安全性定制属性

此属性仅适用于 IBM 为 "安全性审计" 功能提供的 SMF 发射器实现。 可以使用此属性来指定截断后的可变长度审计数据的长度（以字节计）。 缺省情况下，如果未指定此定制属性并且可变长度审计数据字段超过了阈值限制（ 20480 个字节），那么会将该字段截断为 128 个字节。

SMF 重定位数据的阈值大小限制是 20480 个字节。 如果审计数据超过此限制，那么将截断审计数据以防止丢失审计记录。

缺省值为 20480。

类型是介于 1 和 512之间的整数。

使用此属性可指定要为每种事件类型记录的审计数据量。 如果您只需要记录关于事件的基本信息，例如哪个用户对哪些资源执行了哪些操作以及操作时间，请将此属性设置为 high，这有助于提高应用程序服务器性能。

您可以为此属性指定 high， medium或 low 的值。 缺省值为 low。

此属性启用 SECURITY_FORM_LOGIN 安全性审计事件。 在 value 参数中指定要包含在此审计事件中的结果。

在 9.0.5.8 及更高版本中， com.ibm.audit.terse.form.login 属性可启用 SECURITY_FORM_LOGIN、 SECURITY_KERBEROS_LOGIN 和 SECURITY_SPNEGO_LOGIN 审核事件。 在 value 参数中指定要包含在这些审计事件中的结果。 在 audit.xml 文件中添加此属性时，对配置了 Kerberos 或 SPNEGO 的环境进行 Web 登录将生成最小数量的审计数据。

此属性必须在 audit.xml 文件中手动指定，并且不可通过管理控制台或脚本编制进行配置。 有关更多信息，请参阅 Terse 审计记录定制属性。

缺省值为 None。

类型是有效结果的空格分隔列表。

此属性启用 SECURITY_FORM_LOGOUT 安全性审计事件。 在 value 参数中指定要包含在此审计事件中的结果。

在 9.0.5.8 及更高版本中， com.ibm.audit.terse.form.logout 属性可启用 SECURITY_FORM_LOGOUT、 SECURITY_KERBEROS_LOGOUT 和 SECURITY_SPNEGO_LOGOUT 审核事件。 在 value 参数中指定要包含在这些审计事件中的结果。 在 audit.xml 文件中添加此属性时，从配置了 Kerberos 或 SPNEGO 的环境中进行的 Web 注销将生成最小数量的审计数据。

此属性必须在 audit.xml 文件中手动指定，并且不可通过管理控制台或脚本编制进行配置。 有关更多信息，请参阅 Terse 审计记录定制属性。

缺省值为 None。

类型是有效结果的空格分隔列表。

当此属性设置为 true时，正在登录和注销的应用程序的名称将包含在 Terse 审计记录中。 有效值为true或false。 缺省情况下，应用程序名称不包含在 Terse 审计记录中。

此属性必须在 audit.xml 文件中手动指定，并且不可通过管理控制台或脚本编制进行配置。 有关更多信息，请参阅 Terse 审计记录定制属性。

缺省值为 false。

类型为 Boolean。

此属性用于定制服务器以禁用 Java 安全属性。

WebSphere Application Server 设置 Java 安全性属性 jdk.certpath.disabledAlgorithms 以禁用可用于证书路径验证的算法。

要告知定制属性不要设置 com.ibm.websphere.certpath.disabledAlgorithms，请将值设置为 none。

要将 jdk.certpath.disabledAlgoriths 设置为一组特定算法，请将安全性定制属性 com.ibm.websphere.certpath.disabledAlgorithms 设置为以逗号分隔的算法列表。

缺省值为 MD2, RSA keySize < 1024, MD5。

默认值为 MD2, MD5, SHA1 jdkCA & usage TLSServer, RSA keySize < 1024, DSA keySize < 1024, EC keySize < 224。

此属性将禁用调用者列表并且不允许调用者列表更改。 此属性可防止创建多个会话。

缺省值为 false。

此属性将调用者列表限制为仅第一个调用者，这表示调用者列表无法更改。 如果将此属性设置为 True，那么将消除创建多个会话条目的可能性。

当启用了安全性属性传播时，此属性将记录传播令牌中的存在于线程上的第一个调用者。 如果未设置此属性，那么将记录所有调用者开关，这将影响性能。 通常，只对第一个调用者感兴趣。

缺省值为 true。

com.ibm.CSI.propagateFirstCallerOnly 安全性定制属性的缺省值设置为 true。 当此定制属性设置为 true时，将在启用安全性属性传播时记录传播令牌中保留在线程上的第一个调用者。 此属性设置为 false 时，系统会记录所有调用者开关，这可能会影响性能。

此属性指定用于接收入站的远程方法调用 (RMI) 请求的 Java 认证和授权服务 (JAAS) 登录配置。

通过了解登录配置，您就可以插入能处理特定的 RMI 登录情况的定制登录模块。

缺省值为 system.RMI_INBOUND。

此属性定义用来执行特定于应用程序的主体映射的系统 JAAS 登录配置。

缺省值为 None。

此属性设置为 true时，将启用特定于应用程序的主体映射功能。

缺省值为 false。

此属性指定用于所发送出站 RMI 请求的 JASS 登录配置。

此属性主要用来在要发送到目标服务器的主体集中准备传播的属性。 但是，可以插入定制登录模块以执行出站映射。

缺省值为 system.RMI_OUTBOUND。

此属性设置为 true时，允许复原嵌入在 WSSubjectWrapper 对象中的原始调用者主体集。

缺省值为 false。

此属性允许将当前领域中认证的凭证发送到“可信目标域”字段中指定的任何领域。 “可信目标域”字段在“CSIv2 出站认证”面板上。 此属性使那些领域能够对来自当前领域的数据执行入站映射。

如果希望CosNamingRead角色保护所有命名读取操作，可将此属性设置为 "true。 将此属性设置为 true 等同于将 CosNamingRead 角色分配给“每个人”特殊主体集。 如果设置了此属性，那么将忽略对 CosNamingRead 角色进行的任何分配。

缺省值为 None。

确定是否可独立于 SAF 授权来使用系统授权工具 (SAF) 授权功能。 当此属性设置为 true时，只要用户注册表是联合存储库用户注册表，并且配置了 SAF 用户注册表网桥，就可以使用 SAF 授权。

