Table Of ContentIBM Security Web Gateway Appliance
Version 7.0
Web Reverse Proxy Stanza Reference
(cid:1)(cid:2)(cid:3)
SC27-4443-00
IBM Security Web Gateway Appliance
Version 7.0
Web Reverse Proxy Stanza Reference
(cid:1)(cid:2)(cid:3)
SC27-4443-00
Note
Beforeusingthisinformationandtheproductitsupports,readtheinformationin“Notices”onpage325.
Editionnotice
Note: Thiseditionappliestoversion7,release0,modification0ofIBMSecurityAccessManager(product
number5724-C87)andtoallsubsequentreleasesandmodificationsuntilotherwiseindicatedinneweditions.
©CopyrightIBMCorporation2002,2012.
USGovernmentUsersRestrictedRights–Use,duplicationordisclosurerestrictedbyGSAADPScheduleContract
withIBMCorp.
Contents
About this publication . . . . . . . . ix dynamic-adi-entitlement-services . . . . . . 26
Intendedaudience . . . . . . . . . . . . ix input-adi-xml-prolog . . . . . . . . . . 26
Accesstopublicationsandterminology . . . . . ix listen-flags. . . . . . . . . . . . . . 27
Relatedpublications . . . . . . . . . . xii logaudit . . . . . . . . . . . . . . 27
Accessibility. . . . . . . . . . . . . . xiv logclientid. . . . . . . . . . . . . . 28
Technicaltraining . . . . . . . . . . . . xiv logcfg . . . . . . . . . . . . . . . 28
Supportinformation . . . . . . . . . . . xiv logflush . . . . . . . . . . . . . . 29
logsize . . . . . . . . . . . . . . . 30
Stanza reference . . . . . . . . . . . 1 permission-info-returned . . . . . . . . . 30
policy-attr-separator . . . . . . . . . . 31
[acnt-mgt]stanza. . . . . . . . . . . . . 1
policy-cache-size. . . . . . . . . . . . 31
account-expiry-notification. . . . . . . . . 1
resource-manager-provided-adi. . . . . . . 32
account-inactivated . . . . . . . . . . . 1
xsl-stylesheet-prolog . . . . . . . . . . 33
account-locked. . . . . . . . . . . . . 2
[azn-decision-info]stanza. . . . . . . . . . 33
allow-unauthenticated-logout. . . . . . . . 3
azn-decision-info . . . . . . . . . . . . 33
allowed-referers . . . . . . . . . . . . 3
[ba]stanza. . . . . . . . . . . . . . . 34
cert-failure . . . . . . . . . . . . . . 4
ba-auth. . . . . . . . . . . . . . . 34
cert-stepup-http . . . . . . . . . . . . 5
basic-auth-realm. . . . . . . . . . . . 35
certificate-login . . . . . . . . . . . . 5
[cdsso]stanza . . . . . . . . . . . . . 35
change-password-auth . . . . . . . . . . 6
authtoken-lifetime . . . . . . . . . . . 35
client-notify-tod . . . . . . . . . . . . 6
cdsso-argument . . . . . . . . . . . . 36
enable-html-redirect . . . . . . . . . . . 7
cdsso-auth. . . . . . . . . . . . . . 36
enable-local-response-redirect. . . . . . . . 7
cdsso-create . . . . . . . . . . . . . 37
enable-passwd-warn. . . . . . . . . . . 8
clean-cdsso-urls . . . . . . . . . . . . 37
enable-secret-token-validation. . . . . . . . 9
propagate-cdmf-errors. . . . . . . . . . 38
help. . . . . . . . . . . . . . . . 10
use-utf8 . . . . . . . . . . . . . . 38
http-rsp-header . . . . . . . . . . . . 10
[cdsso-incoming-attributes]stanza. . . . . . . 39
html-redirect . . . . . . . . . . . . . 11
attribute_pattern . . . . . . . . . . . . 39
login. . . . . . . . . . . . . . . . 11
[cdsso-peers]stanza . . . . . . . . . . . 40
login-redirect-page . . . . . . . . . . . 12
fully_qualified_hostname. . . . . . . . . . 40
login-success . . . . . . . . . . . . . 13
[cdsso-token-attributes]stanza . . . . . . . . 40
logout . . . . . . . . . . . . . . . 13
<default> . . . . . . . . . . . . . . 40
passwd-change . . . . . . . . . . . . 14
domain_name . . . . . . . . . . . . . 41
passwd-change-failure. . . . . . . . . . 14
[certificate]stanza . . . . . . . . . . . . 42
passwd-change-success . . . . . . . . . 15
