サーバー・レベルまたはセル・レベルの nonce の構成

nonce は、ランダムに生成された暗号トークンで、 Simple Object Access Protocol (SOAP) メッセージで使用されるユーザー名トークンの リプレイ・アタックを回避するために使用されます。 通常、nonce はユーザー名トークンとともに使用されます。

このタスクでは、WebSphere® Application Server 管理コンソールを使用してセル・レベルの nonce を構成する方法について説明します。 nonce は、アプリケーション・レベル、サーバー・レベル、およびセル・レベルで構成できます。 ただし、優先順位について考慮する必要があります。 次のリストは、優先順位を示しています。
  1. アプリケーション・レベル

    「nonce maximum age」フィールド および「nonce clock skew」フィールドのアプリケーション・レベル設定は、追加プロパティーによって指定されます。

  2. サーバー・レベル

nonce をアプリケーション・レベルおよびサーバー・レベルに構成する場合には、 アプリケーション・レベルに指定した値が、 サーバー・レベルに指定した値より優先します。 同様に、アプリケーション・レベルに指定した値は、サーバー・レベルに指定した値よりも優先されます。 サーバー・レベルで nonce を構成するには、以下のステップを実行します。

サーバー・レベルまたはセル・レベルで nonce を構成するには、以下のステップを実行します。

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
    2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  2. 「Nonce cache timeout」フィールドに値 (秒) を指定します。 「Nonce cache timeout」フィールドに指定した値は、nonce がキャッシュから廃棄されるまで保持される期間を示しています。最低限 300 秒を指定する必要があります。 ただし、値を指定しない場合には、デフォルトで 600 秒になります。 このフィールドは、サーバー・レベルではオプショナルですが、セル・レベルでは必須です。
  3. 「Nonce maximum age」フィールドに値 (秒) を指定します。 「Nonce maximum age」フィールドに指定した値は、nonce が有効である期間を示しています。 最低限 300 秒を指定する必要があります。ただし、前のステップで「Nonce cache timeout」フィールドに指定した秒数を超える値を指定することはできません。 値を指定しない場合には、デフォルトで 300 秒になります。

    Network Deployment 環境で、サーバー・レベルではこのフィールドはオプションですが、セル・レベルでは必須です。

  4. 「Nonce clock skew」フィールドに値 (秒) を指定します。 「Nonce clock skew」フィールドに指定した値は、 メッセージの受信側が値の鮮度の検査に要する時間 (秒) を示します。 この値を設定する場合は、以下の情報に注意してください。
    • クロックが非同期の場合、メッセージの送信側とメッセージの受信側との間の時差。
    • メッセージの暗号化および伝送に要する時間。
    • ネットワーク輻輳の通過に要する時間。
    このフィールドには、最低限 0 秒を指定する必要があります。 ただし、最大値として、「Nonce maximum age」フィールドに指定した秒数を超える値を指定することはできません。 値を指定しない場合には、デフォルトで 0 秒になります。 このフィールドは、サーバー・レベルではオプショナルですが、セル・レベルでは必須です。
  5. Distribute nonce caching」オプションを選択します。 このオプションにより、Data Replication Service (DRS) を使用して、nonce の分散キャッシングが使用可能になります。 WebSphere Application Server の以前のリリースでは、nonce はローカルでキャッシュされました。 このオプションを選択すると、nonce は環境内の 他のサーバーに伝搬されます。ただし、nonce は伝搬の際に 1 秒遅れたり、ネットワーク輻輳に影響される場合があります。
  6. サーバーを再始動します。 「Nonce cache timeout」値の変更後にサーバーを再始動しないと、サーバーは変更を認識しません。

フィードバック