此属性没有缺省值。

可以使用此属性来覆盖 APPL 概要文件的值，尤其适用于服务器启动期间执行的两个 RACROUTE 调用。 对于这些调用，APPL 值不用于授权检查过程，但可用于安装出口例程。 用于授权检查的 APPL 概要文件值不由此属性控制，而是设置为 CBS390 或 SAF 概要文件前缀值。

缺省值为 None。

此定制属性指定是否使用 APPL 概要文件来限制对 WebSphere Application Server的访问。

如果您定义了 SAF 概要文件前缀，那么使用的 APPL 概要文件是该概要文件前缀。 否则，APPL 概要文件名称为 CBS390。 使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。 这包括所有 WebSphere Application Server 身份， WebSphere Application Server 未认证身份， WebSphere Application Server 管理身份，基于角色到用户映射的用户标识以及系统用户的所有用户身份。 如果 APPL 类在 z/OS 系统上未处于活动状态，那么无论此属性的值是什么，它都无效。

缺省值为 true。

指定将使用联邦信息处理标准 (FIPS) 算法。 应用程序服务器使用 IBMJCEFIPS 加密提供程序而不是 IBMJCE 加密提供程序。

缺省值为 false。

该属性设置为 true 时，会在客户端启动的所有 SSL 连接中对目标服务器进行主机名和 IP 地址验证。

WebSphere 套接字工厂确保客户端 中指定的主机名或 IP 地址与服务器出示的 SSL 证书中的主题替代名称 (SAN) 相匹配。 URL 如果 SAN 不包含相关的主机名，则验证会将主机名与证书中的通用名 (CN) 进行匹配。 如果检测到不匹配，则拒绝 SSL 连接。

该属性可在全局和别名层面进行配置。

缺省值为 true。

您可以为该属性指定以逗号分隔的主机名、IP 地址或两者的列表。 这样，即使 com.ibm.ssl.verifyHostname 属性设置为 true，客户端也会在 SSL 连接期间跳过指定项目的主机名和 IP 地址验证。

默认情况下，该属性设置为空字符串，这意味着客户端会验证 SSL 连接中的所有主机名和 IP 地址。

该属性可在全局和别名层面进行配置。

<properties xmi:id="Property_1718654466424" name="com.ibm.ssl.verifyHostname" value="true"/>
<properties xmi:id="Property_1718654466428" name="com.ibm.ssl.skipHostnameVerificationForHosts" value="MYHOST1.com,MYHOST2.com,10.10.1.1"/>

此审计属性用于定制用于审计监视的通知电子邮件的 发件人地址 。

分配给此属性的值应该是因特网地址，例如 Notification@abc-company.com。 如果未设置此属性，应用服务器将使用电子邮件fromAddress: WebSphereNotification@ibm

缺省值为 WebSphereNotification@ibm.com。

此安全属性用于定制证书到期的通知电子邮件的 主题行 。

分配给此属性的值是定制电子邮件主题行，例如 北美认证监视器通知。 为了加强细节，特别是在有多个单元格或管理范围的环境中，可以在所选的电子邮件主题值上附加_addManagementScope。 例如，您可以将电子邮件主题行设置为North America Certification MonitorNotification_addManagementScope，以使用附加管理范围信息。

_addManagementScope是该属性的唯一后缀。 此后缀不仅仅是标签，而是功能，可将单元格和节点信息添加到电子邮件的主题行。 例如，如果设置为North America Certification Monitor Notification_addManagementScope，电子邮件主题行可能为North America Certification Monitor Notification - cells：IBM-PF3SQ87FCell01 node:IBM-PF3SQ87FNode01. 此包含提供了更高级别的详细信息，对于区分通知中的不同管理作用域特别有用。

在部署管理器上，_addManagementScope后缀在主题行中包含单元和节点信息。

在单个服务器上，_addManagementScope后缀只包含节点信息。

该属性的默认值是一个占位符，用于替换为自定义电子邮件主题行，无论是否带有_addManagementScope后缀。

此安全性属性用于定制证书到期通知电子邮件的发件人地址。

分配给此属性的值应该是因特网地址，例如 Notification@abc-company.com。 如果未设置此属性，应用服务器将使用电子邮件fromAddress: WebSphereNotification@ibm

缺省值为 None。

此安全性属性用于定制证书到期通知电子邮件的文本编码字符集。

WebSphere Application Server 以美式英语或机器缺省字符集 (如果指定了非英语语言环境) 发送证书到期通知电子邮件。 如果要对证书到期通知电子邮件使用其他文本编码字符集，那么可以使用此属性来定制文本编码字符集。

缺省值为 None。

当使用远程服务器上的 MBean 执行领域注册表查找，并且领域启用了本地操作系统安全性时，可以设置此属性。

缺省情况下，用户注册表任务 listRegistryUsers 和 listRegistryGroups 从当前进程执行查询。 对于 Network Deployment (ND)，由 Deployment Manager 执行。

处理本地操作系统用户注册表时，应该在该注册表所驻留的实际服务器中执行查询。 在 ND 环境中，该服务器可能是远程机器。 要在注册表所在的服务器进程上执行查找，请将 com.ibm.websphere.lookupRegistryOnProcess 定制属性设置为 true。

如果未设置 com.ibm.websphere.lookupRegistryOnProcess 或将其设置为 false，那么将在当前进程中执行查询。 可以使用全局安全性的 setAdminActiveSecuritySettings 任务或安全域的 setAppActiveSecuritySettings 任务来设置此定制属性。

使用此属性将 "分区" 属性添加到 LTPA 和 TAI cookie。 编写 cookie 的信任关联拦截器 (TAI) 和 OAuth 提供者接受此安全性属性的值。 TAI 包括OpenIDConnect (OIDC)、OpenID,和 SAML 网络 SSO。

此属性的 true 值指定如果 cookie 上的 SameSite 属性设置为 None，那么将分区属性添加到 cookie 中。

此属性依赖于浏览器。 有关详细信息，请参阅支持的浏览器列表。

使用此属性来指定与轻量级第三方认证 (LTPA) cookie 关联的单点登录 (SSO) 的 SameSite 属性值。 用于编写 cookie 和 OAuth 提供者的信任关联拦截器 (TAI) 接受此核心安全性属性的值。 TAI 包括OpenIDConnect (OIDC)、OpenID,和 SAML 网络 SSO。