accept-client-certs . . . . . . . . . . . 42
passwd-expired . . . . . . . . . . . . 15
cert-cache-max-entries. . . . . . . . . . 42
passwd-warn. . . . . . . . . . . . . 16
cert-cache-timeout . . . . . . . . . . . 43
passwd-warn-failure . . . . . . . . . . 16
cert-prompt-max-tries . . . . . . . . . . 43
redirect-to-root-for-pkms . . . . . . . . . 17
disable-cert-login-page. . . . . . . . . . 44
single-signoff-uri . . . . . . . . . . . 17
eai-data. . . . . . . . . . . . . . . 45
stepup-login . . . . . . . . . . . . . 18
eai-uri . . . . . . . . . . . . . . . 46
switch-user . . . . . . . . . . . . . 19
[cert-map-authn]stanza . . . . . . . . . . 47
temp-cache-response . . . . . . . . . . 19
debug-level . . . . . . . . . . . . . 47
too-many-sessions . . . . . . . . . . . 20
rules-file . . . . . . . . . . . . . . 47
use-restrictive-logout-filenames. . . . . . . 20
[cfg-db-cmd:entries]stanza . . . . . . . . . 48
use-filename-for-pkmslogout . . . . . . . 21
stanza::entry . . . . . . . . . . . . . 48
[auth-cookies]stanza . . . . . . . . . . . 21
[cfg-db-cmd:files]stanza . . . . . . . . . . 49
cookie . . . . . . . . . . . . . . . 21
files . . . . . . . . . . . . . . . . 49
[authentication-levels]stanza . . . . . . . . 22
[cluster]stanza . . . . . . . . . . . . . 49
level. . . . . . . . . . . . . . . . 22
is-master . . . . . . . . . . . . . . 50
[aznapi-configuration]stanza . . . . . . . . 23
master-name . . . . . . . . . . . . . 50
audit-attribute . . . . . . . . . . . . 23
max-wait-time . . . . . . . . . . . . 51
auditcfg . . . . . . . . . . . . . . 23
[compress-mime-types]stanza . . . . . . . . 51
auditlog . . . . . . . . . . . . . . 24
mime_type . . . . . . . . . . . . . . 51
cache-refresh-interval . . . . . . . . . . 25
[compress-user-agents]stanza . . . . . . . . 52
cred-attribute-entitlement-services . . . . . . 25
pattern . . . . . . . . . . . . . . . 52
©CopyrightIBMCorp.2002,2012 iii
[content]stanza . . . . . . . . . . . . . 53 is-master-authn-server. . . . . . . . . . 80
utf8-template-macros-enabled . . . . . . . 53 master-authn-server . . . . . . . . . . 80
[content-cache]stanza . . . . . . . . . . . 53 master-http-port. . . . . . . . . . . . 81
MIME_type . . . . . . . . . . . . . 53 master-https-port . . . . . . . . . . . 82
[content-encodings]stanza . . . . . . . . . 54 propagate-cdmf-errors. . . . . . . . . . 82
extension . . . . . . . . . . . . . . 54 use-utf8 . . . . . . . . . . . . . . 83
[content-index-icons]stanza . . . . . . . . . 55 vf-argument . . . . . . . . . . . . . 83
type . . . . . . . . . . . . . . . . 55 vf-token-lifetime. . . . . . . . . . . . 84
[credential-policy-attributes]stanza . . . . . . 56 vf-url . . . . . . . . . . . . . . . 84
policy-name. . . . . . . . . . . . . . 56 [ecsso-incoming-attributes]stanza . . . . . . . 85
[credential-refresh-attributes]stanza . . . . . . 57 attribute_pattern . . . . . . . . . . . . 85
attribute_name_pattern . . . . . . . . . . 57 [ecsso-token-attributes]stanza . . . . . . . . 86
authentication_level . . . . . . . . . . 57 <default> . . . . . . . . . . . . . . 86
[dsess]stanza. . . . . . . . . . . . . . 58 domain_name . . . . . . . . . . . . . 86
dsess-sess-id-pool-size. . . . . . . . . . 58 [enable-redirects]stanza . . . . . . . . . . 87
dsess-cluster-name . . . . . . . . . . . 58 redirect. . . . . . . . . . . . . . . 87
[dsess-cluster]stanza . . . . . . . . . . . 59 [failover]stanza . . . . . . . . . . . . . 87
basic-auth-user . . . . . . . . . . . . 59 clean-ecsso-urls-for-failover . . . . . . . . 87
basic-auth-passwd . . . . . . . . . . . 59 enable-failover-cookie-for-domain . . . . . . 88
