セキュアな会話クライアントのキャッシュおよびトラスト・サービスの構成
分散クライアントとローカル・クライアントの両方について、WebSphere® Application Server のセキュアな会話クライアントのキャッシュにより、トークンがクライアントに保管されます。
WebSphere Application Server は、分散クライアントおよびローカル・クライアントの両方に対して、セキュリティー・コンテキスト・トークンのキャッシングをサポートしています。 セキュリティー・コンテキスト・トークンが分散されると、同じ複製ドメインのクライアントは同じセキュリティー・コンテキスト・トークンを使用します。 また、分散キャッシングは、セキュリティー・コンテキスト・トークンをリカバリー用ディスクに保存するためのディスク・オフロードもサポートします。 クライアントがセキュアな会話を使用してアプリケーションを実行している状態で、クラスターのセットアップに含まれている場合、そのクライアントは分散キャッシュ・メカニズムを使用して、クラスター・メンバー間で使用されるトークン・データを複製することができます。
管理コンソールを使用してキャッシュ設定を変更するには、
とクリックします。キャッシュ設定を構成するには、以下の手順を実行します。
- タイムアウト後のトークンのキャッシュでの残留時間を設定します。デフォルト値は 10 分です。 この値は、期限切れのトークンを更新するための期間です。
- トークンの有効期限が切れる前に更新間隔を設定します。デフォルト値は 10 分で、最小値は 3 分です。
3 分未満の数値を入力すると、エラーになります。
重要: この設定は重要です。 この設定は、クライアントが要求を出し、トランスポート要求がサーバーに転送され、サーバーが要求を処理し、トランスポート応答 (該当する場合) がクライアントに戻るための最大往復時間を表します。 指定した時間が小さすぎ、十分な時間が指定されていないと、要求が往復する間にトークンの有効期限が切れ、クライアントは失敗の応答を受信します。指定した時間が大きすぎると、パフォーマンスは下がります。
セキュリティー・コンテキスト・トークンが頻繁に更新される場合、Web Services Secure Conversation (WS-SecureConversation) が失敗するか、 メモリー不足エラーが発生する原因となる可能性があります。トークンが、セキュアな会話クライアントのキャッシュに指定した値に達するまでの更新間隔値を、 セキュリティー・コンテキスト・トークンのトークン・タイムアウト値よりも小さい値に設定する必要があります。 トークンがクライアント・キャッシュ用の値を満了する前に、トークン・タイムアウト値を更新間隔の 2 倍以上にすることもお勧めします。
- 「分散キャッシングを使用可能にする」チェック・ボックスを選択して、分散クライアントをサポートします。 ここで、WebSphere Application Server の動的キャッシュ・サービスとキャッシュ複製が有効になっていることを確認する必要があります。 動的キャッシュ・サービスの使用可能化について詳しくは、『同期更新およびトークン・リカバリーを使用した分散キャッシュの使用可能化』トピックを参照してください。
- カスタム・プロパティーを定義し、既存のカスタム・プロパティーを編集または除去します。
clockSkewToleranceInMinutes
または、wsadmin コマンドを使用して、セキュアな会話クライアントのキャッシュ構成を管理します。
シン・クライアント
WebSphere Application Server 以外で実行されている Web サービスのアプリケーション・クライアントの場合、セキュリティー・コンテキスト・トークンはローカル Java™ プロセスでのみ、キャッシュされます。 次のシステム・プロパティーを使用して、シン・クライアント上でデフォルトのキャッシュ設定をオーバーライドできます。
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- セキュリティー・コンテキスト・トークンがダウンストリーム呼び出しを完了するために十分な時間を持てるように、クライアント側で WS-SecureConversation により使用されるセキュリティー・コンテキスト・トークンを更新する時間を、分数で指定します。 デフォルト値は 10 分で、最小値は 3 分です。
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- 2 台のマシン間でのトークンの許容できるクロック・スキュー時間を指定します。 デフォルト値は 3 分です。
WS-Reliable メッセージングの設定
WebSphere Application Server アプリケーションで管理対象パーシスタントの WS-Reliable メッセージングを設定した WS-I RSP などのポリシーを使用する場合は、キャッシュ構成値とトラスト構成値を変更します。
- WebSphere Application Server 管理コンソールで、 とクリックします。
- 「タイムアウト後のトークンのキャッシュでの残留時間」フィールドの値を 10 から 120 に変更します。
- 「適用」をクリックしてから、「保存」をクリックします。
デフォルト・オプションの「クラスター・メンバーの同期更新 (Synchronous update of cluster members)」を使用して分散キャッシングを有効にし、分散クライアントをサポートするようにします。 詳しくは、『同期更新およびトークン・リカバリーを使用した分散キャッシュの使用可能化』トピックを参照してください。
その他の推奨される変更
- セキュリティー・コンテキスト・トークンの存続時間を変更する場合は、120 分のデフォルト値を 600 分に変更します。
- 「有効期限満了後の更新 (Renew after expiration)」の値を変更する場合は、値を「false」から「true」に変更します。
- トークン・プロバイダーの設定を変更する場合は、以下のようにします。
- 管理コンソールで、 とクリックします。
- 「セキュリティー・コンテキスト・トークン」をクリックします。
- 「トークン・タイムアウト」フィールドの値を 120 から 600 に変更します。
- チェック・ボックスをクリックして、「タイムアウト後の更新許可」を選択します。
- 「適用」をクリックしてから、「保存」をクリックします。