
信息 | 值 |
---|---|
缺省 | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
此属性用来在每次生成 WASReqURL Cookie 时设置唯一路径名。
浏览器可以拥有多个 WASReqURL Cookie,只要每个 Cookie 都具有唯一路径名即可。当此属性设置为 true 时,每次生成 WASReqURL Cookie 时就会设置唯一路径名。因此,如果您在同一应用程序服务器上安装了多个使用“表单登录”作为登录方法的应用程序,那么您应该指定此属性作为该应用程序服务器的其中一个安全性设置,并将此属性设置为 true。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.skip.canonical.lookup
如果您需要跳过对特定主机名进行规范查询,请使用此属性。对此属性指定的值区分大小写,并且必须与 SPNEGO 过滤器中的主机名匹配。
WebSphere Application Server 期望 java.net.InetAddress #getCanonicalHostName() Java API 返回实际的主机名。在某些情况下,此 API 将返回 IP 地址的字符串表示,而不是返回主机名。发生这种情况时,WebSphere Application Server 将无法识别需要评估入局请求以进行 SPNEGO 认证。
如果您遇到这种情况,请将此定制属性添加至安全性配置设置,并将此属性设置为您不想对其进行规范查询的主机名。
myhost1.mycompany.com|myhost2.mycompany.com
信息 | 值 |
---|---|
缺省 | 无 |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
使用此属性来确保对 SPNEGO Web 认证执行从 Kerberos 主体至 RACF 标识的映射。
如果未将此属性添加至您的安全设置,并将其设置为 True,那么不会对 SPNEGO Web 认证执行从 Kerberos 主体到 RACF 标识的映射。

信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.strictCredentialExpirationCheck
指定是否对本地企业 JavaBeans (EJB) 调用进行凭证到期检查。一般情况下,当 EJB 调用本地机器中的另一个 EJB 时,将进行直接方法调用,即使在进行本地 EJB 调用之前原始调用程序的凭证已到期时也是如此。
如果此属性设置为 True,那么将在本地机器上调用 EJB 之前对本地 EJB 调用进行凭证到期检查。如果凭证已到期,那么将拒绝该 EJB 调用。
如果此属性设置为 False,那么将不对本地 EJB 调用进行凭证到期检查。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
使用此属性来指定启用单点登录时接收服务器等待出站 SOAP 调用从源服务器检索正确认证的时间。
此属性没有缺省值。如果未指定任何值,那么全局 SOAP 超时值会用作 SOAP 连接的超时值。
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
使用此属性来指示在创建新的缺省单点登录 (SSO) 令牌时应使用活动用户注册表。
通常,每当传入 SSO 认证令牌的访问标识与授权令牌中的主体名称之间不匹配时,就会创建缺省 SSO 令牌。造成这种不匹配的原因可能是具有不同的领域。例如,如果管理域正在使用 LocalOS 注册表,而活动注册表为 LDAP,就会发生不匹配情况。
将此属性设置为 true 会导致使用 LDAP 注册表来创建新的 SSO 令牌。
此属性的缺省值为 false。
com.ibm.websphere.security.useLoggedSecurityName
这是用户注册表的定制属性。此属性改变创建 WSCredential 时的行为。
设置 False 表明,始终使用用户注册表所返回的安全性名称来构造 WSCredential。
设置 True 表明,使用登录模块所提供的安全性名称或者使用用户注册表所提供的显示名。此设置与 WebSphere Application Server V6.1 和更低版本兼容。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
此属性指定 CSIv2 会话在被删除前可以保持空闲状态的时间(以毫秒计)。如果 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性设置为 True,并且超出 CSIv2 会话高速缓存的最大大小,那么将删除会话。
- 展开安全性部分,然后单击全局安全性。
- 展开 RMI/IIOP 安全性部分,然后单击 CSIv2 出站通信。
此定制属性的值范围是 60,000 到 86,400,000 毫秒。缺省情况下,未设置此值。
