Konfiguration des Secure-Conversation-Caches und des Trust-Service
Für verteilte und lokale Clients speichert der Secure-Conversation-Clientcache von WebSphere Application Server die Token auf dem Client.
WebSphere Application Server unterstützt das Caching von Sicherheitskontexttoken (SCT) für verteilte Clients und lokale Clients. Wenn ein Sicherheitskontexttoken verteilt wird, verwendet ein Client in derselben Replikationsdomäne dasselbe Sicherheitskontexttoken. Der verteilte Cache unterstützt auch die Auslagerung auf die Platte, damit Sicherheitskontexttoken für eine spätere Wiederherstellung auf der Platte gespeichert werden können. Wenn der Client Anwendungen über SecureConversation ausführt und zu einer Clusterkonfiguration gehört, kann der Client den Mechanismus für verteilte Caches verwenden, um die Tokendaten auf den Cluster-Membern zu replizieren.
Wenn Sie die Administrationskonsole verwenden möchten, um die Cacheeinstellungen zu ändern, klicken Sie auf
.Die Cacheeinstellungen, wie die im Folgenden aufgeführten, können geändert werden.
- Legen Sie die Zeit fest, die das Token nach seinem Verfall im Cache verbleibt. Der Standardwert ist 10 Minuten. Dies ist das Zeitfenster für die Erneuerung eines verfallenen Tokens.
- Legen Sie den Zeitraum für Erneuerung vor dem Tokenverfall fest. Der Standardwert ist 10 Minuten, und der Mindestwert ist 3 Minuten.
Wenn Sie einen Wert unter 3 Minuten eingeben, wird ein Fehler ausgelöst.
Wichtig: Diese Einstellung ist kritisch. Sie gibt die maximale Umlaufzeit für eine Clientanforderung an, d. h. wie lange es dauern darf, wenn ein Client eine Anforderung stellt, diese Anforderung an den Server übertragen wird, der Server die Anforderung verarbeitet und die Antwort an den Client zurück übertragen wird (sofern anwendbar). Wenn die angegebene Zeit zu klein ist und nicht genug Zeit angegeben ist, kann das Token bei seinem Umlauf verfallen, und der Client empfängt eine Fehlerantwort. Wenn der angegebene Wert zu groß ist, verringert sich die Leistung.
Wird das Sicherheitskontexttoken zu oft erneuert, kann dies zum Scheitern der Web Services Secure Conversation (WS-SecureConversation) führen oder sogar einen Fehler aufgrund abnormaler Speicherbedingungen verursachen. Als Wert für den "Zeitraum für die Erneuerung vor Ablauf des Tokenzeitlimits" für den Secure-Conversation-Clientcache muss ein Wert festgelegt werden, der niedriger ist als der Wert für das Tokenzeitlimit für das Sicherheitskontexttoken. Außerdem sollte der Wert für das Tokenzeitlimit mindestens doppelt so hoch sein wie der Wert für den "Zeitraum für die Erneuerung vor Ablauf des Tokenzeitlimits".
- Wählen Sie das Kontrollkästchen Verteiltes Caching aktivieren aus, damit verteilte Clients unterstützt werden. Sie müssen sicherstellen, dass der dynamische Cache-Service und die Cachereplikation von WebSphere Application Server aktiviert sind. Weitere Informationen zum Aktivieren des dynamischen Cache-Service finden Sie im Artikel "Verteilten Cache durch synchrone Aktualisierung und Tokenwiederherstellung aktivieren".
- Sie können angepasste Eigenschaften definieren, bearbeiten und entfernen.
clockSkewToleranceInMinutes
Alternativ können Sie wsadmin-Befehle verwenden, um Konfigurationen für den Secure-Conversation-Clientcache zu verwalten.
Thin Client
Für einen Web-Service-Anwendungsclient, der außerhalb von WebSphere Application Server ausgeführt wird, wird das Sicherheitskontexttoken nur im lokalen Java™-Prozess zwischengespeichert. Die folgenden Systemeigenschaften können verwendet werden, um die Standardcacheeinstellung für den Thin Client zu überschreiben:
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- Gibt die zulässige Zeit (in Minuten) für die Erneuerung eines Sicherheitskontexttokens an, das für WS-SecureConversation auf der Clientseite verwendet werden soll, sodass das Sicherheitskontexttoken genug Zeit hat, den Downstream-Aufruf zu beenden. Der Standardwert ist 10 Minuten, und der Mindestwert ist 3 Minuten.
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- Gibt die zulässige Zeitabweichung für ein Token zwischen zwei Maschinen an. Der Standardwert ist 3 Minuten.
Einstellungen für WS-Reliable-Messaging
Wenn Anwendungen von WebSphere Application Server Richtlinien wie WS-I RSP mit verwaltetem persistenten WS-Reliable-Messaging verwenden, ändern Sie die Cache- und Trust-Konfigurationswerte.
- Klicken Sie in der Administrationskonsole von WebSphere Application Server auf .
- Ändern Sie den Wert des Felds Verbleib des Tokens im Cache nach Ablauf des Zeitlimits von 10 in 120.
- Klicken Sie auf Anwenden und anschließend auf Speichern.
Aktivieren Sie das Caching mit der Standardoption "Synchrone Aktualisierung der Cluster-Member", um verteilte Clients zu unterstützen. Weitere Informationen finden Sie im Artikel "Verteilten Cache über synchrone Aktualisierung und Tokenwiederherstellung aktivieren".
Weitere empfohlene Änderungen
- Ändern Sie die Lebensdauer des Sicherheitskontextstokens, indem Sie den Standardwert von 120 Minuten in 600 Minuten ändern.
- Ändern Sie den Wert für die Einstellung "Erneuerung nach Ablauf des Zeitlimits zulassen" von false in true.
- Ändern Sie die Einstellungen für die Token-Provider wie folgt:
- Klicken Sie in der Administrationskonsole auf .
- Klicken Sie auf Sicherheitskontexttoken.
- Ändern Sie den Wert im Feld Tokenzeitlimit von 120 in 600.
- Klicken Sie auf das Kontrollkästchen, um Erneuerung nach Ablauf des Zeitlimits zulassen auszuwählen.
- Klicken Sie auf Anwenden und anschließend auf Speichern.