<het element localServiceSettings>

Hiermee geeft u de beveiligingsinstellingen van een lokale service voor deze binding.

<Configuratie>
  <system.serviceModel>
    <Bindings>
      <customBinding>
        <Bindend>
          <Veiligheid>
            <localServiceSettings>

Syntax

<security>
  <localServiceSettings detectReplays="Boolean"
                        inactivityTimeout="TimeSpan"
                        issuedCookieLifeTime="TimeSpan"
                        maxCachedCookies="Integer"
                        maxClockSkew="TimeSpan"
                        maxPendingSessions="Integer"
                        maxStatefulNegotiations="Integer"
                        negotiationTimeout="TimeSpan"
                        reconnectTransportOnFailure="Boolean"
                        replayCacheSize="Integer"
                        replayWindow="TimeSpan"
                        sessionKeyRenewalInterval="TimeSpan"
                        sessionKeyRolloverInterval="TimeSpan"
                        timestampValidityDuration="TimeSpan" />
</security>

Kenmerken en elementen

In de volgende secties worden kenmerken, onderliggende elementen en bovenliggende elementen beschreven.

Kenmerken

Kenmerk	Beschrijving
detectReplays	Een Booleaanse waarde die aangeeft of replay-aanvallen op het kanaal automatisch worden gedetecteerd en afgehandeld. De standaardwaarde is false.
inactivityTimeout	Een positief TimeSpan dat de duur van inactiviteit aangeeft die het kanaal wacht voordat er een time-out optreedt. De standaardwaarde is 01:00:00.
issuedCookieLifeTime	Een TimeSpan die de levensduur aangeeft die is uitgegeven aan alle nieuwe beveiligingscookies. Cookies die hun levensduur overschrijden, worden gerecycled en moeten opnieuw worden onderhandeld. De standaardwaarde is 10:00:00.
maxCachedCookies	Een positief geheel getal dat het maximum aantal cookies aangeeft dat in de cache kan worden opgeslagen. De standaardwaarde is 1000.
maxClockSkew	Een TimeSpan die het maximale tijdsverschil tussen de systeemklokken van de twee communicerende partijen aangeeft. De standaardwaarde is '00:05:00'. Wanneer deze waarde is ingesteld op de standaardwaarde, accepteert de ontvanger berichten met verzendtijdstempels tot 5 minuten later of eerder dan het tijdstip waarop het bericht is ontvangen. Berichten die niet door de verzendtijdtest komen, worden geweigerd. Deze instelling wordt gebruikt in combinatie met het replayWindow kenmerk .
maxPendingSessions	Een positief geheel getal dat het maximum aantal in behandeling zijnde beveiligingssessies aangeeft dat door de service wordt ondersteund. Wanneer deze limiet is bereikt, ontvangen alle nieuwe clients SOAP-fouten. De standaardwaarde is 1000.
maxStatefulNegotiations	Een positief geheel getal dat het aantal beveiligingsonderhandelingen aangeeft dat gelijktijdig actief kan zijn. Onderhandelingssessies die de limiet overschrijden, worden in de wachtrij geplaatst en kunnen alleen worden voltooid wanneer er een ruimte onder de limiet beschikbaar komt. De standaardwaarde is 1024.
negotiationTimeout	Een TimeSpan die de levensduur aangeeft van het beveiligingsbeleid dat door het kanaal wordt gebruikt. Wanneer de tijd is verstreken, heronderhandelt het kanaal met de client voor een nieuw beveiligingsbeleid. De standaardwaarde is 00:02:00.
reconnectTransportOnFailure	Een Booleaanse waarde die aangeeft of verbindingen die gebruikmaken van WS-Reliable messaging, opnieuw verbinding proberen te maken na transportfouten. De standaardwaarde is true, wat betekent dat oneindige pogingen om opnieuw verbinding te maken worden geprobeerd. De cyclus wordt verbroken door de time-out van inactiviteit, waardoor het kanaal een uitzondering genereert wanneer het niet opnieuw kan worden verbonden.
replayCacheSize	Een positief geheel getal dat het aantal non-ces in de cache aangeeft dat wordt gebruikt voor de detectie van herhalingen. Als deze limiet wordt overschreden, wordt de oudste nonce verwijderd en wordt er een nieuwe nonce gemaakt voor het nieuwe bericht. De standaardwaarde is 500000.
replayWindow	Een TimeSpan die de duur aangeeft waarin afzonderlijke bericht-nonces geldig zijn. Na deze duur wordt een bericht dat is verzonden met dezelfde nonce als het bericht dat eerder is verzonden, niet geaccepteerd. Dit kenmerk wordt gebruikt in combinatie met het maxClockSkew kenmerk om herhalingsaanvallen te voorkomen. Een aanvaller kan een bericht opnieuw afspelen nadat het venster voor opnieuw afspelen is verlopen. Dit bericht zou echter mislukken voor de maxClockSkew test waarmee berichten met tijdstempels voor verzenden worden geweigerd tot een opgegeven tijd later of eerder dan het tijdstip waarop het bericht is ontvangen.
sessionKeyRenewalInterval	Een TimeSpan die de duur aangeeft waarna de initiator de sleutel voor de beveiligingssessie vernieuwt. De standaardwaarde is 10:00:00.
sessionKeyRolloverInterval	Een TimeSpan die het tijdsinterval aangeeft dat een vorige sessiesleutel geldig is voor binnenkomende berichten tijdens een sleutelvernieuwing. De standaardwaarde is 00:05:00. Tijdens het vernieuwen van de sleutel moeten de client en server altijd berichten verzenden met behulp van de meest recente beschikbare sleutel. Beide partijen accepteren binnenkomende berichten die zijn beveiligd met de vorige sessiesleutel totdat de rollover-tijd is verstreken.
timestampValidityDuration	Een positief TimeSpan dat de duur aangeeft waarin een tijdstempel geldig is. De standaardwaarde is "00:15:00".