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
此定制属性指定是否限制 CSIv2 会话高速缓存的大小。
如果将此定制属性值设置为 true,那么必须对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 和 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性设置值。如果将此定制属性设置为 false,那么 CSIv2 会话高速缓存不受限。缺省属性值是 false。
如果您的环境使用 Kerberos 认证并与已配置的密钥分发中心 (KDC) 之间存在小幅时钟偏差,请考虑将此定制属性设置为 true。在此方案中,小时钟偏差被定义为小于 20 分钟。小幅时钟偏差会导致拒绝大量的 CSIv2 会话。但是,通过对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 属性指定较小的值,应用程序服务器可以更频繁地清除这些被拒绝的会话,从而有可能减少资源不足情况。
- 展开安全性部分,然后单击全局安全性。
- 展开 RMI/IIOP 安全性部分,然后单击 CSIv2 出站通信。
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
此属性指定会话高速缓存的最大大小,达到此大小后,将从高速缓存中删除已到期的会话。
已到期的会话是指,空闲时间超出 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性所指定时间的会话。使用 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性时,请考虑将它的值设置为 100 到 1000 个条目之间。
如果您的环境使用 Kerberos 认证并与已配置的密钥分发中心 (KDC) 之间存在小幅时钟偏差,请考虑对此定制属性指定一个值。在此方案中,小时钟偏差被定义为小于 20 分钟。如果高速缓存较小将导致频繁地运行垃圾回收,从而影响应用程序服务器的性能,请考虑增大此定制属性的值。
只有在启用了有状态会话、将 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性设置为 true 并对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性设置了值的情况下,此定制属性才适用。
- 展开安全性部分,然后单击全局安全性。
- 展开 RMI/IIOP 安全性部分,然后单击 CSIv2 出站通信。
此定制属性的值范围是 100 到 1000 个条目。缺省情况下,未设置此值。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.websphere.security.util.postParamMaxCookieSize
此属性设置安全性代码要生成的 WASPostParam Cookie 的大小限制。
信息 | 值 |
---|---|
缺省 | none |
com.ibm.websphere.security.web.removeCacheOnFormLogout
此定制属性允许您指定当发生表单注销时,是否从认证高速缓存和动态高速缓存中除去已高速缓存的对象。 表单注销机制允许用户从应用程序中注销时不必关闭所有 Web 浏览器会话。
如果将此属性设置为 False,当发生表单注销时,不会从认证高速缓存和动态高速缓存中除去相应的已高速缓存条目。因此,如果在表单注销后同一用户再次登录,那么将复用已高速缓存的对象。

如果将此属性设置为 True,当发生表单注销时,将从认证高速缓存和动态高速缓存中除去已高速缓存的条目。
缺省值是 true。
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
此定制属性指定入站 Web 资源请求的轻量级第三方认证 (LTPA) 令牌的 Cookie 生成行为。
当此属性为 True 时,应用程序服务器将为所有成功认证的资源请求(无论是受保护的 Web 资源还是不受保护的 Web 资源的请求)生成和设置 LTPAToken Cookie。此行为不同于 WebSphere Application Server V6.1 中的行为,可能会导致为 V6.1 开发的某些应用程序在更高版本上无法运行。
将此属性设置为 False 以仅对受保护的 Web 资源生成 LTPAToken Cookie。此行为适用于 WebSphere Application Server V6.1。
缺省值为 True。
com.ibm.websphere.security.webAlwaysLogin
此属性指定在已经认证了标识后,login() 方法是否将抛出异常。可以通过将此属性设置为 true 来覆盖此行为。
信息 | 值 |
---|---|
缺省 | False |
类型 | 字符串 |
com.ibm.websphere.ssl.include.ECCiphers
