Lo puedes hacer de 2 maneras:

1. Programaticamente:

Cuando crees la session le setteas el tiempo de duración de la siguiente forma:

HttpSession sesion = request.getSession();
sesion.setMaxInactiveInterval(60);

el método recibe un entero que es la cantidad de segundos que quieres que dure la sesion. Si le colocas -1 la sesion nunca expirará.

2. Declarativamente:

En el web.xml colocas la siguiente etiqueta, y de esta forma configuras el tiempo para todas las sesiones:

<session-config>
<session-timeout>60</session-timeout>
</session-config>

Espero sirva la ayuda, cambio y fuera. Paz.