安全对话客户机高速缓存和信任服务配置
对于分布式客户机和本地客户机,WebSphere® Application Server 安全对话客户机高速缓存都在客户机上存储令牌。
WebSphere Application Server 支持对分布式客户机和本地客户机的安全上下文令牌进行高速缓存。对于分布式安全上下文令牌,同一复制域中的客户机将使用同一个安全上下文令牌。分布式高速缓存还支持通过磁盘卸载将安全上下文令牌保存到卸载以便用于恢复。如果客户机使用安全对话来运行应用程序,并且在集群环境中,那么此客户机可以使用分布式高速缓存机制在集群成员之间复制令牌数据。
要使用管理控制台来修改高速缓存设置,请单击
。您可以配置高速缓存设置,如下所示。
- 设置发生超时后将令牌保留在高速缓存中的时间长度。缺省值为 10 分钟。此值是更新已到期令牌的时间段。
- 设置令牌到期之前的更新时间间隔。缺省值是 10 分钟,最小值是 3 分钟。输入小于 3 分钟的数值将导致错误。
要点: 此设置非常重要。此设置表示客户机发出请求、传输请求前往服务器、服务器处理该请求以及传输响应(如果适用)返回到客户机所需的最大往返时间。如果指定的时间太短并且未指定足够的时间,那么令牌可能会在此往返期间到期,而客户机将接收到故障响应。如果指定的时间太长,那么性能将下降。
如果安全上下文令牌的更新频率过高,那么可能会导致 Web Service 安全对话 (WS-SecureConversation) 失败,甚至导致发生内存不足错误。必须将安全对话客户机高速缓存的“令牌到期前的更新时间间隔”值设置为小于安全上下文令牌的令牌超时值。另外,还建议将令牌超时值至少设置为“令牌到期前的更新时间间隔”值的两倍。
- 选中启用分布式高速缓存复选框以支持分布式客户机。您必须确保 WebSphere Application Server 动态高速缓存服务和高速缓存复制功能处于启用状态。有关启用动态高速缓存服务的更多信息,请参阅“使用同步更新和令牌恢复来启用分布式高速缓存”主题。
- 定义定制属性,编辑或移除现有定制属性。
clockSkewToleranceInMinutes
另外,也可以使用 wsadmin 命令来管理安全对话客户机高速缓存配置。
瘦客户机
对于运行在 WebSphere Application Server 外的 Web Service 应用程序客户机,只将安全上下文令牌高速缓存在本地的 Java™ 进程中。下列系统属性可用于覆盖瘦客户机上的缺省高速缓存设置:
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- 指定要在客户机端与 WS-SecureConversation 配合使用的安全上下文令牌的更新时间(以分钟计),此时间用于使安全上下文令牌有足够的时间完成下游调用。缺省值是 10 分钟,最小值是 3 分钟。
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- 指定令牌允许两台机器之间存在的时钟偏差时间。缺省值是 3 分钟。
WS-Reliable 消息传递设置
如果 WebSphere Application Server 应用程序将 WS-I RSP 之类的策略与受管持久性 WS-Reliable 消息传递配合使用,请修改高速缓存和信任配置值。
- 在 WebSphere Application Server 管理控制台中,单击 。
- 将令牌超时后在高速缓存中的保留时间字段的值由 10 修改为 120。
- 单击应用,然后单击保存。
使用缺省选项“同步更新集群成员”启用分布式高速缓存,以便支持分布式客户机。有关更多信息,请参阅“使用同步更新和令牌恢复来启用分布式高速缓存”主题。
其他建议更改
- 修改安全上下文令牌的生存期值,将此值由缺省值 120 分钟更改为 600 分钟。
- 修改“到期之后更新”值,将此值由 false 更改为 true。
- 修改令牌提供程序的设置,如下所示:
- 在管理控制台中,请单击 。
- 单击安全上下文令牌。
- 将令牌超时字段中的值由 120 更改为 600。
- 单击复选框以选中允许在超时后更新。
- 单击应用,然后单击保存。