Onderliggende elementen

Geen.

Bovenliggende elementen

Element	Beschrijving
<Veiligheid>	Hiermee geeft u de beveiligingsopties voor een aangepaste binding.
<secureConversationBootstrap>	Hiermee geeft u de standaardwaarden op die worden gebruikt voor het initiëren van een beveiligde gespreksservice.

Opmerkingen

De instellingen zijn lokaal omdat ze niet worden gepubliceerd als onderdeel van het beveiligingsbeleid van de service en geen invloed hebben op de binding van de client.

De volgende kenmerken van het localServiceSecuritySettings element kunnen helpen bij het beperken van een DOS-beveiligingsaanval (Denial-of-Service):

• maxCachedCookies: bepaalt het maximum aantal tijdgebonden SecurityContextTokens dat door de server in de cache wordt opgeslagen na het uitvoeren van SPNEGO- of SSL-onderhandeling.

• issuedCookieLifetime: bepaalt de levensduur van de SecurityContextTokens die door de server worden uitgegeven na SPNEGO- of SSL-onderhandeling. De server slaat de SecurityContextTokens voor deze periode in de cache op.

• maxPendingSessions: bepaalt het maximum aantal beveiligde gesprekken dat tot stand is gebracht op de server, maar waarvoor geen toepassingsberichten zijn verwerkt. Dit quotum voorkomt dat clients veilige gesprekken op de service tot stand brengen, waardoor de service de status voor elke client behoudt, maar deze nooit gebruikt.

• inactivityTimeout: bepaalt de maximale tijd dat de service een veilig gesprek in leven houdt zonder dat er ooit een toepassingsbericht op wordt ontvangen. Dit quotum voorkomt dat clients veilige gesprekken op de service tot stand brengen, waardoor de service de status voor elke client behoudt, maar deze nooit gebruikt.

Houd er in een beveiligde gesprekssessie rekening mee dat zowel als inactivityTimeout de receiveTimeout kenmerken van de binding van invloed zijn op de time-out van de sessie. De kortere van de twee bepaalt wanneer time-outs optreden.

Zie ook

• LocalServiceSecuritySettingsElement
• LocalServiceSettings
• LocalServiceSettings
• LocalServiceSecuritySettings
• CustomBinding
• Bindingen
• Bindingen uitbreiden
• Aangepaste bindingen
• <customBinding>
• Procedure: Een aangepaste binding maken met behulp van het SecurityBindingElement
• Beveiliging van aangepaste binding