アプリケーション・レベルの nonce の構成

nonce はランダムに生成される暗号トークンであり、SOAP メッセージで使用されるユーザー名トークンへのアタックを防ぐために 使用されます。 基本認証(BasicAuth)メソッドと組み合わせてノンスを使用する。 WebSphere® Application Server 管理コンソールを使用して、アプリケーションレベルでノンスを設定できます。

このタスクの概要

重要: この情報は、 WebSphere Application Server バージョン 6.0.x以降で使用されるバージョン 5.xアプリケーションのみをサポートします。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。

nonce は、 アプリケーション・レベル、サーバー・レベル、およびセル・レベルで構成できます。

ただし、優先順位について考慮する必要があります。
  1. アプリケーション・レベル
  2. サーバー・レベル
  3. セル・レベル

nonce をアプリケーション・レベルおよびサーバー・レベルに構成する場合には、 アプリケーション・レベルに指定した値が、 サーバー・レベルに指定した値より優先します。

同様に、アプリケーション・レベルに指定した値は、 サーバー・レベルおよびセル・レベルに指定した値よりも優先されます。

手順

  1. 管理コンソールに接続します。

    [z/OS][AIX Solaris HP-UX Linux Windows]ポート番号を変更していない限り、ウェブブラウザに [http://example.com] と http://localhost:port_number/ibm/console 入力してください。

    [IBM i]ポート番号を変更していない限り、ウェブブラウザに [http://example.com] と http://server_name:port_number/ibm/console 入力してください。

  2. アプリケーション > アプリケーションの種類 > WebSphere エンタープライズアプリケーション > アプリケーション名 をクリックします。
  3. 「モジュール管理」で、 URI_name をクリックします。
  4. Web サービス セキュリティ プロパティで、 [Web サービス: サーバー セキュリティ バインディング] をクリックします。
  5. リクエスト受信者バインディングの下にある 「編集」 をクリック
  6. [追加のプロパティ] で、 [ログイン マッピング ] > [新規] をクリックします。
  7. (オプション) ノンスの最大有効期間フィールドに、秒単位で値を指定します。
    このパネルはオプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効です。 別の認証メソッドを指定して、このフィールドに値を指定しようとすると、次のエラー・メッセージが表示され、指定した値を除去しなければなりません。
    Nonce is not supported for authentication methods other than 
BasicAuth.
    BasicAuth を指定したが、「Nonce 最大経過期間」フィールドには値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの Nonce 最大経過期間の値を検索します。

    サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。

    Nonce 最大経過期間」フィールドに指定した値は、nonce が有効である期間を示しています。 最低限 300 秒を指定する必要があります。 ただし、サーバー・レベルの「Nonce キャッシュ・タイムアウト」フィールドに指定した秒数を超える値を指定することはできません。 セル・レベルの「Nonce キャッシュ・タイムアウト」フィールドに指定した秒数を超えることも できません。

    サーバー・レベルの nonce キャッシュ・タイムアウト値を指定するには、以下のステップを実行します。
    1. サーバー > サーバーの種類 > WebSphere アプリケーションサーバー > server_name をクリックします。
    2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
      混合バージョン環境: WebSphere Application Server バージョン 6.1 またはそれ以前のサーバーを使用する混合ノードセルで、[Web サービス] → [Web サービス セキュリティの既定のバインディング] をクリックします。

    セキュリティ > Web サービスをクリックすると、セルレベルのノンスキャッシュタイムアウト値を指定できます。

  8. (オプション) ノンスのクロックスキュー フィールドの値を秒単位で指定します。
    Nonce クロック・スキュー」フィールドに指定した値は、メッセージの受信側が値の適時性の検査に要する時間 (秒) を示します。 このパネルはオプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効です。 別の認証メソッドを指定して、このフィールドに値を指定しようとすると、次のエラー・メッセージが表示され、指定した値を除去しなければなりません。
    Nonce is not supported for authentication methods other than 
BasicAuth.
    BasicAuth を指定したが、「Nonce クロック・スキュー」フィールドには値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの Nonce クロック・スキューの値を検索します。

    サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトの 0 秒になります。

    この値を設定する場合は、以下の情報に注意してください。
    • クロックが非同期の場合、メッセージの送信側とメッセージの受信側との間の時差。
    • メッセージの暗号化および伝送に要する時間。
    • ネットワーク輻輳の通過に要する時間。
  9. サーバーを再始動します。