Konfiguration des Secure-Conversation-Caches und des Trust-Service

Für verteilte und lokale Clients speichert der Secure-Conversation-Clientcache von WebSphere Application Server die Token auf dem Client.

WebSphere Application Server unterstützt das Caching von Sicherheitskontexttoken (SCT) für verteilte Clients und lokale Clients. Wenn ein Sicherheitskontexttoken verteilt wird, verwendet ein Client in derselben Replikationsdomäne dasselbe Sicherheitskontexttoken. Der verteilte Cache unterstützt auch die Auslagerung auf die Platte, damit Sicherheitskontexttoken für eine spätere Wiederherstellung auf der Platte gespeichert werden können. Wenn der Client Anwendungen über SecureConversation ausführt und zu einer Clusterkonfiguration gehört, kann der Client den Mechanismus für verteilte Caches verwenden, um die Tokendaten auf den Cluster-Membern zu replizieren.

Wenn Sie die Administrationskonsole verwenden möchten, um die Cacheeinstellungen zu ändern, klicken Sie auf Services > Sicherheitscache.

Die Cacheeinstellungen, wie die im Folgenden aufgeführten, können geändert werden.

Der WS-SecureConversation-Client weist Sicherheitskontexttoken zurück, die zu einem Zeit in der Zukunft ausgestellt werden. Wenn Sie die Uhren von Clientmaschine und Servicemaschine nicht synchronisieren können, können Sie eine Zeitabweichung konfigurieren, um die Ablehnung eines gültigen Tokens zu verhindern. Die Standardzeitabweichung sind 3 Minuten. Wenn Sie die Standardeinstellung für die Zeitabweichung ändern möchten, fügen Sie die folgende angepasste Eigenschaft mit der gewünschten Minutenanzahl hinzu:
clockSkewToleranceInMinutes

Alternativ können Sie wsadmin-Befehle verwenden, um Konfigurationen für den Secure-Conversation-Clientcache zu verwalten.

Thin Client

Für einen Web-Service-Anwendungsclient, der außerhalb von WebSphere Application Server ausgeführt wird, wird das Sicherheitskontexttoken nur im lokalen Java™-Prozess zwischengespeichert. Die folgenden Systemeigenschaften können verwendet werden, um die Standardcacheeinstellung für den Thin Client zu überschreiben:

com.ibm.wsspi.wssecurity.SC.cache.cushion
Gibt die zulässige Zeit (in Minuten) für die Erneuerung eines Sicherheitskontexttokens an, das für WS-SecureConversation auf der Clientseite verwendet werden soll, sodass das Sicherheitskontexttoken genug Zeit hat, den Downstream-Aufruf zu beenden. Der Standardwert ist 10 Minuten, und der Mindestwert ist 3 Minuten.
com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
Gibt die zulässige Zeitabweichung für ein Token zwischen zwei Maschinen an. Der Standardwert ist 3 Minuten.

Einstellungen für WS-Reliable-Messaging

Wenn Anwendungen von WebSphere Application Server Richtlinien wie WS-I RSP mit verwaltetem persistenten WS-Reliable-Messaging verwenden, ändern Sie die Cache- und Trust-Konfigurationswerte.

Setzen Sie das Zeitlimit für die Cachekonfiguration auf 120 Minuten.
  1. Klicken Sie in der Administrationskonsole von WebSphere Application Server auf Services > Sicherheitscache.
  2. Ändern Sie den Wert des Felds Verbleib des Tokens im Cache nach Ablauf des Zeitlimits von 10 in 120.
  3. Klicken Sie auf Anwenden und anschließend auf Speichern.
Eine Erhöhung des Cachezeitlimits bedeutet, dass das Token nach seinem Verfall für eine längere Zeit im Cache verbleibt, sodass das Token erneuert werden kann. Die WS-Reliable-Messaging-Laufzeitumgebung ordnet die CreateSequence-Nachricht dem Sicherheitskontexttoken zu. Deshalb ist es wichtig, dass für die gesamte Lebensdauer der Reliable-Messaging-Nachrichtenfolgt derselbe Sicherheitskontext verwaltet wird.

Aktivieren Sie das Caching mit der Standardoption "Synchrone Aktualisierung der Cluster-Member", um verteilte Clients zu unterstützen. Weitere Informationen finden Sie im Artikel "Verteilten Cache über synchrone Aktualisierung und Tokenwiederherstellung aktivieren".

Weitere empfohlene Änderungen

Es werden noch weitere wichtige Konfigurationsänderungen empfohlen.
  • Ändern Sie die Lebensdauer des Sicherheitskontextstokens, indem Sie den Standardwert von 120 Minuten in 600 Minuten ändern.
  • Ändern Sie den Wert für die Einstellung "Erneuerung nach Ablauf des Zeitlimits zulassen" von false in true.
  • Ändern Sie die Einstellungen für die Token-Provider wie folgt:
    1. Klicken Sie in der Administrationskonsole auf Services > Trust-Service > Token-Provider.
    2. Klicken Sie auf Sicherheitskontexttoken.
    3. Ändern Sie den Wert im Feld Tokenzeitlimit von 120 in 600.
    4. Klicken Sie auf das Kontrollkästchen, um Erneuerung nach Ablauf des Zeitlimits zulassen auszuwählen.
    5. Klicken Sie auf Anwenden und anschließend auf Speichern.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecureconvclientcache
Dateiname:cwbs_wssecureconvclientcache.html