提示： 如果在跨站请求中共享 cookie，则可能需要将 com.ibm.websphere.security.addPartitionedAttributeToCookie 自定义属性设置为 true。

启用此定制属性后，服务器生成的所有证书将自动包含缺省主题备用名称 (SAN) 元素。

此定制属性指定是否允许已落实的 HTTP 响应。

当应用程序服务器检测已落实的 HTTP 响应时，它将显示一般的 403 错误消息。 将此属性设置为 true 以允许已落实的 HTTP 响应并且不显示 403 错误消息。 在使用定制登录模块的配置中，模块可以落实 HTTP 响应以显示定制错误消息。

缺省值为 false。

使用应用程序表单登录和注销时，可以为定制注销页面提供 URL。 缺省情况下，该 URL 必须指向被请求的主机或其域。 如果未执行此操作，那么将显示通用注销页面，而不是定制注销页面。 如果您希望能够指向任何主机，那么需要将 security.xml 文件中的此属性设置为值 true。

使用此属性来指示当使用定制格式的登录处理器时是否采用具有 WASReqURL 值的 cookie。

当该属性设置为 true 时， WASReqURL 的值优先于当前的 URL ，并且在后续请求中删除 WASReqURL cookie。

当该属性设置为 false 时，当前 URL 的值优先，并且 WASReqURL cookie 不会从后续请求中移除。

此属性指定审计记录是否包含主机名信息。 当审计记录包含远程主机名信息时，需要进行 DNS 查找。 如果 DNS 查找速度较慢，那么服务器可能需要很长时间才能写入审计记录。 当此属性设置为 false时，审计记录将包括远程主机的 IP 地址，但不包括远程主机名信息。

指定数据复制服务 (DRS) 是否启用 DRSbootstrap 功能。

在高容量环境中，动态高速缓存数据复制可能增加服务器启动所花费的时间。 如果由于数据复制而迂到服务器启动较慢的情况，请将此属性添加到服务器安全设置并将其设置为 false。 此属性设置为 False 时，数据复制服务将禁用 DRSbootstrap 功能。

此属性的缺省设置是 True。

指定用于更广泛地查找认证高速缓存以进行证书登录的选项。

此属性的缺省设置为 false。

针对使用 WebSphere Application Server 生成的那些新 CMS 密钥库，指定是否在 z/OS 上将 CMSProvider 缺省版本从 V4 更改为 V3。

针对 CMSProvider V2.50，缺省指定版本为 V4。 所生成的新密钥库将处于 V4 级别，z/OS 当前无法使用 V4 CMS 密钥库。 针对这些生成的 V4 CMS 密钥库，设置 com.ibm.websphere.security.cms.use.default=true，此属性在 z/OS 上将 CMSProvider 缺省版本从 V4 更改为 V3。 如果生成的密钥库低于这些 Java 版本，那么这些密钥库为 V3，且将在 z/OS 上成功用于 CMSProvider 2.50。

此属性用于从域中的全局安全性配置继承全局可信领域设置。

缺省情况下，不会继承安全性配置可信入站和出站领域。 但是，在某些情况下配置可能要使用（继承）域中全局安全性配置中的设置。

此属性的值可以是 true 或 false。

此属性用于减少大型拓扑配置的响应时间。

当此属性设置为 true 时， SSL 端口端点的状态不会显示在管理控制台的 "管理端点安全性配置" 页面上。 显示 SSL 端口端点的状态有时使管理控制台看起来不会再运行一样，这是因为该过程所需的时间超过了预期的响应时间。

此属性在定制 TAI 返回错误时自动将您定向到登录页面。

您不必在浏览器中输入 URL 以再次尝试登录。 必须将此属性设置为 true 才能启用此行为。

此属性用来定制用于轻量级第三方认证 (LTPA) 令牌的 Cookie 的名称。

WebSphere Application Server V 8.0 使您能够定制用于 LTPA 和 LTPA2 令牌的 cookie 的名称。 定制 Cookie 名称允许您以逻辑方式将单点登录 (SSO) 域之间的认证分开进行并允许针对特定环境使用定制的认证。

要利用此功能，必须设置定制属性。 对于 LTPA 令牌，可以将定制属性 com.ibm.websphere.security.customLTPACookieName 设置为任何有效字符串（不允许使用特殊字符和空格）来表示 LTPA 令牌 cookie，并可以设置 com.ibm.websphere.security.customSSOCookieName 来表示 LTPA2 (SSO) 令牌 cookie。 每个属性都区分大小写。

此属性的值是一个有效字符串。

此属性用来定制用于轻量级第三方认证 V2 (LTPA2) 令牌的 Cookie 的名称。

WebSphere Application Server V 8.0 使您能够定制用于 LTPA 和 LTPA2 令牌的 cookie 的名称。 定制 Cookie 名称允许您以逻辑方式将单点登录 (SSO) 域之间的认证分开进行并允许针对特定环境使用定制的认证。

要利用此功能，必须设置定制属性。 对于 LTPA 令牌，可以将定制属性 com.ibm.websphere.security.customLTPACookieName 设置为任何有效字符串（不允许使用特殊字符和空格）来表示 LTPA 令牌 cookie，并可以设置 com.ibm.websphere.security.customSSOCookieName 来表示 LTPA2 (SSO) 令牌 cookie。 每个属性都区分大小写。

此属性的值是一个有效字符串。

此属性指定要在 Single Sign On (SSO) 前后调用的信任关联拦截器 (TAI) 的逗号分隔列表。

要使此属性对 TAI 类执行操作，必须在 com.ibm.websphere.security.DeferTAItoSSO 属性和 com.ibm.websphere.security.InvokeTAIbeforeSSO 属性中同时指定该类。 不保证列表中的 TAI 的调用顺序。

此属性指定在禁用互操作性方式时，服务器是否在注销时除去所有 LTPAToken Cookie。

仅当值设置为 true 并且互操作性方式设置为 false时，服务器才会在注销时除去 LTPAToken2 cookie。 否则，服务器将同时除去 LTPAToken 和 LTPAToken2 cookie。

