보안 대화 클라이언트 캐시와 신뢰 서비스 구성
분산 및 로컬 클라이언트 모두에 대해, WebSphere® Application Server 보안 대화 클라이언트 캐시가 클라이언트의 토큰을 저장합니다.
WebSphere Application Server는 분산 클라이언트 및 로컬 클라이언트 모두에 대한 보안 컨텍스트 토큰의 캐싱을 지원합니다. 보안 컨텍스트 토큰이 분배되는 경우, 동일한 복제 도메인의 클라이언트가 동일한 보안 컨텍스트 토큰을 사용합니다. 분산 캐싱은 또한 보안 컨텍스트 토큰을 복구를 위해 디스크로 저장하기 위한 디스크 오프로드를 지원합니다. 클라이언트가 보안 대화를 사용하여 애플리케이션을 실행하고 클러스터 설정의 일부일 때, 클라이언트는 분산 캐시 메커니즘을 사용하여 클러스터 멤버 사이에서 토큰 데이터를 복제할 수 있습니다.
관리 콘솔을 사용하여 캐시 설정을 수정하려면
를 클릭하십시오.다음과 같은 캐시 설정을 구성할 수 있습니다.
- 제한시간 이후 토큰이 캐시에 남아 있는 시간을 설정하십시오. 기본값은 10분입니다. 이 값은 만기된 토큰을 갱신하는 시간 창입니다.
- 토큰 만기 이전 갱신 간격을 설정하십시오. 기본값은
10분이고, 최소값은 3분입니다. 3분 미만의
숫자를 입력하면 오류가 발생합니다. 중요사항: 이 설정은 중요합니다. 이 설정은 요청을 작성하는 클라이언트, 서버로 이동하는 전송 요청, 요청을 처리하는 서버 및 (적용 가능한 경우) 클라이언트로 다시 보내는 전송 응답에 대한 최대 라운드트립 시간을 나타냅니다. 지정된 시간이 너무 적고 충분하지 않으면, 라운드트립 중에 토큰이 만기되고 클라이언트가 장애 응답을 수신합니다. 지정된 시간이 너무 크면 성능이 감소합니다.
보안 컨텍스트 토큰을 너무 자주 갱신하면 웹 서비스 보안 대화(WS-SecureConversation)에 장애가 발생하거나 메모리 부족 오류가 발생할 수 있습니다. 토큰이 보안 대화 클라이언트 캐시의 만기 값 이전의 갱신 간격을 보안 컨텍스트 토큰의 토큰 제한시간 값보다 작은 값으로 설정하는 것이 필요합니다. 또한 토큰 제한시간 값은 토큰 만기 값 이전의 갱신 간격보다 최소 두 배 이상으로 설정해야 합니다.
- 분산 클라이언트를 지원하려면 분산 캐싱 사용 선택란을 선택하십시오. WebSphere Application Server 동적 캐시 서비스 및 캐시 복제가 사용 가능한지 확인해야 합니다. 동적 캐시 서비스 사용 설정에 대한 자세한 정보는 동기식 업데이트 및 토큰 복구를 사용한 분산 캐시 사용 주제를 참조하십시오.
- 사용자 정의 특성을 정의하거나 기존 사용자 정의 특성을 편집 또는 제거하십시오.
clockSkewToleranceInMinutes
또는 wsadmin 명령을 사용하여 보안 대화 클라이언트 캐시 구성을 관리하십시오.
씬 클라이언트
WebSphere Application Server 외부에서 실행하는 웹 서비스 애플리케이션 클라이언트의 경우, 보안 컨텍스트 토큰은 로컬 Java™ 프로세스에만 캐시됩니다. 다음 시스템 특성은 씬 클라이언트에서 기본 캐시 설정을 대체하는 데 사용할 수 있습니다.
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- 보안 컨텍스트 토큰이 다운스트림 호출을 완료하는 데 충분한 시간을 갖도록 클라이언트측에서 WS-SecureConversation에 사용할 보안 컨텍스트 토큰을 갱신하는 시간(분)을 지정합니다. 기본값은 10분이고, 최소값은 3분입니다.
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- 두 시스템 간의 토큰에 허용 가능한 클럭 오차 시간을 지정합니다. 기본값은 3분입니다.
WS-Reliable 메시징 설정
WebSphere Application Server 애플리케이션이 관리 지속적 WS-Reliable 메시징과 함께 WS-I RSP 같은 정책을 사용할 때, 캐시 및 신뢰 구성 값을 수정하십시오.
- WebSphere Application Server 관리 콘솔에서, 를 클릭하십시오.
- 제한시간 초과 후 토큰이 캐시에 있는 시간 필드의 값을 10에서 120으로 수정하십시오.
- 적용, 저장을 차례로 클릭하십시오.
분산 클라이언트를 지원하기 위해 기본 옵션인 클러스터 멤버의 동기 업데이트를 사용하여 분산 캐싱을 사용으로 설정하십시오. 자세한 정보는 동기식 업데이트 및 토큰 복구를 사용한 분산 캐시 사용 설정 주제를 참조하십시오.
추가적 권장 변경
- 값을 기본값인 120분에서 600분으로 변경하여 보안 컨텍스트 토큰의 수명을 수정하십시오.
- 값을 false에서 true로 변경하여 만기 후 갱신 값을 수정하십시오.
- 다음과 같이 토큰 제공자의 설정을 수정하십시오.
- 관리 콘솔에서, 를 클릭하십시오.
- 보안 컨텍스트 토큰을 클릭하십시오.
- 토큰 제한시간 필드의 값을 120에서 600으로 변경하십시오.
- 선택란을 클릭하여 제한시간 초과 후 갱신 허용을 선택하십시오.
- 적용, 저장을 차례로 클릭하십시오.