Sicherheitsaspekte bei Migration, Koexistenz und Interoperation

Dieser Abschnitt beschäftigt sich mit der Migration der Sicherheitskonfiguration früherer Releases von WebSphere Application Server und der zugehörigen Anwendungen auf die neue Installation von WebSphere Application Server.

Vorbereitende Schritte

Dieser Abschnitt beschäftigt sich mit der notwendigen Migration Ihrer Sicherheitskonfigurationen von einem früheren Release von IBM® WebSphere Application Server auf WebSphere Application Server Version 8.0. Führen Sie die folgenden Schritte aus, um die Sicherheitskonfigurationen zu migrieren:

  • Wenn für das frühere Release die Sicherheit aktiviert ist, rufen Sie die Administrationsserver-ID und das Kennwort des früheren Release ab. Diese Informationen werden für die Ausführung bestimmter Migrationsjobs benötigt.
  • Bei Bedarf können Sie die Sicherheit im früheren Release inaktivieren, bevor Sie die Installation migrieren. Während der Installation ist keine Anmeldung erforderlich.
  • [z/OS]Falls unter z/OS bei der Migration auf WebSphere Application Server 8.0 "scriptCompatibility" auf false gesetzt ist, werden alle SSLConfig-Repertoires des Typs "SSSL" (System SSL) in Repertoires des Typs "JSSE" umgewandelt. Diese Umwandlung in ein JSSE-Repertoire findet jedoch nicht statt, wenn das SSLConfig-Repertoire zum Dämon gehört.
Anmerkung: Beachten Sie in WebSphere Application Server Version 8.0 die folgenden zusätzlichen Anforderungen bei der Migration Ihrer Sicherheitskonfigurationen:
  • Wenn eine Migration von WebSphere Application Server Version 7.x auf Version 8.0 durchgeführt wird und Ihre Geschäftsanforderungen vorsehen, dass die Sicherheitsprotokolle aus der früheren Version erhalten bleiben sollen, müssen Sie zunächst die Sicherheitsprotokolldateien in Version 7.x archivieren. Die Migration der Sicherheitsprotokolldateien aus der früheren Version in Version 8.0 wird von WebSphere Application Server nicht unterstützt.
  • [z/OS]Wenn eine Migration von WebSphere Application Server Version 7.x auf Version 8.0 auf einem z/OS-System durchgeführt wird und eine Einstellung für beschreibbare SAF-Schlüsselringe (System Authorization Facility) in Version 7.x verwendet wurde, achten Sie darauf, dass die beschreibbaren SAF-Schlüsselringe auch auf dem System mit Version 8 aktiviert ist. Beschreibbare SAF-Schlüsselringe sind eine RACF-Einstellung.
  • Wenn die Umgebung von WebSphere Application Server Version 7.x für Kerberos aktiviert ist und eine Migration auf Version 8.0 auf einer anderen Maschine durchgeführt wird, müssen sich die Chiffrierschlüssel- und Konfigurationsdateien für Kerberos auf der Maschine mit Version 8.0 an derselben Position befinden wie auf der Maschine mit Version 7.x, da die Konfiguration andernfalls nicht funktioniert.

Vorgehensweise

Ergebnisse

Die Sicherheitskonfiguration der früheren Releases von WebSphere Application Server sowie der zugehörigen Anwendungen wurden auf die neue Installation von WebSphere Application Server Version 9.0 migriert.

Nächste Schritte

Sie müssen alle angepassten Klassendateien migrieren, die nicht migriert wurden.

[z/OS]Wenn Sie eine Umgebung mit Version 6.1 oder einer älteren Version mit aktivierter SAF-Berechtigung (System Authorization Facility) migrieren, beachten Sie, dass sich die Bezeichnung für die Zeichenfolge, die den EJBROLE-Profilnamen vorangestellt wird, geändert hat. Früher wurden diese Profile als z/OS-Sicherheitsdomäne bezeichnet. Diese Bezeichnung wurde aktualisiert und lautet jetzt "SAF-Profilpräfix". Der Name der entsprechenden Eigenschaft in der Datei security.xml wurde ebenfalls aktualisiert und lautet jetzt com.ibm.security.SAF.profilePrefix. Die alten Eigenschaftsnamen sind security.zOS.domainName und security.zOS.domainType. Die Bezeichnung wurde so geändert, dass sie den Zweck dieser Eigenschaft besser beschreibt, um Verwechselungen mit dem in Version 7.0 eingeführten WebSphere-Feature der Sicherheitsdomänen zu vermeiden. Wenn ein SAF-Profilpräfix angegeben wird und scriptCompatiblity auf den Wert false gesetzt ist, sind während der Migration keine weiteren Aktionen erforderlich. Die alten Eigenschaften werden in die neuen Eigenschaften konvertiert.

[z/OS]
Anmerkung: Das SAF-Feature für die Zuordnung verteilter Identitäten wird in heterogenen Zellen (mit Knoten vor WebSphere Application Server Version 9.0) nicht unterstützt.

[IBM i]Falls die frühere Versionsinstanz so konfiguriert ist, dass für sichere Verbindungen von der lokalen DCM-Zertifizierungsstelle signierte Zertifikate verwendet werden, müssen diese Zertifikate erneuert werden. Diese Erneuerung ist beispielsweise für die frühere Versionsinstanz, für das Profil von WebSphere Application Server Version 9.0 und für alle Clients und Server mit aktiviertem SSL erforderlich, die eine Verbindung zu WebSphere Application Server herstellen.

[IBM i]IBM-i-*SYSTEM-Zertifikatsspeicher für Anwendungen werden ab WebSphere Application Server Version 5 nicht weiter unterstützt. Sie müssen Ihre Anwendungen in WebSphere Application Server Version 9.0 auf die Verwendung von Java™-Keystores migrieren.

[z/OS]Falls Sie eine Umgebung der Version 6.0.x mit aktiviertem "Synch to OS Thread" auf eine Umgebung der Version 9.0 migrieren, sollten Sie die folgenden Aspekte berücksichtigen:
  • Der RACF-Administrator muss nicht nur angeben, ob die Anwendung und Konfiguration "Synch to OS Thread" verwenden soll, wie es in früheren Versionen von WebSphere Application Server erforderlich war, sondern auch eine Rolle für spezifischen Ressourcenzugriff definieren, damit "Synch to OS Thread" in Version 6.1 und höher funktioniert. Ein FACILITY-Klassenprofil muss definiert werden, um die Verwendung von "Synch to OS Thread" zuzulassen oder nicht zuzulassen. Mit einem optionalen SURROGAT-Klassenprofil können Sie die Verwendung von "Synch to OS Thread" für einzelne authentifizierte Benutzer optimieren.

    Weitere Informationen hierzu finden Sie im Artikel [z/OS]SAF-Klassen und -Profile.

  • Ab Version 6.1 muss für die Aktivierung sicherer Anwendungen ein FACILITY-Klassenprofil definiert werden. WebSphere Application Server überprüft dieses FACILITY-Klassenprofil während der Initialisierung, um sicherzustellen, dass nur autorisierte sichere Anwendungen aktiviert werden. Dieses FACILITY-Klassenprofil erweitert die Rolle des RACF-Administrators, denn er muss jetzt gewährleisten, dass nur autorisierte sichere Anwendungen aktiviert werden.

    Weitere Informationen hierzu finden Sie im Artikel [z/OS]SAF-Klassen und -Profile.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_migrate
Dateiname:tsec_migrate.html