此属性指定 HTTP 基本认证登录窗口是否显示未在应用程序 web.xml 文件中定义的域名。

使用此属性以禁止出站 SOAP 调用在启用单点登录时从源服务器检索主体集。

通常，启用单点登录并需要认证入站请求时，接收服务器会尝试从源服务器检索认证。 在此回调进程期间，发送服务器和接收服务器之间的连接不会超时。

使用此属性来指示是否将 Java 认证和授权服务 (JAAS) 配置信息写入第一个故障数据捕获 (FFDC) 文件。

由于 FFDC 功能部件会立即收集有关可能导致故障的事件和条件的信息，因此可以将敏感的 JAAS 配置信息写入 FFDC 文件。

要确保任何敏感的 JAAS 配置信息 未 写入 FFDC 文件，请将 com.ibm.websphere.security.dumpJaasConfig 属性设置为 false。

使用此属性来对 isCallerInRole 方法调用启用审计。

如果将此属性设置为 "false，就会禁止对 "isCallerInRole的调用进行审计。 在z/OS 中，不会为调用发布 SMF 记录。

在用户注册表中找不到 TAI 所提供的用户时使用此属性，以便显示登录页面，而不显示错误页面。

在用户注册表中找不到 TAI 所提供的用户时，WebSphere Application Server 将显示一个错误页面。 要调整此行为，请将此属性设置为 true。 然后显示登录页面。 此属性的缺省设置为 false，WebSphere Application Server 的正常行为是显示错误页面。

如果在证书到期监视器运行后，在作业管理器或管理代理程序环境中观察到 CPU 利用率较高，那么可能需要将节点分发到多台服务器，以减少一台服务器上的 CPU 负载。

如果此属性设置为 false，那么 WebSphere 不会对与 RSA 令牌相关的 SSL 属性执行重新初始化。 将此属性配置为 false 之前，确保未在环境中使用作业管理器或管理代理程序。 这些功能需要 RSA 令牌，且不应该使用此属性。

此属性指定要在 Single Sign On (SSO) 之前调用的信任关联拦截器 (TAI) 的逗号分隔列表。 缺省情况下，将在 SSO 之后调用所有 TAI。 不保证列表中的 TAI 的调用顺序。

缺省情况下，产品使用 IOR 中的 IP 地址而不是主机名。 IOR 是用于唯一标识远程 CORBA 服务器上的对象的 CORBA 或 RMI-IIOP 引用。 当定制属性设置为 true时，产品将使用 IOR 中的主机名。

注： 从 9.0.5.21 版本开始，此属性的默认值为 true。

信息	值
缺省值	否
类型	Boolean

缺省情况下，在域安全级别创建 JAAS 认证数据条目时，条目的别名将采用 aliasName 格式。 通过在域安全性级别设置以下属性，可以允许将节点名添加到别名，从而使用 nodeName/aliasName 条目格式创建别名。

可以在全局安全级别设置 com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true，以允许将节点名添加到所有安全域的 JAAS 认证数据条目的别名。

缺省情况下，在全局安全性级别创建 JAAS 认证数据条目时，条目的别名采用 nodeName/aliasName 格式。 通过在全局安全级别为此属性设置值 true ，可以禁止将节点名添加到条目的别名。

此定制属性指定应用程序服务器在认证客户机时是否使用规范格式的 URL/HTTP 主机名。 此属性可同时用于 SPNEGO TAI 和 SPNEGO Web。

CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest

此定制属性指定是否对 SPNEGO Web 认证启用受约束委派。 此属性使 WebSphere Application Server 能够代表用户获取可信服务的服务凭单。 将此定制属性设置为 true 并启用 Kerberos 凭证委派以进行 SPNEGO Web 认证时， WebSphere Application Server 将从密钥分发中心 (KDC) 检索客户机约束的委派 S4U2proxy 凭证。 然后，在 SPNEGO Web 认证过程中将其放入客户机主体集中。 这些服务受 KDC 管理员约束。

可以为此属性指定值 true 或 false 。 缺省值为 false。

受约束的授权功能需要 Java 8 和更高版本。

此定制属性指定是否对除 SPNEGO Web 认证以外的任何认证机制启用受约束委派。 此属性使 WebSphere Application Server 能够代表用户获取其自身的服务凭单。 如果您有定制 TAI 来处理认证，并且需要客户机约束的委派 S4U2self 凭证，请将此定制属性设置为 true。 此外，调用 S42self API 以从 KDC 检索客户机约束的委派 S4U2self 凭证，您可以将其放在客户机主体集中。

可以为此属性指定值 true 或 false 。 缺省值为 false。

受约束的授权功能需要 Java 8 和更高版本。

此定制属性指定是否将 Kerberos 域名添加到主体集中 KRBAuthnToken 中的 uniqueId 。

将此定制属性设置为 true时， WebSphere Application Server 会将 Kerberos 域名添加到主体集中 KRBAuthnToken 中的 uniqueId 。 定制属性有助于区分具有相同用户名但具有不同 Kerberos 域 (例如 "mytester@REALM1" 和 "mytester@REALM2") 的用户。

此定制属性使您能够更改放在令牌中的领域的名称。

此定制属性使您能够将每个单元配置为具有自己的 LDAP 主机，以便实现互操作和向后兼容。 并且，它还使您能够灵活地以动态方式添加或移除 LDAP 主机。 如果您正在迁移先前的安装版本，那么修改后的域名直到您重新启用管理安全性后才会生效。 为了与不支持逻辑领域的前发行版兼容，此名称必须与先前安装版本所使用的名称相同。 您必须使用 LDAP 主机名（包括尾部的冒号和端口号）。

将此属性设置为 true ，以便应用程序服务器将 javax.naming.Naming 异常作为空结果处理。 异常是从启用了 RACF 的 LDAP 服务器发送的。

在此情况下， LDAP 服务器位于 z/OS 操作系统上，但应用程序服务器可以位于任何受支持的操作系统上。

根据 LDAP 服务器的 RACF 配置， LDAP 服务器将返回 javax.naming.NamingException 异常，该异常嵌入 ICH31005I RACF 消息。 当找不到 LDAP 用户搜索的用户时，将作为异常的一部分返回此消息。 如果此 com.ibm.websphere.security.ldap.suppressICH31005I 属性设置为 false，那么此结果可能会触发 SystemOut.log 文件中的许多 SECJ0352E 消息。