gsk-attr-name. . . . . . . . . . . . . 60 failover-auth . . . . . . . . . . . . . 89
handle-idle-timeout. . . . . . . . . . . 61 failover-cookie-lifetime . . . . . . . . . 89
handle-pool-size. . . . . . . . . . . . 61 failover-cookies-keyfile . . . . . . . . . 90
response-by . . . . . . . . . . . . . 62 failover-include-session-id . . . . . . . . 90
server . . . . . . . . . . . . . . . 62 failover-require-activity-timestamp-validation . . 91
ssl-fips-enabled . . . . . . . . . . . . 63 failover-require-lifetime-timestamp-validation . . 91
ssl-keyfile . . . . . . . . . . . . . . 64 failover-update-cookie. . . . . . . . . . 92
ssl-keyfile-label . . . . . . . . . . . . 64 reissue-missing-failover-cookie . . . . . . . 92
ssl-keyfile-stash . . . . . . . . . . . . 65 use-utf8 . . . . . . . . . . . . . . 93
ssl-valid-server-dn . . . . . . . . . . . 65 [failover-add-attributes]stanza . . . . . . . . 93
timeout. . . . . . . . . . . . . . . 66 attribute_pattern . . . . . . . . . . . . 93
[eai]stanza . . . . . . . . . . . . . . 66 session-activity-timestamp . . . . . . . . 94
eai-auth . . . . . . . . . . . . . . 66 session-lifetime-timestamp . . . . . . . . 94
eai-auth-level-header . . . . . . . . . . 67 [failover-restore-attributes]stanza . . . . . . . 95
eai-flags-header . . . . . . . . . . . . 67 attribute_pattern . . . . . . . . . . . . 95
eai-pac-header . . . . . . . . . . . . 68 attribute_pattern . . . . . . . . . . . . 96
eai-pac-svc-header . . . . . . . . . . . 68 [filter-content-types]stanza . . . . . . . . . 96
eai-redir-url-header. . . . . . . . . . . 69 type. . . . . . . . . . . . . . . . 96
eai-session-id-header . . . . . . . . . . 69 [filter-events]stanza . . . . . . . . . . . 97
eai-user-id-header . . . . . . . . . . . 70 HTML_tag. . . . . . . . . . . . . . 97
eai-verify-user-identity. . . . . . . . . . 70 [filter-request-headers]stanza . . . . . . . . 99
eai-xattrs-header. . . . . . . . . . . . 71 header . . . . . . . . . . . . . . . 99
retain-eai-session . . . . . . . . . . . 72 [filter-schemes]stanza . . . . . . . . . . 100
[eai-trigger-urls]stanza . . . . . . . . . . 72 scheme . . . . . . . . . . . . . . 100
trigger . . . . . . . . . . . . . . . 72 [filter-url]stanza . . . . . . . . . . . . 101
trigger . . . . . . . . . . . . . . . 73 HTML_tag . . . . . . . . . . . . . 101
[e-community-domains]stanza. . . . . . . . 74 [flow-data]stanza. . . . . . . . . . . . 102
name . . . . . . . . . . . . . . . 74 flow-data-enabled. . . . . . . . . . . 102
[e-community-domain-keys]stanza . . . . . . 74 flow-data-stats-interval . . . . . . . . . 103
domain_name . . . . . . . . . . . . . 74 [forms]stanza . . . . . . . . . . . . . 103
[e-community-domain-keys:domain]stanza . . . . 75 allow-empty-form-fields. . . . . . . . . 103
domain_name . . . . . . . . . . . . . 75 forms-auth . . . . . . . . . . . . . 104
[e-community-sso]stanza. . . . . . . . . . 75 [gso-cache]stanza. . . . . . . . . . . . 105
cache-requests-for-ecsso . . . . . . . . . 75 gso-cache-enabled. . . . . . . . . . . 105
e-community-name. . . . . . . . . . . 76 gso-cache-entry-idle-timeout . . . . . . . 105
disable-ec-cookie . . . . . . . . . . . 76 gso-cache-entry-lifetime . . . . . . . . . 106
e-community-sso-auth. . . . . . . . . . 77 gso-cache-size . . . . . . . . . . . . 106
ec-cookie-domain . . . . . . . . . . . 77 [header-names]stanza . . . . . . . . . . 107
ec-cookie-lifetime . . . . . . . . . . . 78 server-name. . . . . . . . . . . . . 107
ecsso-allow-unauth. . . . . . . . . . . 78 [http-transformations]stanza . . . . . . . . 107
ecsso-propagate-errors. . . . . . . . . . 79 resource-name . . . . . . . . . . . . 107