此定制属性指定 WebSphere Application Server 在缺省密码套件中是否包括“椭圆曲线加密”(ECC) 密码。
此属性未设置或未设为 false 时,缺省情况下,应用程序服务器不包含 ECC 密码。将此属性设置为 true,以在缺省密码套件列表中包括 ECC 密码。如果 SP800-131a 或 Suite B 已启用,那么缺省情况下会始终包含 ECC 密码。
信息 | 值 |
---|---|
缺省 | true |
类型 | 字符串 |
com.ibm.websphere.ssl.retrieveLeafCert
此定制属性可让“从端口检索”功能检索叶证书(而不是根证书)。
“从端口检索”功能应该检索叶证书(而不是根证书)。要获取叶证书,必须将定制属性 com.ibm.websphere.ssl.retrieveLeafCert 设为 True。
如果未设置此属性或者此属性设置为 false,从端口检索功能会检索根证书。如果您想要“从端口检索”功能检索叶证书(而不是根证书),请将此属性设置为 True。
信息 | 值 |
---|---|
缺省 | False |
类型 | 字符串 |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
此定制属性使您能够对单点登录 (SSO) Cookie 设置 HTTPOnly 属性。
您可以使用 com.ibm.ws.security.addHttpOnlyAttributeToCookies 定制属性对包含敏感值的 Cookie 进行保护。如果将此定制属性值设置为 true,那么应用程序服务器将对值由服务器设置的 SSO cookie 设置 HTTPOnly 属性。HTTPOnly 属性使您能够对 Cookie 中的敏感值进行保护。
并且,true 值使应用程序服务器能够正确地识别、接受并处理具有 HTTPOnly 属性的入站 Cookie 以及禁止任何跨站点脚本编制访问敏感的 Cookie 信息。
对 Web 服务器有所影响的一个常见安全性问题是跨站点脚本编制。跨站点脚本编制是服务器端的一个弱点,此问题通常在用户输入以 HTML 格式呈示时出现。跨站点脚本编制攻击可能会泄露有关 Web 站点用户的敏感信息。大多数现代 Web 浏览器使用 HTTPOnly 属性来防止此攻击。具有此属性的 Cookie 被称为 HTTPOnly Cookie。存在于 HTTPOnly Cookie 中的信息不大可能泄露给黑客或恶意 Web 站点。有关 HTTPOnly 属性的更多信息,请访问“开放式 Web 应用程序安全项目 (OWASP)”Web 站点。
- JSESSIONID Cookie
- 由另一软件供应商的认证程序或提供程序所创建的 SSO Cookie
- 尚未包含 HTTPOnly 属性的客户机或浏览器 Cookie
- 单击安全性 > 全局安全性。
- 在“认证”下,单击 Web 和 SIP 安全性 > 单点登录 (SSO)。
信息 | 值 |
---|---|
缺省 | true |
类型 | 布尔值 |
com.ibm.ws.security.allowNonAdminToSecurityXML
此属性指定是否允许非管理安全角色修改 security.xml 文件。如果将此属性设置为 True 将使非管理安全角色能够修改 security.xml 文件。在 V6.1 及更高版本中,缺省情况下,非管理安全角色能够修改 security.xml 文件。
信息 | 值 |
---|---|
缺省 | False |
类型 | 布尔值 |
com.ibm.ws.security.config.SupportORBConfig
指定是否检查对象请求代理 (ORB) 的属性。需要将此属性设置为系统属性。您应该将此属性设置为 true 或 yes,以便检查 ORB 的属性。对于任何其他设置,将完全忽略 ORB。
当可插入的应用程序客户机连接至 WebSphere Application Server 时,将使用此属性。具体地说,无论何时在新的 InitialContext(env) 调用的散列映射中传递包含安全性属性的散列映射,都将使用此属性。
com.ibm.ws.security.createTokenSubjectForAsynchLogin
在此发行版中,从上下文代理或异步 bean 中调用时,WSCredential.getCredentialToken() 调用不会提供实际的 LTPA 令牌数据。对于现有配置,可以添加 com.ibm.ws.security.createTokenSubjectForAsynchLogin 定制属性和 true 值以允许将 LTPA 令牌转发至上下文代理和异步 bean。此属性允许 portlet 成功执行 LTPA 令牌转发。此定制属性区分大小写。在添加此定制属性之后,必须重新启动应用程序服务器。

信息 | 值 |
---|---|
缺省 | 不适用 |
com.ibm.ws.security.defaultLoginConfig
此属性是 JAAS 登录配置,用于不属于 WEB_INBOUND、RMI_OUTBOUND 或 RMI_INBOUND 登录配置类别的登录。