缺省值为 false。

当在 LDAP 服务器上启用了 SSL 时，使用此属性可指定 Java 虚拟机 (JVM) 在发出超时之前等待套接字连接的最大时间量（以毫秒计）。

当服务器进程启动时，如果一个或多个独立 LDAP 服务器处于脱机状态且 LDAP-SSL 已启用，那么启动过程可能最多延迟 3 分钟，即使对 com.sun.jndi.ldap.connect.timeout 定制属性指定了值也是如此。 当启用了 LDAP-SSL 时，指定的任何 com.sun.jndi.ldap.connect.timeout 属性值都将被忽略。

为此属性指定了值时，JVM 在尝试完成套接字连接时会尝试使用此连接超时值，而不是尝试建立目录上下文。 未对此属性指定值时，JVM 将尝试建立目录上下文。

此属性没有缺省值。

使用应用程序表单登录和注销时，可以为定制注销页面提供 URL。 缺省情况下，该 URL 必须指向被请求的主机或其域。 如果未执行此操作，那么将显示通用注销页面，而不是定制注销页面。 如果需要指向其他主机，那么可以在 security.xml 文件中给此属性填充注销页面允许使用的一列 URL，通过管道 (|) 进行分隔。

使用此属性可禁用消息 SECJ0371W的日志记录。

将此定制属性设置为 true 以允许用户将 WebSphere Mail 会话资源用于证书到期监视器。 要使证书到期监视器使用 "邮件" 会话，需要对其进行配置。 有关如何执行配置的信息，请参阅有关配置邮件提供程序和会话的主题。 记下配置的 Mail 会话中使用的 JDNI 名称。 要在管理控制台上为证书到期监视器配置电子邮件通知，请单击安全 > SSL 证书和密钥管理 > 管理证书到期 > 通知 > 您的通知 ，然后选择发送到通知列表的电子邮件。 将您的电子邮件地址添加到 要添加的电子邮件地址 字段。 对于 外发邮件 (SMTP) 服务器 字段，添加邮件会话的 JDNI 名称。

当在管理控制台中选择了访问不受保护的 URI 时使用可用的认证数据时，此属性用于指定 TAI 调用行为。

此属性通过强制从 AuthCache中除去主题时删除 z/OS PlatformCredential 对象，使 z/OS localOS 注册表许可权更改能够快速反映在运行时中。

当此属性设置为 true时，如果出于任何原因从认证高速缓存中逐出主体集，那么将删除平台凭证。 将此属性设置为 true 的缺点是，它可以在大量工作负载中创建多线程问题，在这些工作负载中会快速创建和移除平台凭证。 这些线程冲突可能会导致错误授权错误。 如果发生此类授权错误，那么将发出 SECJ0129E 错误消息。

将此定制属性设置为 true 以允许用户从认证中心重新接收证书。

此属性影响先前对 Web Service 或 Asynch bean 进行异步安全处理时保存的安全上下文进行反序列化的行为。

当此属性设置为 true时，即使自序列化上下文以来 LTPA 密钥已更改，也可以对安全上下文进行反序列化。 如果安全上下文反序列化失败并返回包含以下消息的 WSSecurityException ，那么应将此属性设置为 true :Validation of LTPA token failed due to invalid keys or token type.

此属性有助于提高内存使用率。

当该值设置为 true时，安全代码会保留对与安全性相关的 EJB 数据的引用，但会释放与安全性无关的 EJB 数据。

缺省值为 false。

此属性用于控制别名高速缓存的大小。

缺省值为 5000 ，对于较大的部署，可以增大该值。 除非作业管理器拓扑超过 5000 个已注册节点，否则您不需要添加此属性。

该值必须输入到 1-N 范围内，其中N是大于或等于向作业管理器注册的节点数的有效正整数。

此属性用来在每次生成 WASReqURL Cookie 时设置唯一路径名。

浏览器可以拥有多个 WASReqURL Cookie，只要每个 Cookie 都具有唯一路径名即可。 当此属性设置为 true 时，每次生成 WASReqURL Cookie 时就会设置唯一路径名。 因此，如果您有多个应用程序正在使用 "表单登录" 作为登录方法安装在同一应用程序服务器上。 您应该将此属性指定为该应用程序服务器的其中一个安全设置，并将此属性设置为 true。

指定此定制属性时， WebSphere 将在高速缓存中查找 Kerberos 认证令牌 (KRBAuthnToken) ，即使未启用 Kerberos 认证也是如此。 如果 KRBAuthnToken 存在，那么此属性会将其添加到主体集。

此定制属性的结果因 ltpaToken 超时值和 Kerberos 凭单超时值而异。 此属性更改主题的内容。 设置此属性后，使用 Kerberos 令牌的 loginModule 接口或 TrustAssociation 拦截器的行为可能有所不同。

当此属性设置为 true时，将删除证书而不将其保存到 deleted.p12。 该属性的缺省值为 false。

删除密钥库或信任库证书时， WebSphere Application Server 会将备份保存在名为 deleted.p12的密钥库中，以便稍后可以将其恢复。 如果找不到 deleted.p12 密钥库或它不是有效的密钥库，那么 WebSphere Application Server 不会删除证书。 如果此属性设置为 true，那么 WebSphere Application Server 将删除证书而不将其保存到 deleted.p12。 该属性的缺省值为 false。

当此属性设置为 true时，通过 SPNEGO 认证创建的 LTPA 令牌将包含派生自关联 Kerberos 凭证的定制高速缓存密钥。 此属性的缺省值为 false。

如果服务器接收具有定制高速缓存密钥的 LTPA 令牌，并且认证高速缓存为空，那么服务器将启动新的 SPNEGO 认证以获取新的 Kerberos 凭证。

使用此属性来确保对 SPNEGO Web 认证执行从 Kerberos 主体到 RACF 标识的映射。

如果未将此属性添加到安全性设置，并将其设置为 true，那么不会对 SPNEGO Web 认证执行从 Kerberos 主体到 RACF 标识的映射。

指定是否对本地 Enterprise JavaBeans (EJB) 调用进行凭证到期检查。 一般情况下，当 EJB 调用本地机器中的另一个 EJB 时，将进行直接方法调用，即使在进行本地 EJB 调用之前原始调用程序的凭证已到期时也是如此。

