IBM WebSphere
Application Server は、製品の以前のバージョンと相互運用します。
このトピックを使用して、この振る舞いを構成します。
始める前に
インターオペラビリティーは、local OS および SAF ベースの
権限に z/SAS セキュリティー・メカニズムを使用して達成されます。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
プロシージャー
- WebSphere Application Server バージョン
6.1 を、以前のバージョンで構成されたのと同じ分散ユーザー・レジストリー (つまり、LDAP または Custom) を使用して構成します。 製品のすべてのバージョンで、同じ LDAP ユーザー・レジストリーが共用されていることを確認してください。
- 管理コンソールで、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。
- 有効なレルム定義を選択して、「構成」をクリックします。
- 「Primary administrative user name」を入力します。これは、
ローカル・オペレーティング・システムで定義される管理特権を持つ
ユーザーの ID です。 管理セキュリティーが使用可能である場合は、ユーザー名は管理コンソールへのログオンに使用されます。
WebSphere Application Server バージョン 6.1 では、管理アクションの監査を可能にするために、
サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 5.x および
6.0.x では、単一のユーザー ID が管理アクセスおよび内部プロセス通信の両方に対して必要です。
バージョン 6.1 にマイグレーションする場合、この ID はサーバーのユーザー ID として
使用されます。管理ユーザー ID には、別のユーザーを指定する必要があります。
- 「Automatically generated server identity」または「Server
identity that is stored in the user repository」のいずれかをクリックします。
- 「Server identity that is stored in the user
repository」を選択する場合、「サーバー・ユーザー ID」および関連する「パスワード」を入力します。
- 残りのユーザー・レジストリー設定を入力して、「OK」をクリックします。
- LTPA 認証メカニズムを構成します。LTPA 鍵の自動生成を無効にする必要があります。そうでない場合、
前のリリースが使用した鍵が失われます。WebSphere Application
Server バージョン 6.1 から現在の LTPA 鍵をエクスポートして、これらを前のリリースにインポートします。
重要: このステップとサブステップは、
アプリケーション・サーバーの旧バージョンの既存のセルが存在する複数セル環境でのみ
実行してください。
- 管理コンソールで、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。
- 「認証メカニズムおよび有効期限」をクリックします。
- 「鍵セット・グループ」リンクをクリックし、次に「鍵セット・グループ」パネルに表示される鍵セット・グループをクリックします。
- 「自動的に鍵を生成」チェック・ボックスをクリアします。
- 「OK」をクリックし、次に「鍵セット・グループ」パネルの上部にあるパスの
「認証メカニズムおよび有効期限」をクリックします。
- クロスセル・シングル・サインオン・セクションにスクロールダウンして、LTPA 鍵をファイルに追加する場合に LTPA 鍵の暗号化に使用するパスワードを入力します。
- パスワードを再入力して、パスワードを確認します。
- エクスポートされた鍵を含む「完全修飾鍵ファイル名」を入力します。
- 「鍵のエクスポート」をクリックします。
- 前のリリースで提供された指示に従い、エクスポートされ
た LTPA 鍵を構成にインポートします。
- デフォルトの SSL 構成を使用する場合、
WebSphere Application Server
バージョン 6.1 共通トラストストアからすべての署名者証明書を抽出します。または、
必要な場合に署名者を抽出して、これらを前のリリースにインポートします。
- 管理コンソールで、「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
- 「Key stores and certificates」をクリックします。
- CellDefaultTrustStore をクリックします。
- 「Signer certificates」をクリックします。
- 1 人の署名者を選択して、「抽出」をクリックします。
- 署名者の固有のパスおよびファイル名を入力します (c:¥temp¥signer1.arm など)。
- 「OK」をクリックします。トラストストア内のすべての署名者に対しても同様に行います。
- その他のサーバーと共用する必要があるその他の署名者のその他のトラストストアをチェックします。e から h の
ステップを繰り返して、その他の署名者を抽出します。
- エクスポートされた署名者を、
バックレベル製品バージョンの /etc ディレクトリーの DummyServerTrustFile.jks および DummyClientTrustFile.jks に追加します。
前のリリースがダミー証明書を使用しない場合、前のリリースの署名者証明書を抽出して、WebSphere Application
Server バージョン 6.1 リリースに追加し、両方の方向で SSL 接続を使用可能にする必要があります。
- その製品バージョンの鍵管理ユーティリティー iKeyman を開きます。
- ${USER_INSTALL_ROOT}/bin ディレクトリーから ikeyman.bat または ikeyman.sh を開始します。
- 「Key Database File」>「オープン」と選択します。
- ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks を開きます。
- パスワードの WebAS を入力します。
- 「追加」を選択して、ステップ 3 で抽出されたファイルの 1 つを
入力します。 すべての署名者を追加するまで続けます。
- DummyClientTrustFile.jks ファイルに対して、ステップ c から f を繰り返します。
- ネーミング・ルックアップの実行にアプリケーションが正しい Java Naming and Directory
Interface (JNDI) 名およびネーミング・ブートストラップ・ポートを使用しているかを確認します。
- すべてのサーバーを停止してから再始動します。