handle-auth-failure-at-mas . . . . . . . . 79 [ICAP:<resource>]stanza . . . . . . . . . 109
iv IBMSecurityWebGatewayApplianceVersion7.0: WebReverseProxyStanzaReference
URL . . . . . . . . . . . . . . . 109 ping-time. . . . . . . . . . . . . . 144
transaction . . . . . . . . . . . . . 109 ping-uri . . . . . . . . . . . . . . 144
timeout . . . . . . . . . . . . . . 110 recovery-ping-time . . . . . . . . . . 145
[illegal-url-substrings]stanza . . . . . . . . 110 reprocess-root-jct-404s . . . . . . . . . 146
substring. . . . . . . . . . . . . . 110 reset-cookies-list . . . . . . . . . . . 146
[interfaces]stanza . . . . . . . . . . . . 111 response-code-rules . . . . . . . . . . 147
interface_name . . . . . . . . . . . . 111 share-cookies . . . . . . . . . . . . 148
[itim]stanza. . . . . . . . . . . . . . 112 support-virtual-host-domain-cookies. . . . . 148
is-enabled . . . . . . . . . . . . . 112 use-new-stateful-on-error . . . . . . . . 149
itim-server-name . . . . . . . . . . . 112 validate-backend-domain-cookies. . . . . . 150
itim-servlet-context . . . . . . . . . . 113 worker-thread-hard-limit . . . . . . . . 150
keydatabase-file . . . . . . . . . . . 114 worker-thread-soft-limit. . . . . . . . . 151
keydatabase-password . . . . . . . . . 114 disable-local-junctions . . . . . . . . . 151
keydatabase-password-file . . . . . . . . 115 [junction:junction_name]stanza . . . . . . . 152
principal-name . . . . . . . . . . . . 116 [ldap]stanza . . . . . . . . . . . . . 152
principal-password . . . . . . . . . . 116 auth-timeout . . . . . . . . . . . . 152
service-password-dn . . . . . . . . . . 117 auth-using-compare . . . . . . . . . . 153
service-source-dn . . . . . . . . . . . 118 bind-dn . . . . . . . . . . . . . . 153
service-token-card-dn. . . . . . . . . . 119 bind-pwd. . . . . . . . . . . . . . 154
servlet-port . . . . . . . . . . . . . 120 cache-enabled . . . . . . . . . . . . 154
[jdb-cmd:replace]stanza. . . . . . . . . . 120 cache-group-expire-time. . . . . . . . . 155
jct-id=search-attr-value|replace-attr-value . . . . 120 cache-group-membership . . . . . . . . 155
[junction]stanza . . . . . . . . . . . . 121 cache-group-size . . . . . . . . . . . 156
allow-backend-domain-cookies . . . . . . 121 cache-policy-expire-time. . . . . . . . . 156
basicauth-dummy-passwd . . . . . . . . 122 cache-policy-size . . . . . . . . . . . 157
crl-ldap-server . . . . . . . . . . . . 122 cache-return-registry-id . . . . . . . . . 157
crl-ldap-server-port . . . . . . . . . . 123 cache-user-expire-time . . . . . . . . . 158
crl-ldap-user. . . . . . . . . . . . . 123 cache-user-size . . . . . . . . . . . . 158
crl-ldap-user-password . . . . . . . . . 124 cache-use-user-cache . . . . . . . . . . 159
disable-ssl-v2 . . . . . . . . . . . . 124 default-policy-override-support . . . . . . 159
disable-ssl-v3 . . . . . . . . . . . . 125 enabled . . . . . . . . . . . . . . 160
disable-tls-v1 . . . . . . . . . . . . 125 host . . . . . . . . . . . . . . . 161
disable-tls-v11 . . . . . . . . . . . . 126 login-failures-persistent . . . . . . . . . 161
disable-tls-v12 . . . . . . . . . . . . 126 max-search-size. . . . . . . . . . . . 162
dont-reprocess-jct-404s . . . . . . . . . 127 prefer-readwrite-server . . . . . . . . . 162
dynamic-addresses . . . . . . . . . . 128 port . . . . . . . . . . . . . . . 163
http-timeout. . . . . . . . . . . . . 129 replica. . . . . . . . . . . . . . . 163
https-timeout . . . . . . . . . . . . 129 search-timeout . . . . . . . . . . . . 164
insert-client-real-ip-for-option-r . . . . . . 130 ssl-enabled . . . . . . . . . . . . . 165
