IBM® WebSphere Application Server interagiert mit den früheren Produktversionen. Dieser Artikel erläutert, wie Sie ein solches Verhalten konfigurieren können.
Vorbereitende Schritte
Die Interoperabilität
wird durch die Verwendung des z/SAS-Sicherheitsmechanismus (z/OS Secure Authentication Service)
für die auf LocalOS und SAF basierende Berechtigung erreicht.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Das aktuelle
Release von Application Server unterscheidet die Identität des Benutzers, der als Administrator agiert und die Application-Server-Umgebung
verwaltet, von der Identität des Benutzers, der für die Authentifizierung zwischen Servern verwendet wird.
In früheren Releases musste der Benutzer eine Serverbenutzer-ID und ein Kennwort als Benutzeridentität
für die Authentifizierung zwischen Servern angeben. Im aktuellen Release von Application Server
wird die Serverbenutzer-ID automatisch und intern generiert. Der Benutzer
kann angeben, dass die Serverbenutzer-ID und das Kennwort nicht automatisch generiert werden.
Diese Option ist besonders wichtig für heterogene Zellen, in denen die Serverbenutzer-ID und das Kennwort
in einer älteren Version von Application Server angegeben werden.
In einem solchen Szenario sollte der Benutzer von der automatischen Generierung der Serverbenutzer-ID
Abstand nehmen und stattdessen die Serverbenutzer-ID und das Kennwort verwenden, die in der älteren Version
von Application Server angegeben sind, um die Abwärtskompatibilität zu gewährleisten.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Die Interoperabilität ist nur gewährleistet, wenn das Authentifizierungsverfahren
LTPA (Lightweight Third Party Authentication) und eine verteilte Benutzerregistry wie LDAP
(Lightweight Directory Access Protocol) oder eine eigene verteilte Benutzerregistry verwendet werden. LocalOS
wird auf den meisten Plattformen (mit Ausnahme von z/OS in der z/OS-Umgebung)
nicht als verteilte Benutzerregistry angesehen.
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
Vorgehensweise
- Konfigurieren Sie WebSphere Application Server Version 9.0 mit der verteilten Benutzerregistry (LDAP oder eigene Registry), die Sie für die vorherige Version konfiguriert haben. Stellen Sie sicher,
dass alle Produktversionen dieselbe LDAP-Benutzerregistry gemeinsam benutzen.
- Klicken Sie in der Administrationskonsole auf
.
- Wählen Sie eine verfügbare Realmdefinition aus, und klicken Sie anschließend auf Konfigurieren.
Wenn die SAF-Berechtigung inaktiviert ist, geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben einen Namen ein. Diese ID bezeichnet den
Benutzer mit Administratorrechten, der in Ihrem lokalen Betriebssystem definiert ist. Falls Sie nicht das lokale Betriebssystem als Benutzerregistry verwenden, wählen
Sie die Im Repository gespeicherte
Server-ID aus und geben Sie die "Benutzer-ID für Server" sowie das zugehörigen Kennwort ein. Mit dem Benutzernamen wird bei aktivierter Verwaltungssicherheit die Anmeldung an der Administrationskonsole durchgeführt. WebSphere Application Server Version 6.1 setzt einen Benutzer mit Verwaltungsaufgaben voraus, der sich von der Serverbenutzer-ID unterscheidet, damit die Verwaltungsaktionen überwacht werden können.
Achtung: In WebSphere Application Server Version 5.x und
6.0.x muss dieselbe Benutzeridentität für Verwaltungszugriffe und die interne Prozesskommunikation verwendet werden.
Wenn Sie eine Migration auf Version 9.0 durchführen, wird diese Identität als Serverbenutzeridentität verwendet.
Für den Benutzer mit Verwaltungsaufgaben muss eine andere Benutzeridentität angegeben werden.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben einen Namen ein. Diese ID bezeichnet den
Benutzer mit Administratorrechten, der in Ihrem lokalen Betriebssystem definiert ist. Falls Sie nicht das lokale Betriebssystem als Benutzerregistry verwenden, wählen
Sie die Im Repository gespeicherte
Server-ID aus und geben Sie die "Benutzer-ID für Server" sowie das zugehörigen Kennwort ein. Mit dem Benutzernamen wird bei aktivierter Verwaltungssicherheit die Anmeldung an der Administrationskonsole durchgeführt. WebSphere Application Server Version 6.1 setzt einen Benutzer mit Verwaltungsaufgaben voraus, der sich von der Serverbenutzer-ID unterscheidet, damit die Verwaltungsaktionen überwacht werden können.
Achtung: In WebSphere Application Server Version 6.0.x muss dieselbe Benutzer-ID für Verwaltungszugriffe und die interne Prozesskommunikation verwendet werden. Wenn Sie eine Migration auf Version 9.0 durchführen, wird diese Identität als Serverbenutzeridentität verwendet.
Für den Benutzer mit Verwaltungsaufgaben muss eine andere Benutzeridentität angegeben werden.
- Bei einer Interoperation mit Version 6.0.x oder früheren Versionen müssen Sie die im Benutzerrepository gespeicherte ID für Server auswählen.
