セキュアな会話クライアントのキャッシュおよびトラスト・サービスの構成

分散クライアントとローカル・クライアントの両方について、WebSphere® Application Server のセキュアな会話クライアントのキャッシュにより、トークンがクライアントに保管されます。

WebSphere Application Server は、分散クライアントおよびローカル・クライアントの両方に対して、セキュリティー・コンテキスト・トークンのキャッシングをサポートしています。 セキュリティー・コンテキスト・トークンが分散されると、同じ複製ドメインのクライアントは同じセキュリティー・コンテキスト・トークンを使用します。 また、分散キャッシングは、セキュリティー・コンテキスト・トークンをリカバリー用ディスクに保存するためのディスク・オフロードもサポートします。 クライアントがセキュアな会話を使用してアプリケーションを実行している状態で、クラスターのセットアップに含まれている場合、そのクライアントは分散キャッシュ・メカニズムを使用して、クラスター・メンバー間で使用されるトークン・データを複製することができます。

管理コンソールを使用してキャッシュ設定を変更するには、「サービス」 > 「セキュリティー・キャッシュ (Security Cache)」とクリックします。

キャッシュ設定を構成するには、以下の手順を実行します。

WS-SecureConversation クライアントは、今後発行されるセキュリティー・コンテキスト・トークンを拒否します。 クライアント・マシンとサービス・マシン間のクロックを同期できない場合、クロック・スキューを構成すれば、有効なトークンの拒否を防ぐことができます。 デフォルトのクロック・スキューは 3 分です。 デフォルトのクロック・スキュー設定を変更するには、次のカスタム・プロパティーを希望する分数に追加します。
clockSkewToleranceInMinutes

または、wsadmin コマンドを使用して、セキュアな会話クライアントのキャッシュ構成を管理します。

シン・クライアント

WebSphere Application Server 以外で実行されている Web サービスのアプリケーション・クライアントの場合、セキュリティー・コンテキスト・トークンはローカル Java™ プロセスでのみ、キャッシュされます。 次のシステム・プロパティーを使用して、シン・クライアント上でデフォルトのキャッシュ設定をオーバーライドできます。

com.ibm.wsspi.wssecurity.SC.cache.cushion
セキュリティー・コンテキスト・トークンがダウンストリーム呼び出しを完了するために十分な時間を持てるように、クライアント側で WS-SecureConversation により使用されるセキュリティー・コンテキスト・トークンを更新する時間を、分数で指定します。 デフォルト値は 10 分で、最小値は 3 分です。
com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
2 台のマシン間でのトークンの許容できるクロック・スキュー時間を指定します。 デフォルト値は 3 分です。

WS-Reliable メッセージングの設定

WebSphere Application Server アプリケーションで管理対象パーシスタントの WS-Reliable メッセージングを設定した WS-I RSP などのポリシーを使用する場合は、キャッシュ構成値とトラスト構成値を変更します。

以下の手順で、キャッシュ構成の時間値を 120 分に設定します。
  1. WebSphere Application Server 管理コンソールで、「サービス」 > 「セキュリティー・キャッシュ」とクリックします。
  2. タイムアウト後のトークンのキャッシュでの残留時間」フィールドの値を 10 から 120 に変更します。
  3. 「適用」をクリックしてから、「保存」をクリックします。
キャッシュの時間値を増やすことにより、トークンの期限が切れた後のキャッシュでのトークンの残留時間が長くなり、トークンを更新する場合に有効です。 WS-Reliable メッセージング・ランタイムは、CreateSequence メッセージの有効範囲をセキュリティー・コンテキスト・トークンに設定します。 そのため、同じセキュリティー・コンテキストを高信頼性メッセージング・シーケンスの存続時間内で維持することが重要になります。

デフォルト・オプションの「クラスター・メンバーの同期更新 (Synchronous update of cluster members)」を使用して分散キャッシングを有効にし、分散クライアントをサポートするようにします。 詳しくは、『同期更新およびトークン・リカバリーを使用した分散キャッシュの使用可能化』トピックを参照してください。

その他の推奨される変更

上記以外にも推奨される重要な構成変更があります。
  • セキュリティー・コンテキスト・トークンの存続時間を変更する場合は、120 分のデフォルト値を 600 分に変更します。
  • 「有効期限満了後の更新 (Renew after expiration)」の値を変更する場合は、値を「false」から「true」に変更します。
  • トークン・プロバイダーの設定を変更する場合は、以下のようにします。
    1. 管理コンソールで、「サービス」 > 「トラスト・サービス」 > 「トークン・プロバイダー」とクリックします。
    2. セキュリティー・コンテキスト・トークン」をクリックします。
    3. トークン・タイムアウト」フィールドの値を 120 から 600 に変更します。
    4. チェック・ボックスをクリックして、「タイムアウト後の更新許可」を選択します。
    5. 「適用」をクリックしてから、「保存」をクリックします。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecureconvclientcache
ファイル名:cwbs_wssecureconvclientcache.html