io-buffer-size . . . . . . . . . . . . 130 ssl-keyfile . . . . . . . . . . . . . 165
jct-cert-keyfile . . . . . . . . . . . . 131 ssl-keyfile-dn . . . . . . . . . . . . 166
jct-cert-keyfile-stash . . . . . . . . . . 132 ssl-keyfile-pwd. . . . . . . . . . . . 167
jct-cert-keyfile-pwd . . . . . . . . . . 133 ssl-port . . . . . . . . . . . . . . 167
jct-ocsp-enable . . . . . . . . . . . . 133 timeout . . . . . . . . . . . . . . 168
jct-ocsp-max-response-size . . . . . . . . 134 user-and-group-in-same-suffix. . . . . . . 168
jct-ocsp-nonce-check-enable. . . . . . . . 134 [local-response-macros]stanza. . . . . . . . 169
jct-ocsp-nonce-generation-enable . . . . . . 135 macro. . . . . . . . . . . . . . . 169
jct-ocsp-proxy-server-name. . . . . . . . 135 [local-response-redirect]stanza . . . . . . . 170
jct-ocsp-proxy-server-port . . . . . . . . 136 local-response-redirect-uri . . . . . . . . 170
jct-ocsp-url . . . . . . . . . . . . . 136 [logging]stanza . . . . . . . . . . . . 171
jct-ssl-reneg-warning-rate . . . . . . . . 137 absolute-uri-in-request-log . . . . . . . . 171
jct-undetermined-revocation-cert-action. . . . 137 agents. . . . . . . . . . . . . . . 171
jmt-map . . . . . . . . . . . . . . 138 audit-mime-types . . . . . . . . . . . 172
managed-cookies-list . . . . . . . . . . 139 audit-response-codes . . . . . . . . . . 172
mangle-domain-cookies . . . . . . . . . 139 flush-time . . . . . . . . . . . . . 173
match-vhj-first . . . . . . . . . . . . 140 gmt-time . . . . . . . . . . . . . . 173
max-cached-persistent-connections . . . . . 140 host-header-in-request-log . . . . . . . . 174
max-webseal-header-size . . . . . . . . 141 log-invalid-requests . . . . . . . . . . 174
pass-http-only-cookie-atr . . . . . . . . 142 max-size . . . . . . . . . . . . . . 175
persistent-con-timeout . . . . . . . . . 142 referers . . . . . . . . . . . . . . 175
ping-method . . . . . . . . . . . . 143 requests . . . . . . . . . . . . . . 176
Contents v
request-log-format. . . . . . . . . . . 176 reauth-for-inactive. . . . . . . . . . . 211
server-log-cfg . . . . . . . . . . . . 178 reauth-reset-lifetime . . . . . . . . . . 211
[ltpa]stanza. . . . . . . . . . . . . . 179 terminate-on-reauth-lockout . . . . . . . 212
ltpa-auth . . . . . . . . . . . . . . 179 [replica-sets]stanza . . . . . . . . . . . 213
cookie-name. . . . . . . . . . . . . 180 replica-set . . . . . . . . . . . . . 213
cookie-domain . . . . . . . . . . . . 180 [rtss-eas]stanza . . . . . . . . . . . . 213
jct-ltpa-cookie-name . . . . . . . . . . 181 apply-tam-native-policy . . . . . . . . . 213
keyfile. . . . . . . . . . . . . . . 182 audit-log-cfg. . . . . . . . . . . . . 214
update-cookie . . . . . . . . . . . . 182 cluster-name. . . . . . . . . . . . . 215
use-full-dn . . . . . . . . . . . . . 183 context-id . . . . . . . . . . . . . 216
[ltpa-cache]stanza. . . . . . . . . . . . 183 trace-component . . . . . . . . . . . 216
ltpa-cache-enabled. . . . . . . . . . . 183 [rtss-cluster:<cluster>]stanza . . . . . . . . 217
ltpa-cache-entry-idle-timeout . . . . . . . 184 basic-auth-user. . . . . . . . . . . . 217
ltpa-cache-entry-lifetime. . . . . . . . . 184 basic-auth-passwd. . . . . . . . . . . 217
ltpa-cache-size . . . . . . . . . . . . 185 handle-idle-timeout . . . . . . . . . . 218
[mpa]stanza . . . . . . . . . . . . . 185 handle-pool-size . . . . . . . . . . . 218
mpa . . . . . . . . . . . . . . . 185 server . . . . . . . . . . . . . . . 219
[oauth-eas]stanza. . . . . . . . . . . . 186 ssl-fips-enabled. . . . . . . . . . . . 220
apply-tam-native-policy . . . . . . . . . 186 ssl-keyfile . . . . . . . . . . . . . 220
