Application Security 2.0

Dieses Feature ermöglicht die Unterstützung zur Sicherung der Serverlaufzeitumgebung und der Anwendungen. Es umfasst eine Basisbenutzerregistry. Dieses Feature setzt appSecurity-1.0 außer Kraft. servlet-3.0 oder Unterstützung für die LDAP-Benutzerregistry ist nicht darin integriert. Zum Sichern von Webanwendungen fügen Sie das Feature servlet-3.0 hinzu. Fügen Sie das ejbLite-3.1-Feature für sichere EJB-Anwendungen hinzu. Zur Verwendung von LDAP fügen Sie das Feature ldapRegistry-3.0 hinzu. Wenn Sie das appSecurity-2.0-Feature zu Ihrem Server hinzufügen, müssen Sie eine Benutzerregistry konfigurieren, z. B. die Basisbenutzerregistry oder die LDAP-Benutzerregistry.

Dieses Feature aktivieren

Zum Aktivieren des Features "Application Security 2.0" fügen Sie die folgende Elementdeklaration im Element "featureManager" in Ihrer Datei server.xml hinzu:
<feature>appSecurity-2.0</feature>

Unterstützte Java™-Versionen

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

Ein Feature entwickeln, das von diesem Feature abhängt

Wenn Sie ein Feature entwickeln, das vom Feature "Application Security 2.0" abhängig ist, schließen Sie das folgende Element in den Header "Subsystem-Content" in der Featuremanifestdatei für Ihr neues Feature ein:
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"

Features, die dieses Feature aktiviert

Featurekonfigurationselement

Sie können die folgenden Elemente in Ihrer Datei server.xml verwenden, um das Feature "Application Security 2.0" zu konfigurieren:

administrator-role
Eine Sammlung von Benutzern und/oder Gruppen, die der Rolle Serveradministrator zugeordnet sind.
administrator-role > group
Beschreibung: Gruppe, der eine Rolle zugeordnet wird.
Erforderlich: false
Datentyp: string
administrator-role > user
Beschreibung: Benutzer, dem eine Rolle zugeordnet wird.
Erforderlich: false
Datentyp: string
authCache
Steuert die Operationen des Authentifizierungscaches.
Attributname Datentyp Standardwert Beschreibung
allowBasicAuthLookup boolean true Lässt die Suche nach Benutzer-ID und hashverschlüsseltem Kennwort zu.
initialSize int

Minimum: 1

50 Die anfängliche Anzahl an Einträgen, die vom Authentifizierungscache unterstützt werden.
maxSize int

Minimum: 1

25000 Die maximale Anzahl an Einträgen, die vom Authentifizierungscache unterstützt werden.
timeout Zeitraum mit Genauigkeit in Millisekunden 600s Die Zeit, nach der ein Eintrag im Cache entfernt wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
authentication
Steuert die Konfiguration des integrierten Authentifizierungsservice.
Attributname Datentyp Standardwert Beschreibung
allowHashtableLoginWithIdOnly boolean false Ermöglicht einer Anwendung, sich lediglich mit einer ID in den Eigenschaften der Hashtabelle anzumelden. Verwenden Sie diese Option nur, wenn Sie Anwendungen haben, die dies erfordern und andere Mittel für die Validierung der Identität haben.
cacheEnabled boolean true Aktiviert den Authentifizierungscache.
basicRegistry
Eine einfache XML-basierte Benutzerregistry.
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
ignoreCaseForAuthentication boolean false Ermöglicht die Authentifizierung des Benutzernamens ohne Beachtung der Groß-/Kleinschreibung.
realm string BasicRegistry Der Realmname stellt die Benutzerregistry dar.
basicRegistry > group
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
name string   Der Name einer Gruppe in einer Basisbenutzerregistry.
basicRegistry > group > member
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
name string   Der Name eines Benutzers in einer Gruppe in der Basisbenutzerregistry.
basicRegistry > user
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
name string   Der Name eines Benutzers in einer Basisbenutzerregistry.
password Unidirektional hashfähiges oder umkehrbar verschlüsseltes Kennwort (string)   Das Kennwort eines Benutzers in einer Basisbenutzerregistry. Der Wert kann in Klartext oder in verschlüsselter Form gespeichert werden. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie dazu das Tool securityUtility mit der Option encode.
classloading
Globales Laden von Klassen
Attributname Datentyp Standardwert Beschreibung
useJarUrls boolean false Angabe, ob URLs vom Typ 'jar:' zum Referenzieren von Dateien in Archiven verwendet werden sollen oder URLs vom Typ 'wsjar:'.
jaasLoginContextEntry
Die Konfiguration für JAAS-Anmeldekontexteinträge.
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
loginModuleRef Liste mit Referenzen auf jaasLoginModule-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge). hashtable,userNameAndPassword,certificate,token Eine Referenz auf die ID eines JAAS-Anmeldemoduls.
name string   Der Name eines JAAS-Konfigurationseintrags.
jaasLoginModule
Ein Anmeldemodul in der JAAS-Konfiguration.
Attributname Datentyp Standardwert Beschreibung
className string   Der vollständig qualifizierte Paketname der JAAS-Anmeldemodulklasse.
controlFlag
  • SUFFICIENT
  • REQUISITE
  • REQUIRED
  • OPTIONAL
REQUIRED Die Steuermarkierung des Anmeldemoduls. Die gültigen Werte sind REQUIRED, REQUISITE, SUFFICIENT und OPTIONAL.
SUFFICIENT
Dieses Anmeldemodul ist gemäß JAAS-Spezifikation ausreichend (SUFFICIENT). Das Anmeldemodul muss nicht erfolgreich sein. Wenn die Authentifizierung erfolgreich ist, werden keine anderen Anmeldemodule aufgerufen und die Steuerung wird an den Anrufer zurückgegeben.
REQUISITE
Dieses Anmeldemodul ist gemäß JAAS-Spezifikation ausreichend (REQUISITE). Das Anmeldemodul muss erfolgreich sein. Wenn die Authentifizierung fehlschlägt, werden keine anderen Anmeldemodule aufgerufen und die Steuerung wird an den Anrufer zurückgegeben.
REQUIRED
Dieses Anmeldemodul ist gemäß JAAS-Spezifikation erforderlich (REQUIRED). Das Anmeldemodul muss erfolgreich sein.
OPTIONAL
Dieses Anmeldemodul ist gemäß JAAS-Spezifikation optional (OPTIONAL). Das Anmeldemodul muss nicht erfolgreich sein.
id string   Eine eindeutige Konfigurations-ID.
libraryRef Referenz auf das library-Element (string) der höchsten Ebene.   Eine Referenz auf die ID der gemeinsam genutzten Bibliothekskonfiguration.
jaasLoginModule > library
Beschreibung: Eine Referenz auf die ID der gemeinsam genutzten Bibliothekskonfiguration.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
apiTypeVisibility string spec,ibm-api,api Die Typen von API-Paketen, die das Klassenladeprogramm dieser Bibliothek sehen kann, in Form einer durch Kommas getrennten Liste mit einer beliebigen Kombination der folgenden Einträge: spec, ibm-api, api, third-party.
description string   Beschreibung der gemeinsam genutzten Bibliothek für Administratoren.
filesetRef Liste mit Referenzen auf fileset-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge).   ID der referenzierten Dateigruppe
name string   Name der gemeinsam genutzten Bibliothek für Administratoren.
jaasLoginModule > library > file
Beschreibung: ID der referenzierten Datei
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
name Pfad zu einer Datei   Vollständig qualifizierter Dateiname
jaasLoginModule > library > fileset
Beschreibung: ID der referenzierten Dateigruppe
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
caseSensitive boolean true Boolescher Wert, der anzeigt, ob bei der Suche die Groß-/Kleinschreibung beachtet werden soll (Standardeinstellung: true).
dir Pfad zu einem Verzeichnis ${server.config.dir} Das Basisverzeichnis, in dem Dateien gesucht werden.