没有特定 JAAS 插入点的内部认证和协议调用 com.ibm.ws.security.defaultLoginConfig 配置所引用的系统登录配置。
信息 | 值 |
---|---|
缺省 | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
使用 com.ibm.ws.security.failSSODuringCushion 定制属性来更新 LTPA 令牌的定制 JAAS 主体集数据。
如果未将此定制属性设置为 True,那么新 JAAS 主体集可能不包含定制 JAAS 主体集数据。
缺省值是 true。
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
使用 com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA 定制属性可更正您尝试将 PKCS11 类型密钥库与 Java 客户机配合使用时遇到的“无效库名”错误。
并且,如果您正在使用 IBMJCECCA 提供程序,请使用此定制属性,这是因为分布式操作系统与 z/OS 操作系统对硬件密码术使用不同的提供程序类型。
ssl.client.props 文件指向一个配置文件,这个配置文件又指向密码设备的库名。Java 客户机的代码将查找用于正确提供程序名称的密钥库类型。如果没有此定制属性,那么将错误地指定 PKCS11 的密钥库类型常量,这是因为它引用了 IBMPKCS11Impl 提供程序。并且,轻量级第三方认证 (LTPA) 代码使用提供程序列表来确定 Java 密码术扩展 (JCE) 提供程序。此方法将导致尝试使用安全套接字层 (SSL) 加速功能时发生问题,这是因为,在 java.security 文件中,IBMPKCS11Impl 提供程序必须列示在 IBMJCE 提供程序之前。
此定制属性将更正这两个问题,以使 SSL 和其他密码机制可以使用硬件加速功能。

如果要将 PKCS11 类型的密钥库与 Java 客户机配合使用,请将此定制属性设置为 True。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.ws.security.ltpa.useCRT
创建新的 LTPA2 (SSO) 令牌时,可在执行 sign() 操作期间通过使用此属性来优化 CPU 使用率。如果此属性设置为 True,那么产品在对新令牌进行签名时将执行“中文余部定理”(CRT) 算法。此属性对旧样式的 LTPA 令牌无效。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
可以使用 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA 定制属性来强制在软件中进行 RSA 令牌验证。
- 在管理控制台中,单击RSA 令牌。 ,然后取消选择
- 选择仅使用活动应用程序认证机制。
- 单击定制属性,然后单击新建,以向安全性设置添加 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA 定制属性。
- 在名称字段中添加 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA,在值字段中添加 true。
当此属性设置为 true 时,会使用缺省软件 JCE 提供程序(而不是 IBMJCECCA)来验证安全性。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.ws.security.ssoInteropModeEnabled
此属性确定是否在对 Web 请求的响应中发送 LtpaToken2 和 LtpaToken Cookie(可互操作)。
当此属性值为 False 时,应用程序服务器将仅发送较为强壮的新 LtpaToken2 cookie,但该 cookie 无法与某些其他产品以及 V5.1.1 以前的 WebSphere Application Server 发行版进行互操作。在大多数情况下,不需要旧的 LtpaToken Cookie,可以将此属性设置为 False。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.ws.security.unprotectedUserRegistryMethods
指定 UserRegistry 接口的方法名,例如 getRealm、getUsers 和 isValidUser,将不会对这些方法进行保护(即,允许对其进行远程访问)。如果要指定多种方法名,请使用空格、逗号、分号和竖线来分隔名称。请参阅 UserRegistry 接口文件的实现,以获取有效方法名的完整列表。
如果指定 * 作为此属性的值,那么不会对任何方法进行保护(即,允许对其进行远程访问)。如果未对此属性指定值,那么将对所有方法进行保护(即,不允许对其进行远程访问)。
如果尝试以远程方式访问受保护的 UserRegistry 接口方法,那么远程进程将接收到 CORBA NO_PERMISSION 异常,并且次代码为 49421098。
此属性没有缺省值。
com.ibm.ws.security.web.saml.disableDecodeURL
此属性提供用来禁用 URL 解码的选项。
启用 SAML Web SSO 并调用 SAML TAI 时,会设置 cookie 以存储原始请求 URL。 认证之后,会先将原始 URL 解码,然后再将其作为重定向进行发送。 将此属性值设置为 true 时,将使用用于重定向的原始 URL,而不对 URL 进行解码。 要使用管理控制台来设置此属性,请单击安全性 > 全局安全性 > 定制属性。单击新建以添加新的定制属性及其相关联的值。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
此属性确定单点登录 LtpaToken2 登录的行为。
当此属性设置为 True 时,如果令牌中包含定制高速缓存密钥并且找不到定制主体集,那么将使用该令牌来直接登录,因为需要再次收集定制信息。还会出现提问,因此用户需要再次登录。当此属性值设置为 False 并且找不到定制主体集时,将使用 LtpaToken2 来登录并收集所有注册表属性。但是,此令牌可能未包含下游应用程序所需的特殊属性。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.ws.security.webInboundLoginConfig
此属性是用于接收入站 Web 请求的 JAAS 登录配置。
通过了解登录配置,您就可以插入能处理特定的 Web 登录情况的定制登录模块。
信息 | 值 |
---|---|
缺省 | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
此属性确定接收到的 LtpaToken2 Cookie 在搜索令牌中指定的原始登录服务器之前是否应该在本地搜索传播的属性。在接收到传播的属性之后,将重新生成主体集并保留定制属性。
可以将数据复制服务 (DRS) 配置为将传播的属性发送到前端服务器,以使本地动态高速缓存查找操作可以找到传播的属性。否则,将向原始登录服务器发送 MBean 请求以检索这些属性。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
此属性指定 HTTP 会话计时器到期之后系统是否会将用户注销。
信息 | 值 |
---|---|
缺省 | False |
必需 | False |
数据类型 | 布尔值 |
com.ibm.ws.security.WSSecureMapInitAtStartup
此属性用于在初始化动态高速缓存以用于安全性属性传播时,建立安全性高速缓存 (WSSecureMap) 。
信息 | 值 |
---|---|
缺省 | true |
com.ibm.ws.security.WSSecureMapSize
此属性指定安全性高速缓存 (WSSecureMap) 大小。
信息 | 值 |
---|---|
缺省 | 100 |
![[z/OS]](../images/ngzos.gif)
com.ibm.ws.security.zOS.useSAFidForTransaction
通过使用此属性,可以使服务器在调用需要服务器标识的事务性方法(例如,commit() 和 prepare())时能够将 z/OS 已启动的任务的用户标识用作服务器标识。无论该服务器的服务器标识设置如何,此行为将保持不变。
例如,可以将服务器配置为使用自动生成的服务器标识,此标识并不是存储在用户存储库中的实际标识。而且,此服务器可能需要与 CICS® 3.2 通信,而 CICS 3.2 需要使用系统授权工具 (SAF) 标识。如果将 com.ibm.ws.security.zOS.useSAFidForTransaction 设置为 true,那么服务器将使用 SAF 标识而不是使用自动生成的标识来与 CICS 通信。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.wsspi.security.cred.refreshGroups
此属性影响对先前作为 Web Service 的异步安全性处理(Java EE 并行实用程序或异步 bean)的一部分保存的安全上下文进行反序列化时的行为。
当此属性设置为 True 时,将访问用户注册表以获取与用户相关联的组。如果用户仍存在于注册表中,那么将使用用户注册表中的组而不是在安全上下文中已序列化的组。如果在用户注册表中找不到用户,并且 verifyUser 属性设置为 False,那么将使用安全上下文中的组。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.wsspi.security.cred.verifyUser
此属性影响先前对 Web Service 或 Asynch Bean 进行异步安全处理时保存的安全上下文进行反序列化的行为。