bad-gateway-rsp-file . . . . . . . . . . 187 ssl-keyfile-label. . . . . . . . . . . . 221
bad-request-rsp-file . . . . . . . . . . 187 ssl-keyfile-stash. . . . . . . . . . . . 222
cache-size . . . . . . . . . . . . . 188 ssl-valid-server-dn. . . . . . . . . . . 222
cluster-name. . . . . . . . . . . . . 188 timeout . . . . . . . . . . . . . . 223
default-fed-id . . . . . . . . . . . . 189 [script-filtering]stanza . . . . . . . . . . 223
default-mode . . . . . . . . . . . . 189 hostname-junction-cookie . . . . . . . . 223
fed-id-param . . . . . . . . . . . . 190 rewrite-absolute-with-absolute. . . . . . . 224
mode-param. . . . . . . . . . . . . 191 script-filter . . . . . . . . . . . . . 224
realm-name . . . . . . . . . . . . . 191 [server]stanza . . . . . . . . . . . . . 225
trace-component . . . . . . . . . . . 192 allow-shift-jis-chars . . . . . . . . . . 225
unauthorized-rsp-file. . . . . . . . . . 192 allow-unauth-ba-supply. . . . . . . . . 225
[obligations-levels-mapping]stanza . . . . . . 193 allow-unsolicited-logins . . . . . . . . . 226
obligation . . . . . . . . . . . . . . 193 auth-challenge-type . . . . . . . . . . 227
[p3p-header]stanza . . . . . . . . . . . 194 cache-host-header . . . . . . . . . . . 228
access . . . . . . . . . . . . . . . 194 capitalize-content-length. . . . . . . . . 229
categories . . . . . . . . . . . . . 195 client-connect-timeout . . . . . . . . . 229
disputes . . . . . . . . . . . . . . 196 chunk-responses . . . . . . . . . . . 230
non-identifiable. . . . . . . . . . . . 197 concurrent-session-threads-hard-limit . . . . 230
p3p-element. . . . . . . . . . . . . 197 concurrent-session-threads-soft-limit. . . . . 231
purpose . . . . . . . . . . . . . . 198 connection-request-limit. . . . . . . . . 231
recipient . . . . . . . . . . . . . . 199 cope-with-pipelined-request . . . . . . . 232
remedies . . . . . . . . . . . . . . 200 decode-query . . . . . . . . . . . . 232
retention . . . . . . . . . . . . . . 201 disable-timeout-reduction . . . . . . . . 233
[PAM]stanza . . . . . . . . . . . . . 202 double-byte-encoding. . . . . . . . . . 233
pam-enabled . . . . . . . . . . . . 202 dynurl-allow-large-posts. . . . . . . . . 234
pam-max-memory. . . . . . . . . . . 202 dynurl-map . . . . . . . . . . . . . 235
pam-use-proxy-header . . . . . . . . . 203 enable-IE6-2GB-downloads. . . . . . . . 235
pam-http-parameter . . . . . . . . . . 203 filter-nonhtml-as-xhtml . . . . . . . . . 236
pam-coalescer-parameter . . . . . . . . 204 force-tag-value-prefix. . . . . . . . . . 236
pam-log-cfg . . . . . . . . . . . . . 205 http . . . . . . . . . . . . . . . 237
pam-log-audit-events. . . . . . . . . . 206 http-method-disabled-local. . . . . . . . 237
pam-disabled-issues . . . . . . . . . . 206 http-method-disabled-remote . . . . . . . 238
pam-resource-rule. . . . . . . . . . . 207 http-port . . . . . . . . . . . . . . 238
[pam-resource:<URI>]stanza . . . . . . . . 208 https . . . . . . . . . . . . . . . 239
pam-issue . . . . . . . . . . . . . . 208 https-port . . . . . . . . . . . . . 239
[preserve-cookie-names]stanza . . . . . . . 209 ignore-missing-last-chunk . . . . . . . . 240
name . . . . . . . . . . . . . . . 209 intra-connection-timeout. . . . . . . . . 240
[process-root-filter]stanza . . . . . . . . . 209 io-buffer-size . . . . . . . . . . . . 241
root . . . . . . . . . . . . . . . 209 ip-support-level . . . . . . . . . . . 242
[reauthentication]stanza. . . . . . . . . . 210 ipv6-support . . . . . . . . . . . . 243
reauth-at-any-level . . . . . . . . . . 210 late-lockout-notification . . . . . . . . . 243