如果此属性设置为 true，那么在本地机器上调用 EJB 之前，将在本地 EJB 调用上执行凭证到期检查。 如果凭证已到期，那么将拒绝该 EJB 调用。

如果此属性设置为 false，那么不会对本地 EJB 调用执行凭证到期检查。

使用此属性来指定启用单点登录时接收服务器等待出站 SOAP 调用从源服务器检索正确认证的时间。

此属性没有缺省值。 如果未指定任何值，那么全局 SOAP 超时值会用作 SOAP 连接的超时值。

使用此属性来指示在创建新的缺省单点登录 (SSO) 令牌时应使用活动用户注册表。

通常，每当入局 SSO 认证令牌的访问标识与授权令牌中的主体名称之间不匹配时，就会创建缺省 SSO 令牌。 造成这种不匹配的原因可能是具有不同的领域。 例如，如果管理域正在使用 LocalOS 注册表，而活动注册表为 LDAP，就会发生不匹配情况。

将此属性设置为 true 会导致使用 LDAP 注册表来创建新的 SSO 令牌。

此属性的缺省值为 false。

当此属性设置为 true时，产品仅查找具有以下定制属性中指定的名称的 cookie。

缺省情况下，服务器会对使用 LtpaToken2 和 LtpaToken 值指定的缺省名称中的 LtpaToken2 和 LtpaToken cookie 进行求值。

此属性指定 CSIv2 会话在被删除之前可以保持空闲状态的时间 (以毫秒计)。 如果 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性设置为 true，并且超过了 CSIv2 会话高速缓存的最大大小，那么将删除该会话。

此定制属性的值范围是 60,000 到 86,400,000 毫秒。 缺省情况下，不设置值。

此定制属性指定是否限制 CSIv2 会话高速缓存的大小。

如果将此定制属性值设置为 true，那么必须对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 和 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性设置值。 如果将此定制属性设置为 false，那么 CSIv2 会话高速缓存不受限。 缺省属性值是 false。

如果您的环境使用 Kerberos 认证并与已配置的密钥分发中心 (KDC) 之间存在小幅时钟偏差，请考虑将此定制属性设置为 true。 在此方案中，小时钟偏差被定义为小于 20 分钟。 小幅时钟偏差会导致拒绝大量的 CSIv2 会话。 但是，通过对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 属性指定较小的值，应用程序服务器可以更频繁地清除这些被拒绝的会话，从而有可能减少资源不足情况。

此属性指定会话高速缓存的最大大小，达到此大小后，将从高速缓存中删除已到期的会话。

已到期的会话是指，空闲时间超出 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性所指定时间的会话。 使用 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性时，请考虑将它的值设置为 100 到 1000 个条目之间。

如果您的环境使用 Kerberos 认证并与已配置的密钥分发中心 (KDC) 之间存在小幅时钟偏差，请考虑对此定制属性指定一个值。 在此方案中，小时钟偏差被定义为小于 20 分钟。 如果高速缓存较小将导致频繁地运行垃圾回收，从而影响应用程序服务器的性能，请考虑增大此定制属性的值。

只有在启用了有状态会话、将 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性设置为 true 并对 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性设置了值的情况下，此定制属性才适用。

此定制属性的值范围是 100 到 1000 个条目。 缺省情况下，不设置值。

此属性设置安全性代码要生成的 WASPostParam Cookie 的大小限制。

如果“访问不受保护的 URI 时使用可用的认证数据”选项处于可用状态并且正在使用基于表单的认证，那么对 HTTP POST 请求进行的认证过程中将生成 WASPOSTParam，即使目标 URL 不受保护也是如此。 WASPOSTParam Cookie 是用于存储 HTTP POST 参数的临时 cookie。 这导致向 Web 客户机发送不必要的 Cookie 和 HTTP 响应。 当 Cookie 的大小大于浏览器限制时，这可能导致意外的行为。 要避免此行为，可以设置 com.ibm.websphere.security.util.postParamMaxCookieSize，以便在达到此属性指定的最大大小时使安全性代码停止生成 cookie。 此属性的值必须是正整数，并表示 cookie 的最大大小（以字节计）。

缺省值是 16384。

此属性指定重定向时 POST 参数的存储位置。

缺省值为 cookie。

此定制属性允许您指定当发生表单注销时，是否从认证高速缓存和动态高速缓存中除去已高速缓存的对象。 表单注销机制允许用户从应用程序中注销时不必关闭所有 Web 浏览器会话。

如果将此属性设置为 False，当发生表单注销时，不会从认证高速缓存和动态高速缓存中除去相应的已高速缓存条目。 因此，如果在表单注销后同一用户再次登录，那么将复用已高速缓存的对象。

如果将此属性设置为 True，当发生表单注销时，将从认证高速缓存和动态高速缓存中除去已高速缓存的条目。

缺省值为 true。

此定制属性指定入站 Web 资源请求的轻量级第三方认证 (LTPA) 令牌的 Cookie 生成行为。

当此属性为 true时，应用程序服务器将为所有成功认证的资源请求生成并设置 LTPAToken cookie ，而不管该请求是针对受保护还是未受保护的 Web 资源。 此行为与 WebSphere Application Server V 6.1 中的行为不同，可能会导致为 V 6.1 开发的某些应用程序无法在更高版本上工作。

将此属性设置为 false 以仅为受保护的 Web 资源生成 LTPAToken cookie。 此行为与 WebSphere Application Server V 6.1兼容。

缺省值为 true。

此属性指定在已经认证了标识后，login() 方法是否将抛出异常。 可以通过将此属性设置为 true 来覆盖此行为。

此定制属性指定 JVM 在 SSL 连接中是首选客户机端密码套件顺序还是服务器端密码套件顺序。

当此定制属性未设置或设置为 false时， JVM 在 SSL 连接中首选客户机端密码套件顺序。 要使 JVM 首选服务器端密码套件顺序，请将此定制属性设置为 true。

此定制属性指定 WebSphere Application Server 是否在缺省密码套件中包含椭圆曲线密码术 (ECC) 密码。

如果未设置此属性或者将其设置为 false，那么缺省情况下应用程序服务器不包括 ECC 密码。 将此属性设置为 true 表示将 ECC 密码包括在缺省密码套件的列表中。 如果启用了 SP800-131a 或 Suite B，那么缺省情况下始终包括 ECC 密码。

此定制属性将启用“从端口进行检索”功能以检索叶证书，而不检索根证书。

“从端口进行检索”应该检索叶证书，而不检索根证书。 要获取叶证书，必须将定制属性 com.ibm.websphere.ssl.retrieveLeafCert 设置为 true。

