安全对话客户机高速缓存和信任服务配置

对于分布式客户机和本地客户机,WebSphere® Application Server 安全对话客户机高速缓存都在客户机上存储令牌。

WebSphere Application Server 支持对分布式客户机和本地客户机的安全上下文令牌进行高速缓存。对于分布式安全上下文令牌,同一复制域中的客户机将使用同一个安全上下文令牌。分布式高速缓存还支持通过磁盘卸载将安全上下文令牌保存到卸载以便用于恢复。如果客户机使用安全对话来运行应用程序,并且在集群环境中,那么此客户机可以使用分布式高速缓存机制在集群成员之间复制令牌数据。

要使用管理控制台来修改高速缓存设置,请单击服务 > 安全性高速缓存

您可以配置高速缓存设置,如下所示。

WS-SecureConversation 客户机会拒绝在将来时间发出的安全上下文令牌。如果无法使客户端机器与服务器的时钟同步,那么可配置时钟偏差以防止拒绝有效令牌。缺省时钟偏差是 3 分钟。要修改缺省时钟偏差设置,请对下列定制属性增加所需的分钟数:
clockSkewToleranceInMinutes

另外,也可以使用 wsadmin 命令来管理安全对话客户机高速缓存配置。

瘦客户机

对于运行在 WebSphere Application Server 外的 Web Service 应用程序客户机,只将安全上下文令牌高速缓存在本地的 Java™ 进程中。下列系统属性可用于覆盖瘦客户机上的缺省高速缓存设置:

com.ibm.wsspi.wssecurity.SC.cache.cushion
指定要在客户机端与 WS-SecureConversation 配合使用的安全上下文令牌的更新时间(以分钟计),此时间用于使安全上下文令牌有足够的时间完成下游调用。缺省值是 10 分钟,最小值是 3 分钟。
com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
指定令牌允许两台机器之间存在的时钟偏差时间。缺省值是 3 分钟。

WS-Reliable 消息传递设置

如果 WebSphere Application Server 应用程序将 WS-I RSP 之类的策略与受管持久性 WS-Reliable 消息传递配合使用,请修改高速缓存和信任配置值。

将高速缓存配置时间值设置为 120 分钟。
  1. WebSphere Application Server 管理控制台中,单击服务 > 安全性高速缓存
  2. 令牌超时后在高速缓存中的保留时间字段的值由 10 修改为 120。
  3. 单击应用,然后单击保存
增大高速缓存时间值意味着,令牌在到期后将在高速缓存中保留更长时间以便可供更新。WS-Reliable 消息传递运行时将 CreateSequence 消息的范围限定到安全上下文令牌。因此,在可靠消息传递序列的生存期内维护同一个安全上下文至关重要。

使用缺省选项“同步更新集群成员”启用分布式高速缓存,以便支持分布式客户机。有关更多信息,请参阅“使用同步更新和令牌恢复来启用分布式高速缓存”主题。

其他建议更改

另外,还提供了有关其他重要配置更改的建议。
  • 修改安全上下文令牌的生存期值,将此值由缺省值 120 分钟更改为 600 分钟。
  • 修改“到期之后更新”值,将此值由 false 更改为 true
  • 修改令牌提供程序的设置,如下所示:
    1. 在管理控制台中,请单击服务 > 信任服务 > 令牌提供程序
    2. 单击安全上下文令牌
    3. 令牌超时字段中的值由 120 更改为 600。
    4. 单击复选框以选中允许在超时后更新
    5. 单击应用,然后单击保存

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecureconvclientcache
文件名:cwbs_wssecureconvclientcache.html