reauth-extend-lifetime . . . . . . . . . 210 max-client-read. . . . . . . . . . . . 244
vi IBMSecurityWebGatewayApplianceVersion7.0: WebReverseProxyStanzaReference
max-file-cat-command-length . . . . . . . 244 [session-http-headers]stanza . . . . . . . . 277
max-file-descriptors . . . . . . . . . . 245 header_name . . . . . . . . . . . . . 277
max-idle-persistent-connections . . . . . . 246 [ssl]stanza . . . . . . . . . . . . . . 278
network-interface . . . . . . . . . . . 246 base-crypto-library . . . . . . . . . . 278
persistent-con-timeout . . . . . . . . . 247 crl-ldap-server . . . . . . . . . . . . 278
pre-410-compatible-tokens . . . . . . . . 247 crl-ldap-server-port . . . . . . . . . . 279
pre-510-compatible-token . . . . . . . . 248 crl-ldap-user. . . . . . . . . . . . . 280
preserve-base-href. . . . . . . . . . . 248 crl-ldap-user-password . . . . . . . . . 280
preserve-base-href2 . . . . . . . . . . 249 disable-ssl-v2 . . . . . . . . . . . . 281
preserve-p3p-policy . . . . . . . . . . 249 disable-ssl-v3 . . . . . . . . . . . . 281
process-root-requests. . . . . . . . . . 250 disable-tls-v1 . . . . . . . . . . . . 282
redirect-using-relative . . . . . . . . . 250 disable-tls-v11 . . . . . . . . . . . . 282
reject-invalid-host-header . . . . . . . . 251 disable-tls-v12 . . . . . . . . . . . . 283
reject-request-transfer-encodings . . . . . . 252 enable-duplicate-ssl-dn-not-found-msgs . . . 283
request-body-max-read . . . . . . . . . 252 fips-mode-processing. . . . . . . . . . 284
request-max-cache. . . . . . . . . . . 253 gsk-attr-name . . . . . . . . . . . . 284
send-header-ba-first . . . . . . . . . . 253 gsk-crl-cache-entry-lifetime. . . . . . . . 286
send-header-spnego-first. . . . . . . . . 254 gsk-crl-cache-size . . . . . . . . . . . 286
server-name. . . . . . . . . . . . . 255 jct-gsk-attr-name . . . . . . . . . . . 287
slash-before-query-on-redirect. . . . . . . 255 ocsp-enable . . . . . . . . . . . . . 288
strip-www-authenticate-headers . . . . . . 256 ocsp-max-response-size . . . . . . . . . 289
suppress-backend-server-identity. . . . . . 256 ocsp-nonce-check-enable. . . . . . . . . 289
suppress-dynurl-parsing-of-posts. . . . . . 257 ocsp-nonce-generation-enable . . . . . . . 290
suppress-server-identity. . . . . . . . . 258 ocsp-proxy-server-name. . . . . . . . . 290
tag-value-missing-attr-tag . . . . . . . . 258 ocsp-proxy-server-port . . . . . . . . . 291
use-existing-username-macro-in-custom-redirects 259 ocsp-url . . . . . . . . . . . . . . 291
use-http-only-cookies. . . . . . . . . . 259 ssl-keyfile . . . . . . . . . . . . . 292
utf8-form-support-enabled . . . . . . . . 260 ssl-keyfile-label. . . . . . . . . . . . 292
utf8-qstring-support-enabled . . . . . . . 260 ssl-keyfile-pwd. . . . . . . . . . . . 293
utf8-url-support-enabled. . . . . . . . . 261 ssl-keyfile-stash. . . . . . . . . . . . 293
validate-query-as-ga . . . . . . . . . . 261 ssl-local-domain . . . . . . . . . . . 294
web-host-name. . . . . . . . . . . . 262 ssl-max-entries . . . . . . . . . . . . 294
web-http-port . . . . . . . . . . . . 263 ssl-v2-timeout . . . . . . . . . . . . 295
web-http-protocol . . . . . . . . . . . 263 ssl-v3-timeout . . . . . . . . . . . . 296
worker-threads. . . . . . . . . . . . 264 suppress-client-ssl-errors . . . . . . . . 296
[session]stanza. . . . . . . . . . . . . 264 undetermined-revocation-cert-action. . . . . 297
dsess-enabled . . . . . . . . . . . . 264 webseal-cert-keyfile . . . . . . . . . . 297
dsess-last-access-update-interval . . . . . . 265 webseal-cert-keyfile-label . . . . . . . . 298
