Wenn sich ein Benutzer bei der Anwendung anmeldet, gibt er Benutzernamen und Kennwort an. Diese werden an den Server geschickt, der nach erfolgreicher Authentifizierung mit einem eindeutigen Token antwortet. In diesem Fall ist es das 'LTPA-Token'. Es wird für alle nachfolgenden Anforderungen zur Benutzererkennung verwendet und stellt dann privilegierten Inhalt bereit. Man sollte annehmen, dass dieses Token beim Abmelden des Benutzers ungültig wird. Dies ist jedoch nicht der Fall. Es besteht keine Möglichkeit, das LTPA-Token ungültig zu machen, was von IBM bestätigt wurde. Die Empfehlung von Seiten der IBM ist, die zwei folgenden 'Sicherheitsmaßnahmen zur Abschottung des Systems' vorzunehmen:
Diese Änderungen werden mithilfe der Standardkonfigurationsscripts vorgenommen. Die erforderlichen Schritte dazu sind unter Verwaltungssicherheit konfigurieren beschrieben.
Weitere Informationen finden Sie in: