Application Security 2.0
Dieses Feature ermöglicht die Unterstützung zur Sicherung der Serverlaufzeitumgebung und der Anwendungen. Es umfasst eine Basisbenutzerregistry. Dieses Feature setzt appSecurity-1.0 außer Kraft. servlet-3.0 oder Unterstützung für die LDAP-Benutzerregistry ist nicht darin integriert. Zum Sichern von Webanwendungen fügen Sie das Feature servlet-3.0 hinzu. Fügen Sie das ejbLite-3.1-Feature für sichere EJB-Anwendungen hinzu. Zur Verwendung von LDAP fügen Sie das Feature ldapRegistry-3.0 hinzu. Wenn Sie das appSecurity-2.0-Feature zu Ihrem Server hinzufügen, müssen Sie eine Benutzerregistry konfigurieren, z. B. die Basisbenutzerregistry oder die LDAP-Benutzerregistry.
Dieses Feature aktivieren
<feature>appSecurity-2.0</feature>
Unterstützte Java™-Versionen
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
Ein Feature entwickeln, das von diesem Feature abhängt
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"
Features, die dieses Feature aktiviert
Features, die dieses Feature aktivieren
Featurekonfigurationselement
Sie können die folgenden Elemente in Ihrer Datei server.xml verwenden, um das Feature "Application Security 2.0" zu konfigurieren:
- administrator-role
- authCache
- authentication
- basicRegistry
- classloading
- jaasLoginContextEntry
- jaasLoginModule
- library
- ltpa
- quickStartSecurity
- administrator-role
- Eine Sammlung von Benutzern und/oder Gruppen, die der Rolle Serveradministrator zugeordnet sind.
- authCache
- Steuert die Operationen des Authentifizierungscaches.
Attributname Datentyp Standardwert Beschreibung allowBasicAuthLookup boolean true Lässt die Suche nach Benutzer-ID und hashverschlüsseltem Kennwort zu. initialSize int Minimum: 1
50 Die anfängliche Anzahl an Einträgen, die vom Authentifizierungscache unterstützt werden. maxSize int Minimum: 1
25000 Die maximale Anzahl an Einträgen, die vom Authentifizierungscache unterstützt werden. timeout Zeitraum mit Genauigkeit in Millisekunden 600s Die Zeit, nach der ein Eintrag im Cache entfernt wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. - authentication
- Steuert die Konfiguration des integrierten Authentifizierungsservice.
Attributname Datentyp Standardwert Beschreibung allowHashtableLoginWithIdOnly boolean false Ermöglicht einer Anwendung, sich lediglich mit einer ID in den Eigenschaften der Hashtabelle anzumelden. Verwenden Sie diese Option nur, wenn Sie Anwendungen haben, die dies erfordern und andere Mittel für die Validierung der Identität haben. cacheEnabled boolean true Aktiviert den Authentifizierungscache. - basicRegistry
- Eine einfache XML-basierte Benutzerregistry.
Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. ignoreCaseForAuthentication boolean false Ermöglicht die Authentifizierung des Benutzernamens ohne Beachtung der Groß-/Kleinschreibung. realm string BasicRegistry Der Realmname stellt die Benutzerregistry dar. - basicRegistry > group
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. name string Der Name einer Gruppe in einer Basisbenutzerregistry.
- basicRegistry > user
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. name string Der Name eines Benutzers in einer Basisbenutzerregistry. password Unidirektional hashfähiges oder umkehrbar verschlüsseltes Kennwort (string) Das Kennwort eines Benutzers in einer Basisbenutzerregistry. Der Wert kann in Klartext oder in verschlüsselter Form gespeichert werden. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie dazu das Tool securityUtility mit der Option encode.
- classloading
- Globales Laden von Klassen
Attributname Datentyp Standardwert Beschreibung useJarUrls boolean false Angabe, ob URLs vom Typ 'jar:' zum Referenzieren von Dateien in Archiven verwendet werden sollen oder URLs vom Typ 'wsjar:'. - jaasLoginContextEntry
- Die Konfiguration für JAAS-Anmeldekontexteinträge.
Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. loginModuleRef Liste mit Referenzen auf jaasLoginModule-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge). hashtable,userNameAndPassword,certificate,token Eine Referenz auf die ID eines JAAS-Anmeldemoduls. name string Der Name eines JAAS-Konfigurationseintrags. - jaasLoginModule
- Ein Anmeldemodul in der JAAS-Konfiguration.
Attributname Datentyp Standardwert Beschreibung className string Der vollständig qualifizierte Paketname der JAAS-Anmeldemodulklasse. controlFlag - SUFFICIENT
- REQUISITE
- REQUIRED
- OPTIONAL
REQUIRED Die Steuermarkierung des Anmeldemoduls. Die gültigen Werte sind REQUIRED, REQUISITE, SUFFICIENT und OPTIONAL. - SUFFICIENT
- Dieses Anmeldemodul ist gemäß JAAS-Spezifikation ausreichend (SUFFICIENT). Das Anmeldemodul muss nicht erfolgreich sein. Wenn die Authentifizierung erfolgreich ist, werden keine anderen Anmeldemodule aufgerufen und die Steuerung wird an den Anrufer zurückgegeben.
- REQUISITE
- Dieses Anmeldemodul ist gemäß JAAS-Spezifikation ausreichend (REQUISITE). Das Anmeldemodul muss erfolgreich sein. Wenn die Authentifizierung fehlschlägt, werden keine anderen Anmeldemodule aufgerufen und die Steuerung wird an den Anrufer zurückgegeben.
- REQUIRED
- Dieses Anmeldemodul ist gemäß JAAS-Spezifikation erforderlich (REQUIRED). Das Anmeldemodul muss erfolgreich sein.
- OPTIONAL
- Dieses Anmeldemodul ist gemäß JAAS-Spezifikation optional (OPTIONAL). Das Anmeldemodul muss nicht erfolgreich sein.
id string Eine eindeutige Konfigurations-ID. libraryRef Referenz auf das library-Element (string) der höchsten Ebene. Eine Referenz auf die ID der gemeinsam genutzten Bibliothekskonfiguration. - jaasLoginModule > library
Beschreibung: Eine Referenz auf die ID der gemeinsam genutzten Bibliothekskonfiguration.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung apiTypeVisibility string spec,ibm-api,api Die Typen von API-Paketen, die das Klassenladeprogramm dieser Bibliothek sehen kann, in Form einer durch Kommas getrennten Liste mit einer beliebigen Kombination der folgenden Einträge: spec, ibm-api, api, third-party. description string Beschreibung der gemeinsam genutzten Bibliothek für Administratoren. filesetRef Liste mit Referenzen auf fileset-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge). ID der referenzierten Dateigruppe name string Name der gemeinsam genutzten Bibliothek für Administratoren. - jaasLoginModule > library > file
Beschreibung: ID der referenzierten DateiErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. name Pfad zu einer Datei Vollständig qualifizierter Dateiname
- jaasLoginModule > library > fileset
Beschreibung: ID der referenzierten DateigruppeErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung caseSensitive boolean true Boolescher Wert, der anzeigt, ob bei der Suche die Groß-/Kleinschreibung beachtet werden soll (Standardeinstellung: true). dir Pfad zu einem Verzeichnis ${server.config.dir} Das Basisverzeichnis, in dem Dateien gesucht werden. excludes string Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die von den Suchergebnissen ausgeschlossen werden sollen. Standardmäßig werden keine Dateien ausgeschlossen. id string Eine eindeutige Konfigurations-ID. includes string * Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die in die Suchergebnisse eingeschlossen werden sollen (Standardeinstellung: *). scanInterval Zeitraum mit Genauigkeit in Millisekunden 0 Das Intervall, in dem die Dateigruppe auf Änderungen hin überprüft wird, zusammen mit dem Suffix für die Zeiteinheit: h-Stunde, m-Minute, s-Sekunde, ms-Millisekunde (z. B. 2ms oder 5s). Diese Einstellung ist standardmäßig inaktiviert (scanInterval=0). Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
- jaasLoginModule > library > folder
Beschreibung: ID des referenzierten OrdnersErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung dir Pfad zu einem Verzeichnis Verzeichnis oder Ordner, der zum Suchen von Ressourcendateien in den Bibliotheksklassenpfad eingeschlossen werden soll id string Eine eindeutige Konfigurations-ID.