如果未设置此属性或者此属性设置为 false，从端口检索功能会检索根证书。 如果要使“从端口进行检索”功能检索叶证书而不检索根证书，请将此属性设置为 true。

此属性用于定制服务器以禁用 Java 安全属性。

WebSphere Application Server 设置 Java 安全属性 jdk.tls.disabledAlogrithms 以禁用可用于 TLS 握手的算法。

要告知定制属性不要设置 com.ibm.websphere.tls.disabledAlgorithms，请将值设置为 none。

要将 jdk.tls.disabledAlgoriths 设置为一组特定算法，请将安全性定制属性 com.ibm.websphere.tls.disabledAlgorithms 设置为以逗号分隔的算法列表。

信息	值
缺省值	SSLv3, RC4, DH keySize < 768, MD5withRSA
缺省值	SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024, DESede, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, DES_CBC

此属性指定是否允许非管理安全角色修改 security.xml 文件。 将此属性设置为 true 将使非管理员安全角色能够修改 security.xml 文件。 在 V6.1 及更高版本中，缺省情况下，非管理安全角色能够修改 security.xml 文件。

指定是否检查对象请求代理 (ORB) 的属性。 需要将此属性设置为系统属性。 您应该将此属性设置为 true 或 yes，以便检查 ORB 的属性。 对于任何其他设置，将完全忽略 ORB。

当可插入应用程序客户机连接到 WebSphere Application Server时，将使用此属性。 具体地说，无论何时在新的 InitialContext(env) 调用的散列映射中传递包含安全性属性的散列映射，都将使用此属性。

在此发行版中，当从上下文代理或异步 Bean 中调用时，WSCredential.getCredentialToken() 调用不会提供实际的 LTPA 令牌数据。 对于现有配置，可以添加 com.ibm.ws.security.createTokenSubjectForAsynchLogin 定制属性和 true 值以允许将 LTPA 令牌转发至上下文代理和异步 Bean。 此属性允许 portlet 成功执行 LTPA 令牌转发。 此定制属性区分大小写。 在添加此定制属性之后，必须重新启动应用程序服务器。

此属性是 JAAS 登录配置，用于不属于 WEB_INBOUND、RMI_OUTBOUND 或 RMI_INBOUND 登录配置类别的登录。

没有特定 JAAS 插入点的内部认证和协议调用 com.ibm.ws.security.defaultLoginConfig 配置所引用的系统登录配置。

使用 com.ibm.ws.security.failSSODuringCushion 定制属性来更新 LTPA 令牌的定制 JAAS 主体集数据。

如果未将此定制属性设置为 true，那么新的 JAAS 主体可能不包含定制 JAAS 主体集数据。

缺省值为 true。

尝试将 PKCS11 类型密钥库与 Java 客户机配合使用时，请使用 com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA 定制属性来更正 无效库名 错误。

此外，如果使用 IBMJCECCA 提供程序，请使用此自定义属性，因为分布式和 z/OS 操作系统使用不同的硬件加密提供程序类型。

ssl.client.props 文件指向一个配置文件，这个配置文件又指向密码设备的库名。 Java 客户机的代码将查找正确提供程序名称的密钥库类型。 如果没有此定制属性，那么将错误地指定 PKCS11 的密钥库类型常量，这是因为它引用了 IBMPKCS11Impl 提供程序。 此外，轻量级第三方认证 (LTPA) 代码使用提供程序列表来确定 Java 密码术扩展 (JCE) 提供程序。 此方法将导致尝试使用安全套接字层 (SSL) 加速功能时发生问题，这是因为，在 java.security 文件中，IBMPKCS11Impl 提供程序必须列示在 IBMJCE 提供程序之前。

此定制属性将更正这两个问题，以使 SSL 和其他密码机制可以使用硬件加速功能。

如果要将 PKCS11 类型密钥库与 Java 客户机配合使用，请将此定制属性设置为 true 。

可以使用 com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA 定制属性来强制在软件中进行 RSA 令牌验证。

当此属性设置为 true 时，会使用缺省软件 JCE 提供程序（而不是 IBMJCECCA）来验证安全性。

该产品包含支持 IP 地址范围的备用 SPNEGO 过滤器。

要启用备用 SPNEGO 过滤器，请将客户属性设置为 true。

此属性确定是否在对 Web 请求的响应中发送 LtpaToken2 和 LtpaToken Cookie（可互操作）。

当此属性值为 False 时，应用程序服务器将仅发送较为强壮的新 LtpaToken2 cookie，但该 cookie 无法与某些其他产品以及 V5.1.1 以前的 WebSphere Application Server 发行版进行互操作。 在大多数情况下，不需要旧的 LtpaToken cookie ，您可以将此属性设置为 false。

指定 UserRegistry 接口的方法名，例如 getRealm、getUsers 和 isValidUser，将不会对这些方法进行保护（即，允许对其进行远程访问）。 如果要指定多种方法名，请使用空格、逗号、分号和竖线来分隔名称。 请参阅 UserRegistry 接口文件的实现，以获取有效方法名的完整列表。

如果指定 * 作为此属性的值，那么不会对任何方法进行保护（即，允许对其进行远程访问）。 如果未对此属性指定值，那么将对所有方法进行保护（即，不允许对其进行远程访问）。

如果尝试以远程方式访问受保护的 UserRegistry 接口方法，那么远程进程将接收到 CORBA NO_PERMISSION 异常，并且次代码为 49421098。

此属性没有缺省值。

此属性提供了用于禁用 URL 解码的选项。

启用 SAML Web SSO 并调用 SAML TAI 时，将设置 cookie 以存储原始请求 URL。 认证后，在将原始 URL 作为重定向发送之前会对其进行解码。 此属性值设置为 true 时，会使用重定向的原始 URL 而不对此 URL 进行解码。 要使用管理控制台设置此属性，请单击安全性 > 全局安全性 > 定制属性。 单击新建以添加新的定制属性及其相关联的值。

此属性确定单点登录 LtpaToken2 登录的行为。

将此属性设置为 true 时，如果令牌中包含定制高速缓存密钥并且找不到定制主体集，那么由于需要再次收集定制信息，因此将使用该令牌来直接登录。 还会出现提问，因此用户需要再次登录。 当此属性值设置为 false 并且未找到定制主体集时，将使用 LtpaToken2 来登录并收集所有注册表属性。 但是，此令牌可能未包含下游应用程序所需的特殊属性。