enforce-max-sessions-policy . . . . . . . 265 webseal-cert-keyfile-pwd . . . . . . . . 298
inactive-timeout . . . . . . . . . . . 266 webseal-cert-keyfile-stash . . . . . . . . 299
logout-remove-cookie. . . . . . . . . . 266 [ssl-qop]stanza. . . . . . . . . . . . . 299
max-entries . . . . . . . . . . . . . 267 ssl-qop-mgmt . . . . . . . . . . . . 299
prompt-for-displacement . . . . . . . . 268 [ssl-qop-mgmt-default]stanza. . . . . . . . 300
register-authentication-failures. . . . . . . 268 default . . . . . . . . . . . . . . 300
require-mpa. . . . . . . . . . . . . 269 [ssl-qop-mgmt-hosts]stanza . . . . . . . . 301
resend-webseal-cookies . . . . . . . . . 269 host-ip. . . . . . . . . . . . . . . 301
send-constant-sess. . . . . . . . . . . 270 [ssl-qop-mgmt-networks]stanza . . . . . . . 302
shared-domain-cookie . . . . . . . . . 270 network/netmask. . . . . . . . . . . . 302
ssl-id-sessions . . . . . . . . . . . . 271 [step-up]stanza . . . . . . . . . . . . 303
ssl-session-cookie-name . . . . . . . . . 271 retain-stepup-session. . . . . . . . . . 303
standard-junction-replica-set . . . . . . . 272 show-all-auth-prompts . . . . . . . . . 303
tcp-session-cookie-name. . . . . . . . . 272 step-up-at-higher-level . . . . . . . . . 304
temp-session-cookie-name . . . . . . . . 273 verify-step-up-user . . . . . . . . . . 304
temp-session-max-lifetime . . . . . . . . 273 [system-environment-variables]stanza . . . . . 305
timeout . . . . . . . . . . . . . . 274 env-name . . . . . . . . . . . . . . 305
update-session-cookie-in-login-request . . . . 275 [tfimsso:<jct-id>]stanza. . . . . . . . . . 306
user-session-ids. . . . . . . . . . . . 275 always-send-tokens . . . . . . . . . . 306
user-session-ids-include-replica-set . . . . . 276 applies-to. . . . . . . . . . . . . . 307
use-same-session . . . . . . . . . . . 276 one-time-token . . . . . . . . . . . . 307
[session-cookie-domains]stanza . . . . . . . 277 preserve-xml-token . . . . . . . . . . 308
domain . . . . . . . . . . . . . . 277 renewal-window . . . . . . . . . . . 308
Contents vii
service-name . . . . . . . . . . . . 309 ssl-keyfile-stash. . . . . . . . . . . . 318
tfim-cluster-name . . . . . . . . . . . 309 ssl-valid-server-dn. . . . . . . . . . . 318
token-collection-size . . . . . . . . . . 310 timeout . . . . . . . . . . . . . . 319
token-type . . . . . . . . . . . . . 310 [uraf-registry]stanza . . . . . . . . . . . 319
token-transmit-name . . . . . . . . . . 311 bind-id . . . . . . . . . . . . . . 319
token-transmit-type . . . . . . . . . . 311 cache-lifetime . . . . . . . . . . . . 320
[tfim-cluster:<cluster>]stanza . . . . . . . . 312 cache-mode . . . . . . . . . . . . . 321
basic-auth-user. . . . . . . . . . . . 312 cache-size . . . . . . . . . . . . . 321
basic-auth-passwd. . . . . . . . . . . 312 [user-agent]stanza . . . . . . . . . . . 322
gsk-attr-name . . . . . . . . . . . . 313 user-agent. . . . . . . . . . . . . . 322
handle-idle-timeout . . . . . . . . . . 314
handle-pool-size . . . . . . . . . . . 314 Notices . . . . . . . . . . . . . . 325
server . . . . . . . . . . . . . . . 315
ssl-fips-enabled. . . . . . . . . . . . 316 Index . . . . . . . . . . . . . . . 329
ssl-keyfile . . . . . . . . . . . . . 316
ssl-keyfile-label. . . . . . . . . . . . 317
viii IBMSecurityWebGatewayApplianceVersion7.0: WebReverseProxyStanzaReference
Description:Welcome to the IBM Security Web Gateway Appliance: Web Reverse Proxy Stanza. Reference. IBM Security Access Manager for Web, formerly called IBM Tivoli Access Manager for e-business, is a user authentication, authorization, and web single sign-on solution for enforcing security policies over a