当此属性设置为 True 时,将访问用户注册表以验证安全上下文中的用户是否仍存在。如果它不存在,那么将抛出 WSLoginFailedException。
信息 | 值 |
---|---|
缺省 | False |
com.ibm.wsspi.security.ltpa.tokenFactory
此属性指定可用来验证 LTPA 令牌的轻量级第三方认证 (LTPA) 令牌工厂。
由于 LTPA 令牌没有用于指定令牌类型的对象标识 (OID),所以将按照指定令牌工厂的顺序来执行验证。Application Server 将使用每个令牌工厂来验证令牌,直到验证成功为止。对此属性指定的顺序最有可能是接收令牌的顺序。要指定多个令牌工厂,请用竖线 (|) 进行分隔,竖线前后不能有空格。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
此属性指定用于属性传播框架中的认证令牌的实现。此属性提供旧的 LTPA 令牌实现来用作认证令牌。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
此属性指定用于授权令牌的实现。此令牌工厂对授权信息进行编码。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
此属性指定用于传播令牌的实现。此令牌工厂对传播令牌信息进行编码。
传播令牌在执行线程中,不与任何特定用户主体集相关。此令牌将顺着调用下游流移动到进程所到达的位置。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
此属性指定用于单点登录 (SSO) 令牌的实现。此实现是当传播处于启用状态时设置的 cookie,与 com.ibm.ws.security.ssoInteropModeEnabled 属性的状态无关。
缺省情况下,此实现是 LtpaToken2 cookie。
信息 | 值 |
---|---|
缺省 | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
使用此属性来指定在某个请求的 Kerberos 令牌到期后,您希望系统如何处理对该请求的认证。
此属性设置为 True 时,如果在 Kerberos 令牌到期后无法刷新该令牌,那么对请求进行的认证将失败。
此属性设置为 False 时,即使令牌已到期,对请求进行的认证也不会失败。
此属性的缺省值为 false。
security.allowCustomHTTPMethods
使用此定制属性来允许使用定制 HTTP 方法。定制 HTTP 方法不包括下列标准 HTTP 方法:DELETE、GET、HEAD、OPTIONS、POST、PUT 或 TRACE。
当此属性设置为 false(这是缺省值)时,如果 security-constraint 元素中未列示 URI 模式与定制 HTTP 方法的组合,那么将仅使用 URI 模式来搜索安全性约束。如果存在匹配项,那么将强制使用 <auth-constraints> 元素的值。此行为将使潜在的安全隐患最小化。
当此属性设置为 true 时,定制 HTTP 方法将被视为标准 HTTP 方法。将由 URI 模式和 HTTP 方法作出授权决策。要正确保护目标 URI,请确保 <web-resource-collection> 元素中列示了正确的 HTTP 方法。
security.enablePluggableAuthentication
此属性不再使用。取而代之的是,使用 WEB_INBOUND 登录配置。
- 单击 。
- 在“Java 认证和授权服务”下,单击系统登录。
信息 | 值 |
---|---|
缺省 | true |
security.useDefaultPolicyWhenJ2SDisabled
NullDynamicPolicy.getPermissions 方法提供了一个选项,当此属性设置为 True 时,将代表缺省策略类来构造许可权对象。当此属性设置为 False 时,将返回一个空的许可权对象。
信息 | 值 |
---|---|
缺省 | False |
security.useAllSSLClientAuthKeytypes
使用此属性来确保在利用 SSL 客户机认证的 SSL 握手期间,当充当客户机时,将在选择客户机证书时使用目标服务器提供的所有 SSL 密钥类型。
在 SSL 客户机认证中,WebSphere Application Server 不会选取目标服务器发送的证书请求中提供的全部 SSL 密钥类型。WebSphere 仅选取最优选的 SSL 密钥类型。如果 SSL 密钥类型与最优选 SSL 密钥类型不匹配,那么 WebSphere 不会发送客户机证书,即使密钥库中存在正确的 SSL 客户机证书也是如此。
WAS_customUserMappingImpl
使用此安全性属性来插入定制 UserMapping 类。如果在安全性顶级使用定制用户映射类名来设置此值,那么将使用该属性来定制证书用户映射和/或身份断言用户映射。用户必须将包含该定制类的 JAR 文件放入 WAS_HOME/lib/ext。