此属性是用于接收入站 Web 请求的 JAAS 登录配置。

通过了解登录配置，您就可以插入能处理特定的 Web 登录情况的定制登录模块。

此属性确定接收到的 LtpaToken2 Cookie 在搜索令牌中指定的原始登录服务器之前是否应该在本地搜索传播的属性。 在接收到传播的属性之后，将重新生成主体集并保留定制属性。

可以将数据复制服务 (DRS) 配置为将传播的属性发送到前端服务器，以使本地动态高速缓存查找操作可以找到传播的属性。 否则，将向原始登录服务器发送 MBean 请求以检索这些属性。

此属性指定用户在 HTTP 会话计时器到期后是否会注销。

此属性指定初始化作为动态高速缓存组成部分的安全性高速缓存 (WSSecureMap)，以用于安全性属性传播。

此属性指定安全性高速缓存 (WSSecureMap) 大小。

此属性用于使服务器能够在调用需要服务器身份的事务方法 (例如 commit () 和 prepare ()) 时将 z/OS 启动式任务的用户身份用作服务器身份。 无论该服务器的服务器标识设置如何，此行为将保持不变。

例如，可以将服务器配置为使用自动生成的服务器标识，此标识并不是存储在用户存储库中的实际标识。 此外，此服务器可能需要与 CICS® 3.2通信，而 CICS 3.2 需要使用系统授权工具 (SAF) 身份。 如果 com.ibm.ws.security.zOS.useSAFidForTransaction 设置为 true，那么服务器将使用 SAF 标识与 CICS 通信，而不是使用自动生成的标识。

此属性影响先前对 Web Service、Java EE 的并行实用程序或异步 Bean 进行异步安全处理时保存的安全上下文进行反序列化的行为。

当此属性设置为 true时，将访问用户注册表以获取与用户关联的组。 如果用户仍存在于注册表中，那么将使用用户注册表中的组而不是在安全上下文中已序列化的组。 如果在用户注册表中找不到该用户，并且 verifyUser 属性设置为 false，那么将使用安全上下文中的组。

此属性影响先前对 Web Service 或 Asynch bean 进行异步安全处理时保存的安全上下文进行反序列化的行为。

当此属性设置为 true时，将访问用户注册表以验证安全上下文中的用户是否仍然存在。 如果它不存在，那么将抛出 WSLoginFailedException。

此属性指定可用来验证 LTPA 令牌的轻量级第三方认证 (LTPA) 令牌工厂。

由于 LTPA 令牌没有用于指定令牌类型的对象标识 (OID)，所以将按照指定令牌工厂的顺序来执行验证。 Application Server 将使用每个令牌工厂来验证令牌，直到验证成功为止。 对此属性指定的顺序最有可能是接收令牌的顺序。 要指定多个令牌工厂，请用竖线 (|) 进行分隔，竖线前后不能有空格。

此属性指定用于属性传播框架中的认证令牌的实现。 此属性提供旧的 LTPA 令牌实现来用作认证令牌。

此属性指定用于授权令牌的实现。 此令牌工厂对授权信息进行编码。

此属性指定用于传播令牌的实现。 此令牌工厂对传播令牌信息进行编码。

传播令牌在执行线程中，不与任何特定用户主体集相关。 此令牌将顺着调用下游流移动到进程所到达的位置。

此属性指定用于单点登录 (SSO) 令牌的实现。 此实现是当传播处于启用状态时设置的 cookie，与 com.ibm.ws.security.ssoInteropModeEnabled 属性的状态无关。

缺省情况下，此实现是 LtpaToken2 cookie。

使用此属性来指定在某个请求的 Kerberos 令牌到期后，您希望系统如何处理对该请求的认证。

当此属性设置为 true时，如果 Kerberos 令牌到期后无法刷新，那么请求的认证将失败。

当此属性设置为 false时，即使令牌已到期，请求的认证也不会失败。

此属性的缺省值为 false。

使用此定制属性来允许使用定制 HTTP 方法。 定制 HTTP 方法不包括下列标准 HTTP 方法：DELETE、GET、HEAD、OPTIONS、POST、PUT 或 TRACE。

当此属性设置为 false（这是缺省值）时，如果 security-constraint 元素中未列示 URI 模式与定制 HTTP 方法的组合，那么将仅使用 URI 模式来搜索安全性约束。 如果存在匹配项，那么将强制使用 <auth-constraints> 元素的值。 此行为将使潜在的安全漏洞最小化。

当此属性设置为 true 时，定制 HTTP 方法将被视为标准 HTTP 方法。 将由 URI 模式和 HTTP 方法作出授权决策。 要正确保护目标 URI，请确保 <web-resource-collection> 元素中列示了正确的 HTTP 方法。

此属性不再使用。 取而代之的是，使用 WEB_INBOUND 登录配置。

将此属性设置为 true 以允许产品解析包含加号字符 (+) 的复合 RDN 值。

当该属性设置为 "true时，NullDynamicPolicy.getPermissions方法提供了一个选项，用于委托默认策略类构建权限对象。 当此属性设置为 false时，将返回空的许可权对象。

此属性用于确保在使用 SSL 客户机认证的 SSL 握手期间充当客户机时，目标服务器提供的所有 SSL 密钥类型都用于选择客户机证书。

在 SSL 客户机认证中， WebSphere Application Server 产品不会选取目标服务器发送的证书请求中提供的所有 SSL 密钥类型。 产品仅选取最理想的 SSL 密钥类型。 如果 SSL 密钥类型与最可取的 SSL 密钥类型不匹配，那么即使密钥库中存在正确的 SSL 客户机证书，产品也不会发送客户机证书。

从 开始，该属性的默认值为。 9.0.5.9 true 在 9.0.5.9之前，缺省值为 false。 当此属性设置为 true时，将使用目标服务器提供的所有 SSL 密钥类型来选择客户机证书。 当此属性设置为 false时，并非所有 SSL 密钥类型都用于选择客户机证书。

此安全性属性用于插入定制 UserMapping 类。 如果使用定制用户映射类名在顶级安全性上设置此值，那么此值用于定制证书用户映射和/或身份断言用户映射。 将包含定制类的 JAR 文件放在 WAS_HOME/lib/ext中。