分散クライアントとローカル・クライアントの両方で、WebSphere Application
Server のセキュアな会話クライアントのキャッシュは、クライアントに関するトークンを保管します。
WebSphere Application Server は、分散クライアントおよびローカル・クライアントの両方に対して、セキュリティー・コンテキスト・トークンのキャッシングをサポートしています。
セキュリティー・コンテキスト・トークンが分散されると、同じ複製ドメインのクライアントは同じセキュリティー・コンテキスト・トークンを使用します。
また、分散キャッシュは、セキュリティー・コンテキスト・トークンをリカバリー用ディスクに保管するためのディスク・オフロードもサポートします。
デフォルトの Secure Conversation のキャッシュ設定の変更を選択する場合は、管理コンソールを使用して、以下のように設定を構成します。
- タイムアウト後のトークンのキャッシュでの残留時間を設定します。デフォルト値は 10 分です。
この値は、期限切れのトークンを更新するための期間です。
- トークンの有効期限が切れる前に更新間隔を設定します。デフォルト値は 10 分で、最小値は 3 分です。
3 分未満の数値を入力すると、エラーになります。
重要: この設定は重要です。
この設定は、クライアントが要求を出し、トランスポート要求がサーバーに転送され、サーバーが要求を処理し、トランスポート応答 (該当する場合) がクライアントに戻るための最大往復時間を表します。
指定した時間が小さすぎ、十分な時間が指定されていないと、要求が往復する間にトークンの有効期限が切れ、クライアントは失敗の応答を受信します。指定した時間が大きすぎると、パフォーマンスは下がります。
- クラスター・サーバーがある場合は、このオプションを使用可能にして、同じ複製ドメイン内の構成済みのクラスター・サーバー間でキャッシュを分散します。
重要: この設定では、WebSphere Application Server の動的キャッシュ・サービスが使用可能になっている必要があります。
- カスタム・プロパティーを定義し、既存のカスタム・プロパティーを編集または除去します。
WS-SecureConversation クライアントは、今後発行されるセキュリティー・コンテキスト・トークンを拒否します。
クライアント・マシンとサービス・マシン間のクロックを同期できない場合、クロック・スキューを構成すれば、有効なトークンの拒否を防ぐことができます。
デフォルトのクロック・スキューは 3 分です。
デフォルトのクロック・スキュー設定を変更するには、次のカスタム・プロパティーを希望する分数に追加します。
clockSkewToleranceInMinutes
または、wsadmin コマンドを使用して、セキュアな会話クライアントのキャッシュ構成を管理します。
シン・クライアント
WebSphere Application Server 以外で実行されている Web サービスのアプリケーション・クライアントの場合、セキュリティー・コンテキスト・トークンはローカル Java プロセスでのみ、キャッシュされます。
次のシステム・プロパティーを使用して、シン・クライアント上でデフォルトのキャッシュ設定をオーバーライドできます。
- com.ibm.wsspi.wssecurity.SC.cache.cushion
- セキュリティー・コンテキスト・トークンがダウンストリーム呼び出しを完了するために十分な時間を持てるように、クライアント側で WS-SecureConversation により使用されるセキュリティー・コンテキスト・トークンを更新する時間を、分数で指定します。
デフォルト値は 10 分で、最小値は 3 分です。
- com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
- 2 台のマシン間でのトークンの許容できるクロック・スキュー時間を指定します。
デフォルト値は 3 分です。