<localServiceSettings> – element
Určuje nastavení zabezpečení místní služby pro tuto vazbu.
<Konfigurace>
<System.servicemodel>
<Vazby>
<customBinding>
<Vazba>
<Zabezpečení>
<localServiceSettings>
Syntax
<security>
<localServiceSettings detectReplays="Boolean"
inactivityTimeout="TimeSpan"
issuedCookieLifeTime="TimeSpan"
maxCachedCookies="Integer"
maxClockSkew="TimeSpan"
maxPendingSessions="Integer"
maxStatefulNegotiations="Integer"
negotiationTimeout="TimeSpan"
reconnectTransportOnFailure="Boolean"
replayCacheSize="Integer"
replayWindow="TimeSpan"
sessionKeyRenewalInterval="TimeSpan"
sessionKeyRolloverInterval="TimeSpan"
timestampValidityDuration="TimeSpan" />
</security>
Atributy a elementy
Následující části popisují atributy, podřízené prvky a nadřazené prvky.
Atributy
| Atribut | Popis |
|---|---|
detectReplays |
Logická hodnota, která určuje, jestli jsou útoky na přehrání na kanál detekovány a řešeny automaticky. Výchozí formát je false. |
inactivityTimeout |
Kladná TimeSpan hodnota, která určuje dobu nečinnosti, po kterou kanál čeká, než vyprší časový limit. Výchozí hodnota je 01:00:00. |
issuedCookieLifeTime |
A TimeSpan , který určuje dobu života vydané pro všechny nové soubory cookie zabezpečení. Soubory cookie, které překračují svou životnost, se recyklují a je třeba je znovu vyjednat. Výchozí hodnota je 10:00:00. |
maxCachedCookies |
Kladné celé číslo, které určuje maximální počet souborů cookie, které lze uložit do mezipaměti. Výchozí hodnota je 1 000. |
maxClockSkew |
A TimeSpan , který určuje maximální časový rozdíl mezi systémovými hodinami obou komunikujících stran. Výchozí hodnota je 00:05:00. Pokud je tato hodnota nastavena na výchozí, příjemce přijímá zprávy s časovým razítkem odeslání až o 5 minut později nebo dříve, než je čas přijetí zprávy. Zprávy, které neprojdou testem v době odeslání, budou odmítnuty. Toto nastavení se používá ve spojení s atributem replayWindow . |
maxPendingSessions |
Kladné celé číslo, které určuje maximální počet čekajících relací zabezpečení, které služba podporuje. Po dosažení tohoto limitu obdrží všichni noví klienti chyby PROTOKOLU SOAP. Výchozí hodnota je 1000. |
maxStatefulNegotiations |
Kladné celé číslo, které určuje počet jednání o zabezpečení, která mohou být současně aktivní. Relace vyjednávání nad rámec limitu jsou zařazeny do fronty a lze je dokončit, pouze pokud je k dispozici místo pod limitem. Výchozí hodnota je 1024. |
negotiationTimeout |
Určuje TimeSpan životnost zásad zabezpečení používaných kanálem. Po vypršení tohoto času kanál znovu vyjedná s klientem o nové zásadě zabezpečení. Výchozí hodnota je 00:02:00. |
reconnectTransportOnFailure |
Logická hodnota, která určuje, jestli se připojení používající WS-Reliable zasílání zpráv pokusí po selhání přenosu znovu připojit. Výchozí hodnota je true, což znamená, že se pokoušíte o nekonečné pokusy o opětovné připojení. Cyklus je přerušen vypršením časového limitu nečinnosti, což způsobí, že kanál vyvolá výjimku, když ho nelze znovu připojit. |
replayCacheSize |
Kladné celé číslo, které určuje počet nonce v mezipaměti použitých k detekci přehrání. Pokud je tento limit překročen, nejstarší nonce se odebere a pro novou zprávu se vytvoří nový nonce. Výchozí hodnota je 500000. |
replayWindow |
A TimeSpan , který určuje dobu, po kterou jsou jednotlivé zprávy nece platné. Po uplynutí této doby se zpráva odeslaná se stejným noncem jako zpráva odeslaná dříve nebude přijata. Tento atribut se používá ve spojení s atributem maxClockSkew , aby se zabránilo útokům na přehrání. Útočník může zprávu přehrát po vypršení platnosti jejího okna přehrání. Tato zpráva by však selhala v maxClockSkew testu, který odmítne zprávy s časovými razítky odeslání až do zadaného času později nebo dříve, než je čas přijetí zprávy. |
sessionKeyRenewalInterval |
Určuje TimeSpan dobu trvání, po jejímž uplynutí iniciátor obnoví klíč pro relaci zabezpečení. Výchozí hodnota je 10:00:00. |
sessionKeyRolloverInterval |
A TimeSpan , který určuje časový interval, který je platný u příchozích zpráv během obnovování klíče. Výchozí hodnota je 00:05:00. Během obnovování klíče musí klient a server vždy odesílat zprávy pomocí nejnovějšího dostupného klíče. Obě strany budou přijímat příchozí zprávy zabezpečené pomocí předchozího klíče relace, dokud nevyprší doba přechodu. |
timestampValidityDuration |
Kladné TimeSpan , které určuje dobu platnosti časového razítka. Výchozí hodnota je 00:15:00. |
Podřízené elementy
Žádné
Nadřazené elementy
| Element | Popis |
|---|---|
| <Zabezpečení> | Určuje možnosti zabezpečení pro vlastní vazbu. |
| <secureConversationBootstrap> | Určuje výchozí hodnoty používané k zahájení zabezpečené konverzační služby. |
Poznámky
Nastavení jsou místní, protože nejsou publikována jako součást zásad zabezpečení služby a neovlivňují vazbu klienta.
Následující atributy elementu localServiceSecuritySettings můžou pomoct zmírnit útok na zabezpečení doS (DoS):
maxCachedCookies: řídí maximální počet časově ohraničených SecurityContextTokens, které server ukládá do mezipaměti po provedení vyjednávání SPNEGO nebo SSL.issuedCookieLifetime: řídí životnost SecurityContextTokens, které jsou vydány serverem po vyjednávání SPNEGO nebo SSL. Server ukládá securitycontextTokens do mezipaměti po tuto dobu.maxPendingSessions: řídí maximální počet zabezpečených konverzací, které jsou vytvořeny na serveru, ale pro které nebyly zpracovány žádné zprávy aplikace. Tato kvóta brání klientům v navazování zabezpečených konverzací ve službě, což způsobí, že služba udržuje stav každého klienta, ale nikdy je nepoužívá.inactivityTimeout: řídí maximální dobu, po kterou služba udržuje zabezpečenou konverzaci naživu, aniž by na ni někdy dostala zprávu aplikace. Tato kvóta brání klientům v navazování zabezpečených konverzací ve službě, což způsobí, že služba udržuje stav každého klienta, ale nikdy je nepoužívá.
V zabezpečené konverzaci si všimněte, že inactivityTimeout jak atributy vazby, tak i receiveTimeout atributy na vazbu mají vliv na vypršení časového limitu relace. Kratší z těchto dvou možností určuje, kdy dojde k vypršení časových limitů.
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro