Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Especifica la configuración de seguridad de un servicio local para este enlace.
<configuración>
<system.serviceModel>
<Enlaces>
<customBinding>
<encuadernación>
<Seguridad>
<localServiceSettings>
Syntax
<security>
<localServiceSettings detectReplays="Boolean"
inactivityTimeout="TimeSpan"
issuedCookieLifeTime="TimeSpan"
maxCachedCookies="Integer"
maxClockSkew="TimeSpan"
maxPendingSessions="Integer"
maxStatefulNegotiations="Integer"
negotiationTimeout="TimeSpan"
reconnectTransportOnFailure="Boolean"
replayCacheSize="Integer"
replayWindow="TimeSpan"
sessionKeyRenewalInterval="TimeSpan"
sessionKeyRolloverInterval="TimeSpan"
timestampValidityDuration="TimeSpan" />
</security>
Atributos y elementos
En las siguientes secciones se describen los atributos, los elementos secundarios y los elementos primarios.
Attributes
| Atributo | Description |
|---|---|
detectReplays |
Valor booleano que especifica si se detectan ataques de reproducción contra el canal y se tratan automáticamente. El valor predeterminado es false. |
inactivityTimeout |
Positivo TimeSpan que especifica la duración de la inactividad que espera el canal antes de que se agote el tiempo de espera. El valor predeterminado es "01:00:00". |
issuedCookieLifeTime |
que TimeSpan especifica la duración emitida a todas las cookies de seguridad nuevas. Las cookies que superan su duración se reciclan y deben negociarse de nuevo. El valor predeterminado es "10:00:00". |
maxCachedCookies |
Entero positivo que especifica el número máximo de cookies que se pueden almacenar en caché. El valor predeterminado es 1000. |
maxClockSkew |
que TimeSpan especifica la diferencia de tiempo máxima entre los relojes del sistema de las dos partes de comunicación. El valor predeterminado es "00:05:00". Cuando este valor se establece en el valor predeterminado, el receptor acepta mensajes con marcas de tiempo de envío de hasta 5 minutos más tarde o antes de la hora en que se recibió el mensaje. Los mensajes que no superan la prueba en tiempo de envío se rechazan. Esta configuración se usa junto con el replayWindow atributo . |
maxPendingSessions |
Entero positivo que especifica el número máximo de sesiones de seguridad pendientes que admite el servicio. Cuando se alcanza este límite, todos los clientes nuevos reciben errores soap. El valor predeterminado es 1000. |
maxStatefulNegotiations |
Entero positivo que especifica el número de negociaciones de seguridad que pueden estar activas simultáneamente. Las sesiones de negociación que superen el límite se ponen en cola y solo se pueden completar cuando un espacio por debajo del límite está disponible. El valor predeterminado es 1024. |
negotiationTimeout |
que TimeSpan especifica la duración de la directiva de seguridad que usa el canal. Cuando expire el tiempo, el canal renegocia con el cliente para una nueva directiva de seguridad. El valor predeterminado es "00:02:00". |
reconnectTransportOnFailure |
Valor booleano que especifica si las conexiones que usan WS-Reliable mensajería intentarán volver a conectarse después de errores de transporte. El valor predeterminado es true, lo que significa que se intentan volver a conectar intentos infinitos de volver a conectarse. El ciclo se interrumpe por el tiempo de espera de inactividad, lo que hace que el canal inicie una excepción cuando no se pueda volver a conectar. |
replayCacheSize |
Entero positivo que especifica el número de noces almacenados en caché que se usan para la detección de reproducción. Si se supera este límite, se quita el nonce más antiguo y se crea un nuevo nonce para el nuevo mensaje. El valor predeterminado es 500000. |
replayWindow |
TimeSpan que especifica la duración en la que los mensajes individuales no son válidos. Después de esta duración, no se aceptará un mensaje enviado con el mismo nonce que el enviado antes. Este atributo se usa junto con el maxClockSkew atributo para evitar ataques de reproducción. Un atacante podría reproducir un mensaje después de que su ventana de reproducción haya expirado. Sin embargo, este mensaje produciría un error en la maxClockSkew prueba que rechaza los mensajes con marcas de tiempo de envío hasta una hora especificada más tarde o anterior a la hora en que se recibió el mensaje. |
sessionKeyRenewalInterval |
TimeSpan que especifica la duración después de la cual el iniciador renovará la clave para la sesión de seguridad. El valor predeterminado es "10:00:00". |
sessionKeyRolloverInterval |
que TimeSpan especifica el intervalo de tiempo que una clave de sesión anterior es válida en los mensajes entrantes durante una renovación de claves. El valor predeterminado es "00:05:00". Durante la renovación de claves, el cliente y el servidor siempre deben enviar mensajes con la clave disponible más actual. Ambas partes aceptarán los mensajes entrantes protegidos con la clave de sesión anterior hasta que expire el tiempo de sustitución. |
timestampValidityDuration |
TimeSpan Positivo que especifica la duración en la que una marca de tiempo es válida. El valor predeterminado es "00:15:00". |
Elementos secundarios
Ninguno.
Elementos primarios
| Elemento | Description |
|---|---|
| <seguridad> | Especifica las opciones de seguridad de un enlace personalizado. |
| <secureConversationBootstrap> | Especifica los valores predeterminados que se usan para iniciar un servicio de conversación seguro. |
Observaciones
La configuración es local porque no se publican como parte de la directiva de seguridad del servicio y no afectan al enlace del cliente.
Los atributos siguientes del localServiceSecuritySettings elemento pueden ayudar a mitigar un ataque de seguridad por denegación de servicio (DOS):
maxCachedCookies: controla el número máximo de securityContextTokens limitados por tiempo que el servidor almacena en caché después de realizar la negociación SPNEGO o SSL.issuedCookieLifetime: controla la duración de los SecurityContextTokens emitidos por el servidor después de la negociación SPNEGO o SSL. El servidor almacena en caché securityContextTokens durante este período de tiempo.maxPendingSessions: controla el número máximo de conversaciones seguras que se establecen en el servidor, pero para las que no se ha procesado ningún mensaje de aplicación. Esta cuota impide que los clientes establezcan conversaciones seguras en el servicio, lo que hace que el servicio mantenga el estado de cada cliente, pero nunca los use.inactivityTimeout: controla el tiempo máximo que el servicio mantiene activa una conversación segura sin recibir nunca un mensaje de aplicación en él. Esta cuota impide que los clientes establezcan conversaciones seguras en el servicio, lo que hace que el servicio mantenga el estado de cada cliente, pero nunca los use.
En una sesión de conversación segura, tenga en cuenta que tanto como inactivityTimeout los receiveTimeout atributos del enlace afectan al tiempo de espera de la sesión. El menor de los dos determina cuándo se producen tiempos de espera.
Consulte también
- LocalServiceSecuritySettingsElement
- LocalServiceSettings
- LocalServiceSettings
- LocalServiceSecuritySettings
- CustomBinding
- Enlaces
- Extensión de enlaces
- Enlaces personalizados
- <customBinding>
- Procedimiento para crear un enlace personalizado mediante SecurityBindingElement
- Seguridad de enlace personalizada
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