- library
- Gemeinsam genutzte Bibliothek
Attributname Datentyp Standardwert Beschreibung apiTypeVisibility string spec,ibm-api,api Die Typen von API-Paketen, die das Klassenladeprogramm dieser Bibliothek sehen kann, in Form einer durch Kommas getrennten Liste mit einer beliebigen Kombination der folgenden Einträge: spec, ibm-api, api, third-party. description string Beschreibung der gemeinsam genutzten Bibliothek für Administratoren. filesetRef Liste mit Referenzen auf fileset-Elemente der höchsten Ebene (durch Kommas getrennte Zeichenfolge). ID der referenzierten Dateigruppe id string Eine eindeutige Konfigurations-ID. name string Name der gemeinsam genutzten Bibliothek für Administratoren. - library > file
Beschreibung: ID der referenzierten DateiErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. name Pfad zu einer Datei Vollständig qualifizierter Dateiname
- library > fileset
Beschreibung: ID der referenzierten DateigruppeErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung caseSensitive boolean true Boolescher Wert, der anzeigt, ob bei der Suche die Groß-/Kleinschreibung beachtet werden soll (Standardeinstellung: true). dir Pfad zu einem Verzeichnis ${server.config.dir} Das Basisverzeichnis, in dem Dateien gesucht werden. excludes string Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die von den Suchergebnissen ausgeschlossen werden sollen. Standardmäßig werden keine Dateien ausgeschlossen. id string Eine eindeutige Konfigurations-ID. includes string * Die durch Kommas oder Leerzeichen getrennte Liste mit Dateinamensmustern, die in die Suchergebnisse eingeschlossen werden sollen (Standardeinstellung: *). scanInterval Zeitraum mit Genauigkeit in Millisekunden 0 Das Intervall, in dem die Dateigruppe auf Änderungen hin überprüft wird, zusammen mit dem Suffix für die Zeiteinheit: h-Stunde, m-Minute, s-Sekunde, ms-Millisekunde (z. B. 2ms oder 5s). Diese Einstellung ist standardmäßig inaktiviert (scanInterval=0). Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
- library > folder
Beschreibung: ID des referenzierten OrdnersErforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung dir Pfad zu einem Verzeichnis Verzeichnis oder Ordner, der zum Suchen von Ressourcendateien in den Bibliotheksklassenpfad eingeschlossen werden soll id string Eine eindeutige Konfigurations-ID.
- ltpa
- Konfiguration von LTPA-Token (Lightweight Third Party Authentication).
Attributname Datentyp Standardwert Beschreibung expiration Zeitraum mit Genauigkeit in Minuten 120m Zeit (in Minuten), nach der die Gültigkeit eines Tokens abläuft. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h) und Minuten (m). Geben Sie 30 Minuten beispielsweise als 30m an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1h30m entspricht beispielsweise 90 Minuten. keysFileName Pfad zu einer Datei ${server.output.dir}/resources/security/ltpa.keys Pfad der Datei, die die Tokenschlüssel enthält. keysPassword Umkehrbar verschlüsseltes Kennwort (string) {xor}CDo9Hgw= Das Kennwort für die Tokenschlüssel. Der Wert kann in Klartext oder in verschlüsselter Form gespeichert werden. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie das Tool securityUtility mit der Option encode. monitorInterval Zeitraum mit Genauigkeit in Millisekunden 0ms Intervall, in dem der Server nach Aktualisierungen in der LTPA-Tokenschlüsseldatei sucht. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. - quickStartSecurity
- Einfache Verwaltungssicherheitskonfiguration.
Attributname Datentyp Standardwert Beschreibung userName string Ein einzelner Benutzer, der für die Sicherheitskonfiguration für den Schnelleinstieg definiert wird. Diesem Benutzer wird die Rolle Administrator erteilt. userPassword Umkehrbar verschlüsseltes Kennwort (string) Das Kennwort für den einzelnen Benutzer, der für die Sicherheitskonfiguration für den Schnelleinstieg definiert wird. Es wird empfohlen, das Kennwort zu verschlüsseln. Verwenden Sie dazu das Tool securityUtility mit der Option encode.