WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示： 当使用 LDAP 注册表时，WebSphere Application Server 会使用标准的 ldap_bind 来验证用户密码，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）(5)，这要求 WebSphere Ap

当使用 LDAP 注册表时，WebSphere Application Server 会使用标准的 ldap_bind 来验证用户密码。这要求 WebSphere Application Server 将用户密码发送到 LDAP 服务器。如果该请求没有加密，则黑客可以使用网络嗅探器来窃取用于身份验证的用户密码（包括管理密码！）。大多数 LDAP 目录都支持 LDAP over SSL，并且可以把 WebSphere Application Server 配置为使用它。在 LDAP 用户注册表面板中（请参见图 7），选中 SSL enabled 选项，然后配置适合您的 LDAP 目录的 SSL 配置。很可能需要将用于 LDAP 服务器证书的签名密钥（证书）放在信任存储库中。最好是创建只供 LDAP 使用的新的 SSL 配置，以避免给当前使用 SSL 的其他领域造成问题。

图 7. 启用 LDAP SSL

如果使用定制的注册表，显然需要使用任何可用的机制来保护该通信流。

19. 确保只通过 HTTPS 传输 LTPA cookie

Web 应用程序使用 cookie 跨请求跟踪用户。尽管这些 cookie 本身通常不包含敏感信息，但是它们把用户与后端系统上用户的现有状态联系起来，如果入侵者捕获了您的 cookie，他们就有可能使用这个 cookie 伪装成您。因为网络通信流常常通过不可信的网络传输（考虑一下您喜欢的 WiFi 热区），数据包很容易被捕获，所以应该使用 SSL 加密重要的 Web 通信流。这包括重要的 cookie。显然，如果所有请求都使用 SSL，cookie 就会得到保护。但是，许多应用程序（可能偶尔）通过 HTTP 发送请求，而没有使用 SSL，这就可能暴露 cookie。幸运的是，HTTP 规范允许指定浏览器只通过 SSL 发送 cookie。