excludes string   Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die von den Suchergebnissen ausgeschlossen werden sollen. Standardmäßig werden keine Dateien ausgeschlossen.
id string   Eine eindeutige Konfigurations-ID.
includes string * Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die in die Suchergebnisse eingeschlossen werden sollen (Standardeinstellung: *).
scanInterval Zeitraum mit Genauigkeit in Millisekunden 0 Das Intervall, in dem die Dateigruppe auf Änderungen hin überprüft wird, zusammen mit dem Suffix für die Zeiteinheit: h-Stunde, m-Minute, s-Sekunde, ms-Millisekunde (z. B. 2ms oder 5s). Diese Einstellung ist standardmäßig inaktiviert (scanInterval=0). Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
jaasLoginModule > library > folder
Beschreibung: ID des referenzierten Ordners
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
dir Pfad zu einem Verzeichnis   Verzeichnis oder Ordner, der zum Suchen von Ressourcendateien in den Bibliotheksklassenpfad eingeschlossen werden soll
id string   Eine eindeutige Konfigurations-ID.
jaasLoginModule > options
Beschreibung: Eine Sammlung von Optionen für JAAS-Anmeldemodule.
Erforderlich: false
Datentyp:
library
Gemeinsam genutzte Bibliothek
Attributname Datentyp Standardwert Beschreibung
apiTypeVisibility string spec,ibm-api,api Die Typen von API-Paketen, die das Klassenladeprogramm dieser Bibliothek sehen kann, in Form einer durch Kommas getrennten Liste mit einer beliebigen Kombination der folgenden Einträge: spec, ibm-api, api, third-party.
description string   Beschreibung der gemeinsam genutzten Bibliothek für Administratoren.
filesetRef Liste mit Referenzen auf fileset-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge).   ID der referenzierten Dateigruppe
id string   Eine eindeutige Konfigurations-ID.
name string   Name der gemeinsam genutzten Bibliothek für Administratoren.
library > file
Beschreibung: ID der referenzierten Datei
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
name Pfad zu einer Datei   Vollständig qualifizierter Dateiname
library > fileset
Beschreibung: ID der referenzierten Dateigruppe
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
caseSensitive boolean true Boolescher Wert, der anzeigt, ob bei der Suche die Groß-/Kleinschreibung beachtet werden soll (Standardeinstellung: true).
dir Pfad zu einem Verzeichnis ${server.config.dir} Das Basisverzeichnis, in dem Dateien gesucht werden.
excludes string   Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die von den Suchergebnissen ausgeschlossen werden sollen. Standardmäßig werden keine Dateien ausgeschlossen.
id string   Eine eindeutige Konfigurations-ID.
includes string * Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die in die Suchergebnisse eingeschlossen werden sollen (Standardeinstellung: *).
scanInterval Zeitraum mit Genauigkeit in Millisekunden 0 Das Intervall, in dem die Dateigruppe auf Änderungen hin überprüft wird, zusammen mit dem Suffix für die Zeiteinheit: h-Stunde, m-Minute, s-Sekunde, ms-Millisekunde (z. B. 2ms oder 5s). Diese Einstellung ist standardmäßig inaktiviert (scanInterval=0). Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
library > folder
Beschreibung: ID des referenzierten Ordners
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
dir Pfad zu einem Verzeichnis   Verzeichnis oder Ordner, der zum Suchen von Ressourcendateien in den Bibliotheksklassenpfad eingeschlossen werden soll
id string   Eine eindeutige Konfigurations-ID.
ltpa
Konfiguration von LTPA-Token (Lightweight Third Party Authentication).
Attributname Datentyp Standardwert Beschreibung
expiration Zeitraum mit Genauigkeit in Minuten 120m Zeit (in Minuten), nach der die Gültigkeit eines Tokens abläuft. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h) und Minuten (m). Geben Sie 30 Minuten beispielsweise als 30m an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1h30m entspricht beispielsweise 90 Minuten.
keysFileName Pfad zu einer Datei ${server.output.dir}/resources/security/ltpa.keys Pfad der Datei, die die Tokenschlüssel enthält.
keysPassword Umkehrbar verschlüsseltes Kennwort (string) {xor}CDo9Hgw= Das Kennwort für die Tokenschlüssel. Der Wert kann in Klartext oder in verschlüsselter Form gespeichert werden. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie das Tool securityUtility mit der Option encode.
monitorInterval Zeitraum mit Genauigkeit in Millisekunden 0ms Intervall, in dem der Server nach Aktualisierungen in der LTPA-Tokenschlüsseldatei sucht. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
quickStartSecurity
Einfache Verwaltungssicherheitskonfiguration.
Attributname Datentyp Standardwert Beschreibung
userName string   Ein einzelner Benutzer, der für die Sicherheitskonfiguration für den Schnelleinstieg definiert wird. Diesem Benutzer wird die Rolle Administrator erteilt.
userPassword Umkehrbar verschlüsseltes Kennwort (string)   Das Kennwort für den einzelnen Benutzer, der für die Sicherheitskonfiguration für den Schnelleinstieg definiert wird. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie dazu das Tool securityUtility mit der Option encode.

Symbol das den Typ des Artikels anzeigt. Referenzartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_appSecurity-2.0
Dateiname: rwlp_feature_appSecurity-2.0.html