Sicherheitsaspekte bei Migration, Koexistenz und Interoperation
Dieser Abschnitt beschäftigt sich mit der Migration der Sicherheitskonfiguration früherer Releases von WebSphere Application Server und der zugehörigen Anwendungen auf die neue Installation von WebSphere Application Server.
Vorbereitende Schritte
Dieser Abschnitt beschäftigt sich mit der notwendigen Migration Ihrer Sicherheitskonfigurationen von einem früheren Release von IBM® WebSphere Application Server auf WebSphere Application Server Version 8.0. Führen Sie die folgenden Schritte aus, um die Sicherheitskonfigurationen zu migrieren:
- Wenn für das frühere Release die Sicherheit aktiviert ist, rufen Sie die Administrationsserver-ID und das Kennwort des früheren Release ab. Diese Informationen werden für die Ausführung bestimmter Migrationsjobs benötigt.
- Bei Bedarf können Sie die Sicherheit im früheren Release inaktivieren, bevor Sie die Installation migrieren. Während der Installation ist keine Anmeldung erforderlich.
Falls unter z/OS bei der Migration auf WebSphere Application Server 8.0 "scriptCompatibility" auf false gesetzt ist, werden alle SSLConfig-Repertoires des Typs "SSSL" (System SSL) in Repertoires des Typs "JSSE" umgewandelt. Diese Umwandlung in ein JSSE-Repertoire findet jedoch nicht statt, wenn das SSLConfig-Repertoire zum Dämon gehört.
- Wenn eine Migration von WebSphere Application Server Version 7.x auf Version 8.0 durchgeführt wird und Ihre Geschäftsanforderungen vorsehen, dass die Sicherheitsprotokolle aus der früheren Version erhalten bleiben sollen, müssen Sie zunächst die Sicherheitsprotokolldateien in Version 7.x archivieren. Die Migration der Sicherheitsprotokolldateien aus der früheren Version in Version 8.0 wird von WebSphere Application Server nicht unterstützt.
Wenn eine Migration von WebSphere Application Server Version 7.x auf Version 8.0 auf einem z/OS-System durchgeführt wird und eine Einstellung für beschreibbare SAF-Schlüsselringe (System Authorization Facility) in Version 7.x verwendet wurde, achten Sie darauf, dass die beschreibbaren SAF-Schlüsselringe auch auf dem System mit Version 8 aktiviert ist. Beschreibbare SAF-Schlüsselringe sind eine RACF-Einstellung.
- Wenn die Umgebung von WebSphere Application Server Version 7.x für Kerberos aktiviert ist und eine Migration auf Version 8.0 auf einer anderen Maschine durchgeführt wird, müssen sich die Chiffrierschlüssel- und Konfigurationsdateien für Kerberos auf der Maschine mit Version 8.0 an derselben Position befinden wie auf der Maschine mit Version 7.x, da die Konfiguration andernfalls nicht funktioniert.
Vorgehensweise
Ergebnisse
Die Sicherheitskonfiguration der früheren Releases von WebSphere Application Server sowie der zugehörigen Anwendungen wurden auf die neue Installation von WebSphere Application Server Version 9.0 migriert.
Nächste Schritte
Sie müssen alle angepassten Klassendateien migrieren, die nicht migriert wurden.
Wenn Sie eine Umgebung mit Version 6.1
oder einer älteren Version mit aktivierter SAF-Berechtigung (System Authorization Facility) migrieren,
beachten Sie, dass sich die Bezeichnung für die Zeichenfolge, die den
EJBROLE-Profilnamen vorangestellt wird, geändert hat.
Früher wurden diese Profile als
z/OS-Sicherheitsdomäne bezeichnet. Diese Bezeichnung wurde aktualisiert und lautet jetzt
"SAF-Profilpräfix". Der Name der entsprechenden Eigenschaft in der Datei
security.xml wurde ebenfalls aktualisiert und lautet jetzt com.ibm.security.SAF.profilePrefix. Die alten Eigenschaftsnamen
sind security.zOS.domainName und security.zOS.domainType.
Die Bezeichnung wurde so geändert, dass sie den Zweck dieser Eigenschaft besser beschreibt, um Verwechselungen mit dem
in Version 7.0 eingeführten WebSphere-Feature der Sicherheitsdomänen zu vermeiden. Wenn ein SAF-Profilpräfix angegeben wird und
scriptCompatiblity auf den Wert false gesetzt ist, sind während der Migration keine weiteren Aktionen
erforderlich. Die alten Eigenschaften werden in die neuen Eigenschaften konvertiert.
![[z/OS]](../images/ngzos.gif)
Falls die frühere Versionsinstanz so konfiguriert ist, dass
für sichere Verbindungen von der lokalen DCM-Zertifizierungsstelle signierte Zertifikate verwendet werden, müssen diese Zertifikate
erneuert werden. Diese Erneuerung ist beispielsweise für die frühere Versionsinstanz, für das Profil von WebSphere Application Server Version 9.0
und für alle Clients und Server mit aktiviertem SSL erforderlich, die eine Verbindung zu WebSphere Application Server
herstellen.
IBM-i-*SYSTEM-Zertifikatsspeicher für Anwendungen werden ab
WebSphere Application Server Version 5 nicht weiter unterstützt. Sie müssen Ihre Anwendungen in
WebSphere Application Server Version 9.0
auf die Verwendung von
Java™-Keystores migrieren.
![[z/OS]](../images/ngzos.gif)
- Der RACF-Administrator muss nicht nur angeben, ob die Anwendung und Konfiguration
"Synch to OS Thread" verwenden soll, wie es in früheren Versionen von WebSphere Application Server
erforderlich war, sondern auch eine Rolle für spezifischen Ressourcenzugriff definieren, damit
"Synch to OS Thread" in Version 6.1 und höher funktioniert.
Ein FACILITY-Klassenprofil muss definiert werden, um die Verwendung
von "Synch to OS Thread" zuzulassen oder nicht zuzulassen.
Mit einem optionalen SURROGAT-Klassenprofil können Sie die Verwendung von
"Synch to OS Thread" für einzelne authentifizierte Benutzer optimieren.
Weitere Informationen hierzu finden Sie im Artikel
SAF-Klassen und -Profile.
- Ab Version 6.1 muss für die Aktivierung sicherer Anwendungen ein FACILITY-Klassenprofil definiert werden. WebSphere Application Server überprüft dieses FACILITY-Klassenprofil
während der Initialisierung, um sicherzustellen, dass nur autorisierte sichere Anwendungen aktiviert werden. Dieses FACILITY-Klassenprofil erweitert die
Rolle des RACF-Administrators, denn er muss jetzt
gewährleisten, dass nur autorisierte sichere Anwendungen aktiviert werden.
Weitere Informationen hierzu finden Sie im Artikel
SAF-Klassen und -Profile.