安全性加强功能部件的启用和迁移注意事项
缺省情况下,在此 WebSphere® Application Server 发行版中启用了服务器的更多安全性加强功能部件。迁移时,在迁移之前启用的设置将得到保留。但是,如果在迁移后未启用这些功能部件,那么您可以自行启用。
为确保缺省情况下 WebSphere Application Server 配置已设置为安全,以下缺省值已作为 WebSphere Application Server V8.0 中新增安全性加强功能部件的一部分进行更改:
- 缺省情况下在公共安全互操作性 V2 (CSIv2) 传输上启用“需要安全套接字层 (SSL)”
CSIv2 传输层存在以下设置:对于 TCP/IP 连接为 TCP/IP,对于 TCP/IP 或 SSL 连接为“支持 SSL”,对于仅限 SSL 连接为“需要 SSL”。“需要 SSL”是此发行版的 WebSphere Application Server 中的新缺省值。将“需要 SSL”切换为缺省设置可确保进出服务器的所有 CSIv2 连接都使用安全的 SSL 连接。
- 缺省情况下启用 LTPA cookie 上的 HttpOnly 属性
当 com.ibm.ws.security.addHttpOnlyAttributeToCookies 定制特性设置为 true 时,会向服务器创建的安全性 cookie(LTPA cookie 和 WASReqURL cookie)添加 HttpOnly 属性。HttpOnly 属性是一个浏览器属性,创建该属性是为了阻止客户机端应用程序(例如 Java™ 脚本)访问 Cookie,从而阻止某些跨站点脚本编制漏洞。现在可在管理控制台中配置此属性。在 WebSphere Application Server V8.0 之前,com.ibm.ws.security.addHttpOnlyAttributeToCookies 定制属性的缺省值为 false。对于 WebSphere Application Server V8.0,LTPA cookie 和会话 cookie 的缺省值现在都为 true。
有关更多信息,请参阅“安全性定制属性”一文中的定制属性 com.ibm.ws.security.addHttpOnlyAttributeToCookies。
- 缺省情况下启用会话安全性集成
只有已认证的用户才能访问在安全页面中创建的会话。会话管理工具使用安全性基础结构来确定与客户机 HTTP 请求相关联的已认证标识,并检索或创建会话。有关会话安全性的更多信息,请阅读“会话安全性支持”一文。
除启用会话安全性集成以外,还启用凭证持久性。这会使登录信息可供不受保护的 Web 客户机使用,从而可对用户信息进行更多访问。有关凭证持久性的更多信息,请参阅“Web 认证设置”一文中的“访问不受保护的 URI 时使用可用的认证数据”部分。
迁移后启用新增安全性加强功能部件
如果迁移后未启用新增安全性功能部件,那么您可以使用管理控制台或通过脚本编制自行启用这些功能部件。
- 缺省情况下在 CSIv2 上启用 SSL
- 要为 CSIv2 上的入站和出站传输在缺省情况下启用 SSL,请执行以下操作:
如果使用管理控制台,请选择需要 SSL,然后单击应用。
。在“传输”框中,从下拉列表中选择为 CSIv2 出站通信重复相同的步骤,然后单击需要 SSL,然后单击应用。
。在“传输”框中,从菜单列表中选择如果要使用脚本编制为 CSIv2 上的入站和出站传输在缺省情况下启用 SSL,请使用 configureCSIInbound 和 configureCSIOutbound 命令。请参阅“使用脚本编制配置公共安全互操作性认证”主题以获取更多信息。
对于客户机端,编辑 sas.client.props 文件。将 com.ibm.CSI.performTransportAssocSSLTLSRequired 更改为 true,并将 com.ibm.CSI.performTransportAssocSSLTLSSupported 更改为 false。
- 启用 HttpOnly cookie 属性
- 要在缺省情况下启用 cookie 上的 HttpOnly 属性,请执行以下操作:
如果使用管理控制台,请单击 新建,然后为“名称”输入 com.ibm.ws.security.addHttpOnlyAttributeToCookies,并为“值”输入 true。
。单击还可使用管理控制台,通过单击HttpOnly 属性。单击“将安全性 cookie 设置为 HTTPOnly”以帮助防止跨站点脚本编制攻击,然后单击应用。
来启用要使用脚本编制在缺省情况下启用 cookie 上的 HttpOnly 属性,请使用 setAdminActiveSecuritySettings 命令。
- 启用会话安全性集成
- 要使用管理控制台为每个服务器启用会话安全性集成,请选择安全性集成复选框。
要从管理控制台启用持久凭证,请单击访问不受保护的 URI 时使用可用的认证数据复选框。
。选中
。选中
安全性加强功能部件启用故障诊断
启用新增安全性加强功能部件时,根据您可能在以前使用过的环境,可能会看到系统行为中存在某些差异。
例如,如果在以前的环境中,CSIv2 传输设置为先前缺省值“支持 SSL”,那么您不会体验到任何差异,因为“支持 SSL”既可以与 TCP/IP 连接也可以与 SSL 连接通信。但是,如果遇到问题,那么可能无法正确交换证书以使客户机与服务器通信。有关更多信息,请阅读“使用安全套接字层 (SSL) 进行安全通信”主题。
如果在以前的工作环境中将 TCP/IP 用于到 CSIv2 的连接,那么“启用 SSL”CSIv2 连接可能会遇到连接问题。如果不需要 SSL,那么可以将服务器配置修改为“支持 SSL”或 TCP/IP。
对于 HttpOnly 属性,将该属性添加到安全性 cookie 时,浏览器会阻止客户机端脚本访问这些 cookie。在大多数情况下,这种情况应该是缺省行为,以便尽可能减少跨站点脚本编制漏洞。如果一定需要允许客户机端脚本访问 WebSphere 安全性 cookie,并且您知道可能的后果,那么可以禁用 HttpOnly 属性的此设置。
但是,HttpOnly 属性可能会暴露用于访问 WebSphere cookie 的客户机端脚本,并且尽管并非有意,但也可以使用这些脚本。如果发生这种情况,那么必须对启用这些脚本以访问 WebSphere cookie 的 Web 应用程序进行评估。
对于启用会话安全性集成,启用会话集成安全性时,如果 servlet 访问的会话属于已认证身份而非当前拥有该会话的身份,那么在这些 servlet 上可能会接收到 UnauthorizedSessionRequestException 异常。如果不希望发生此检查行为,那么可以在遇到该问题的服务器上禁用会话安全性。