Geben Sie die Benutzer-ID für Server und das zugehörige Kennwort ein.
- Konfigurieren Sie das LTPA-Authentifizierungsverfahren. Die automatische Generierung von
LTPA-Schlüsseln sollte inaktiviert sein. Andernfalls gehen die von einem früheren Release verwendeten Schlüssel verloren. Exportieren
Sie die aktuellen LTPA-Schlüssel aus
WebSphere Application Server Version 8.0, und importieren Sie sie dann in das frühere Release, oder exportieren Sie die
LTPA-Schlüssel aus dem früheren Release in
Version 8.0.
- Klicken Sie in der Administrationskonsole auf
.
- Klicken Sie unter "Authentifizierungsverfahren und Verfallszeit" auf "LTPA".
- Klicken Sie auf den Link Schlüsselsatzgruppen und anschließend auf die Schlüsselsatzgruppe, die in der
Anzeige "Schlüsselsatzgruppen" erscheint.
- Wählen Sie das Feld Schlüssel automatisch generieren ab.
- Klicken Sie auf OK und klicken Sie
anschließend in dem Pfad in der Anzeige "Schlüsselsatzgruppe" auf Authentifizierungsverfahren und Verfallszeiten.
- Blättern Sie zum Abschnitt "Zellenübergreifendes
Single Sign-On" vor, und geben Sie ein Kennwort ein, das für die Verschlüsselung von LTPA-Schlüsseln verwendet werden soll, wenn die Schlüssel zu der Datei hinzugefügt werden.
- Geben Sie das Kennwort erneut ein, um das Kennwort zu bestätigen.
- Geben Sie den vollständig qualifizierten Namen der Schlüsseldatei ein, die die exportierten Schlüssel enthält.
- Klicken Sie auf Schlüssel exportieren.
- Folgen Sie den Anweisungen des vorherigen Release für den Import der exportierten LTPA-Schlüssel in die Konfiguration.
- Falls Sie die Standard-SSL-Konfiguration verwenden, extrahieren Sie alle Unterzeichnerzertifikate aus dem allgemeinen Truststore von
WebSphere Application Server Version 9.0.
Andernfalls müssen Sie die Unterzeichner bei Bedarf extrahieren und dann in das frühere Release importieren.
- Klicken Sie in der Administrationskonsole auf
.
- Klicken Sie auf Keystores und Zertifikate.
- Klicken Sie auf "CellDefaultTrustStore".
- Klicken Sie auf Unterzeichnerzertifikate.
- Wählen Sie einen Unterzeichner aus, und klicken Sie auf Extrahieren.
- Geben Sie einen eindeutigen Pfad- und Dateinamen für den Unterzeichner ein. Beispiel:
/tmp/signer1.arm
- Klicken Sie auf OK.Wiederholen Sie die Schritte für alle Unterzeichner im Truststore.
- Überprüfen Sie, ob andere Truststores Unterzeichner enthalten, die gemeinsam mit dem anderen Server genutzt werden müssen. Wiederholen Sie die Schritte e bis h, um die anderen Unterzeichner
zu extrahieren.
Sie können auch ein Unterzeichnerzertifikat, das gleichzeitig ein CA-Zertifikat (Certificate
Authority, Zertifizierungsstelle) ist, aus einem Truststore auf einem Server, auf dem nicht z/OS ausgeführt wird,
in einen z/OS-Schlüsselring importieren. Nachdem Sie diese Schritte ausgeführt haben,
enthält der z/OS-Schlüsselring die Unterzeichnerzertifikate, die von dem
Server stammen, auf dem nicht z/OS ausgeführt wird.
Weitere Informationen finden Sie im Abschnitt zum Import eines Unterzeichnerzertifikats aus einem Truststore in einem z/OS-Schlüsselring.
- Fügen Sie die exportierten Unterzeichner zu DummyServerTrustFile.jks und DummyClientTrustFile.jks im Verzeichnis
/etc der früheren Produktversion hinzu. Falls das frühere Release nicht das Pseudozertifikat verwendet, müssen die Unterzeichnerzertifikate des früheren Release extrahiert und zum Release
WebSphere Application Server Version 9.0 hinzugefügt werden, um die SSL-Konnektivität in beiden Richtungen zu aktivieren.
- Öffnen Sie das Dienstprogramm für Schlüsselverwaltung iKeyman für jene Produktversion.
- Starten Sie ikeyman.bat oder ikeyman.sh aus dem Verzeichnis ${USER_INSTALL_ROOT}/bin.
- Wählen Sie aus.
- Öffnen Sie ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks.
- Geben Sie WebAS als Kennwort ein.
- Wählen Sie Hinzufügen aus, und geben Sie eine der Dateien ein, die in Schritt 2 extrahiert wurden. Fahren Sie fort, bis alle Unterzeichner hinzugefügt wurden.
- Wiederholen Sie die Schritte c bis f für die Datei DummyClientTrustFile.jks.
- Vergewissern Sie sich, dass die Anwendung den richtigen JNDI-Namen
und Naming-Bootstrap-Port für ein Naming-Lookup verwendet.
- Stoppen Sie alle Server, und starten Sie sie erneut.