アプリケーション・レベルの nonce の構成

nonce はランダムに生成される暗号トークンであり、SOAP メッセージで使用されるユーザー名トークンへのアタックを防ぐために 使用されます。 nonce は、基本認証 (BasicAuth) 方式と組み合わせて使用します。 WebSphere® Application Server 管理コンソールを使用して、アプリケーション・レベル用に nonce を構成することができます。

このタスクの概要

重要: この情報は、 WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートします。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。

nonce は、 アプリケーション・レベル、サーバー・レベル、およびセル・レベルで構成できます。

ただし、優先順位について考慮する必要があります。
  1. アプリケーション・レベル
  2. サーバー・レベル
  3. セル・レベル

nonce をアプリケーション・レベルおよびサーバー・レベルに構成する場合には、 アプリケーション・レベルに指定した値が、 サーバー・レベルに指定した値より優先します。

同様に、アプリケーション・レベルに指定した値は、 サーバー・レベルおよびセル・レベルに指定した値よりも優先されます。

手順

  1. 管理コンソールに接続します。

    [AIX Solaris HP-UX Linux Windows][z/OS]ポート番号を変更していない場合は、Web ブラウザーで http://localhost:port_number/ibm/console と入力します。

    ポート番号を変更していない場合は、Web ブラウザーで [IBM i]入力 http://server_name:port_number/ibm/console します。

  2. 「アプリケーション」 > 「アプリケーション・タイプ」 > WebSphere エンタープライズ・アプリケーション」 > application_nameをクリックします。
  3. 「モジュールの管理」の下の「 URI_name」をクリックします。
  4. 「Web Services Security プロパティー」の下の「 Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
  5. 「要求受信側バインディング」の下の「 編集 」をクリックします。
  6. 「追加プロパティー」の下の「 ログイン・マッピング > 新規」をクリックします。
  7. Nonce 最大経過時間 」フィールドに値 (秒) を指定します (オプション)。
    このパネルはオプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効です。 別の認証メソッドを指定して、このフィールドに値を指定しようとすると、次のエラー・メッセージが表示され、指定した値を除去しなければなりません。
    Nonce is not supported for authentication methods other than 
    BasicAuth.
    BasicAuth を指定したが、「Nonce 最大経過期間」フィールドには値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの Nonce 最大経過期間の値を検索します。

    サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。

    Nonce 最大経過期間」フィールドに指定した値は、nonce が有効である期間を示しています。 最低限 300 秒を指定する必要があります。 ただし、サーバー・レベルの「Nonce キャッシュ・タイムアウト」フィールドに指定した秒数を超える値を指定することはできません。 セル・レベルの「Nonce キャッシュ・タイムアウト」フィールドに指定した秒数を超えることも できません。

    サーバー・レベルの nonce キャッシュ・タイムアウト値を指定するには、以下のステップを実行します。
    1. サーバー > サーバー・タイプ > WebSphere アプリケーション・サーバー > server_name」をクリックします。
    2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
      混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「 Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。

    「セキュリティー」 > 「Web サービス」をクリックして、セル・レベルの nonce キャッシュ・タイムアウト値を指定できます。

  8. Nonce クロック・スキュー 」フィールドに値 (秒) を指定します (オプション)。
    Nonce クロック・スキュー」フィールドに指定した値は、メッセージの受信側が値の適時性の検査に要する時間 (秒) を示します。 このパネルはオプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効です。 別の認証メソッドを指定して、このフィールドに値を指定しようとすると、次のエラー・メッセージが表示され、指定した値を除去しなければなりません。
    Nonce is not supported for authentication methods other than 
    BasicAuth.
    BasicAuth を指定したが、「Nonce クロック・スキュー」フィールドには値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの Nonce クロック・スキューの値を検索します。

    サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトの 0 秒になります。

    この値を設定する場合は、以下の情報に注意してください。
    • クロックが非同期の場合、メッセージの送信側とメッセージの受信側との間の時差。
    • メッセージの暗号化および伝送に要する時間。
    • ネットワーク輻輳の通過に要する時間。
  9. サーバーを再始動してください。