Liberty での認証キャッシュの構成

認証されたユーザーが Liberty でどのようにキャッシュに入れられるのかを変更できます。

このタスクについて

サブジェクトの作成はパフォーマンスに影響を与える可能性があるため、Liberty は、ユーザーの認証が成功した後にサブジェクトを保管するための認証キャッシュを用意しています。キャッシュは、initialSize 属性によって決定される特定の数のエントリーを使用して初期化され、maxSize 属性によって決定される最大エントリー数を持ちます。 最大サイズに到達すると、使用された最初のエントリーがキャッシュから削除されます。 ユーザーが非アクティブな期間が timeout 属性で指定された期間より 長くなると、そのユーザーのエントリーはキャッシュから削除されます。デフォルトでは、キャッシュ・サイズは 50 エントリーに初期化され、最大エントリー数は 25000 で、タイムアウトは 600 秒です。

認証キャッシュのデフォルト値を変更する場合を除いて、authCache エレメントの値を構成する必要はありません。

認証キャッシュに ついて詳しくは、『認証キャッシュ』を参照してください。

注:
  • server.xml ファイル内でユーザー・レジストリー構成に変更が 加えられると、認証キャッシュはクリアされます。ただし、外部ユーザー・レジストリー (LDAP など) に 変更が加えられた場合は、認証キャッシュに影響はありません。
  • 構成でのタイムアウト値の以下の影響を考慮する必要があります。
    • 認証キャッシュ・タイムアウト値を大きくすると、セキュリティー・リスクが増大する可能性があります。例えば、ユーザー・レジストリー またはリポジトリー内でユーザーを取り消しても、認証キャッシュがリフレッシュされるまでは、 取り消されたユーザーは認証キャッシュに入っている資格情報を使用してログインできます。
    • 認証キャッシュ・タイムアウト値を小さくすると、パフォーマンスに影響を及ぼす可能性があります。 この値が小さい場合、Liberty サーバーは、ユーザー・レジストリーまたはユーザー・リポジトリーに、より頻繁にアクセスします。
    • ユーザー数の増加が原因で認証キャッシュのエントリー数が大きくなると、認証キャッシュのメモリー使用量が増大します。そのため、アプリケーション・サーバーがスローダウンして、パフォーマンスに影響が出る可能性があります。

手順

  1. server.xml ファイルに以下のコードを追加することによって、appSecurity-2.0 Liberty フィーチャー を有効にします。
     <featureManager>
        <feature>appSecurity-2.0</feature>
     </featureManager>
  2. オプション: 認証キャッシュのデフォルト・オプションを変更するには、server.xml ファイル に <authCache> エレメントを 追加します。以下の例では、認証キャッシュの初期サイズは 100 エントリーに、最大エントリー数は 50000 に、タイムアウトは 15 分に変更されます。
     <authCache initialSize="100" maxSize="50000" timeout="15m"/>
  3. オプション: 認証キャッシュを使用不可にするには、以下のように、<authentication> エレメント内 で cachEnabled 属性を false に 設定します。
     <authentication id="Basic" cacheEnabled="false" />

    <authCache> エレメントおよび <authentication> エレメントについて詳しくは、Application Security 2.0を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_cache
ファイル名: twlp_sec_cache.html