Mémoire cache du client de conversation sécurisée et configuration du service d'accréditation
Pour les clients répartis ou locaux, la WebSphere Application Server mémoire cache de client de conversation sécurisée stocke les jetons sur le client.
WebSphere Application Server prend en charge la mise en cache du jeton de contexte de sécurité pour le client réparti et le client local. Si le jeton de contexte de sécurité est réparti, un client du même domaine de réplication utilise le même jeton de contexte de sécurité. La mise en cache répartie prend également en charge le déchargement sur disque pour enregistrer le jeton de contexte de sécurité sur disque à des fins de reprise. Si le client fait partie d'une configuration de cluster, quand il exécute des applications utilisant la conversation sécurisée, il peut utiliser le mécanisme de cache réparti pour répliquer les données du jeton entre les membres du cluster.
Pour utiliser la console d'administration afin de modifier les paramètres en cache, cliquez sur
.Vous pouvez configurer les paramètres de la mémoire cache, comme suit.
- Définissez la durée de conservation du jeton dans le cache après l'expiration du délai. La valeur par défaut est de 10 minutes. Cette valeur est un intervalle de temps pour le renouvellement d'un jeton arrivé à expiration.
- Définissez l'intervalle de renouvellement avant l'expiration du jeton. La valeur par défaut est de 10 minutes, et la valeur minimale de 3 minutes. La saisie d'un nombre inférieur à 3 minutes occasionne une erreur. Important : Ce paramètre est critique. Il représente la durée maximale de la boucle où un client émet une demande, la demande de transport parvient au serveur, le serveur traite la demande et la réponse de transport (le cas échéant) est renvoyée au client. Si la durée indiquée est trop faible et insuffisante, le jeton risque d'arriver à expiration pendant l'aller-retour et le client reçoit un message d'erreur. Si la durée indiquée est trop élevée, les performances sont réduites.
Le renouvellement trop fréquent du jeton de contexte de sécurité peut entraîner l'échec de Web Services Secure Conversation (WS-SecureConversation) ou résulter en une erreur de mémoire insuffisante. Vous devez définir l'interface de renouvellement avant expiration du jeton pour le cache client de la conversation sécurisée à une valeur inférieure à celle de délai d'attente pour le jeton du contexte de sécurité. La valeur du délai d'expiration du jeton doit représenter au moins le double de celle de l'intervalle de renouvellement, avant l'expiration du jeton.
- Cochez la case Activer la mise en cache répartie pour prendre en charge les clients répartis. Vous devez vous assurer que le service de cache dynamique de WebSphere Application Server et la réplication de la mémoire cache sont activés. Pour plus d'informations sur l'activation du service de cache dynamique, reportez-vous à la rubrique Activation du cache distribué à l'aide de la mise à jour synchrone et de la récupération des jetons.
- Définissez une propriété personnalisée, modifiez ou supprimez des propriétés personnalisées existantes.
clockSkewToleranceInMinutes
Vous avez également la possibilité d'utiliser les commandes wsadmin pour gérer les configurations de cache du client de conversation sécurisée.
Client léger
Pour un client d'application de service Web exécuté hors de WebSphere Application Server, le jeton de contexte de sécurité n'est mis en cache que dans le processus Java™ local. Les propriétés système suivantes permettent de remplacer le paramètre de cache par défaut sur le client léger :
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- Indique le temps de renouvellement, en minutes, d'un jeton de contexte de sécurité à utiliser avec WS-SecureConversation côté client, de sorte que le jeton de contexte de sécurité ait suffisamment de temps pour établir l'appel en aval. La valeur par défaut est de 10 minutes, et la valeur minimale de 3 minutes.
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- Indique la différence horaire admissible entre deux postes. La valeur par défaut est de 3 minutes.
Paramètres de WS-Reliable Messaging (WSRM)
Quand les applications de WebSphere Application Server utilisent des règles telles que WS-I RSP avec WS-Reliable Messaging en mode géré persistant, modifiez les valeurs de la configuration des accréditations et de la mémoire cache.
- Dans la console d'administration WebSphere Application Server, cliquez sur .
- Modifiez la valeur du champ Jeton de temps en cache après le délai d'expiration. Remplacez 10 par 120.
- Cliquez sur Appliquer, puis sur Sauvegarder.
Activez la mise en cache répartie avec l'option par défaut, la mise à jour synchrone des membres du cluster, afin de prendre en charge les clients répartis. Pour plus d'informations, reportez-vous à la rubrique Activation du cache distribué à l'aide de la mise à jour synchrone et de la récupération des jetons.
Autres modifications recommandées
- Modifiez la durée de vie du jeton du contexte de sécurité ; remplacez la valeur par défaut 120 minutes par 600 minutes.
- Modifiez la valeur du renouvellement après expiration ; remplacez false par true.
- Modifiez les paramètres des fournisseurs de jetons comme suit :
- Dans la console d'administration, cliquez sur .
- Cliquez sur Jeton de contexte de sécurité.
- Dans le champ Expiration des jetons, remplacez 120 par 600.
- Cochez la case de l'option Autoriser le renouvellement après expiration.
- Cliquez sur Appliquer, puis sur Sauvegarder.