Migración, coexistencia e interoperatividad: consideraciones de seguridad

Utilice este tema para migrar la configuración de seguridad de releases previos de WebSphere Application Server y sus aplicaciones a la nueva instalación de WebSphere Application Server.

Antes de empezar

Esta información describe la necesidad de migrar las configuraciones de seguridad de un release anterior de IBM® WebSphere Application Server a WebSphere Application Server 8.0. Complete los pasos siguientes para migrar las configuraciones de seguridad:

  • Si la seguridad está habilitada en el release anterior, obtenga el ID de servidor administrativo y la contraseña del release anterior. Esta información es necesaria para ejecutar determinados trabajos de migración.
  • Si lo desea, puede inhabilitar la seguridad en el release anterior antes de migrar la instalación. No es necesario iniciar la sesión durante la instalación.
  • [z/OS]Si scriptCompatibility es false cuando se migra a WebSphere Application Server 8.0 en z/OS, los repertorios SSLConfig del tipo SSSL (System SSL) se convierten al tipo JSSE. La excepción se produce si el repertorio SSLConfig pertenece al daemon; el repertorio no se convierte del tipo SSSL al tipo JSSE en este caso.
Nota: En WebSphere Application Server Versión 8.0, tenga en cuenta los siguientes requisitos adicionales de migración para la seguridad:
  • Cuando realice la migración de WebSphere Application Server Versión 7.x a Versión 8.0, si su empresa necesita conservar los registros de auditoría de seguridad del release anterior, en primer lugar, debe archivar los archivos de registro de auditoría de seguridad de la Versión 7.x. WebSphere Application Server no admite la migración de archivos de registro de auditoría de seguridad del release anterior a la versión 8.0.
  • [z/OS]Cuando migre desde WebSphere Application Server Versión 7.x a la Versión 8.0 en un sistema z/OS, si ha utilizado un valor del conjunto de claves SAF (System Authorization Facility) grabable en la versión 7.x asegúrese de que también se haya habilitado dicho SAF grabable en el sistema de la Versión 8. El SAF grabable es un valor de RACF.
  • Si se ha habilitado el entorno de WebSphere Application Server Versión 7.x para Kerberos y está migrando a la versión 8.0 en una máquina diferente, la tabla de claves y los archivos de configuración para Kerberos deben estar en la misma ubicación de la máquina de la Versión 8.0 que en la máquina de la Versión 7.x o la configuración no funcionará.

Procedimiento

Resultados

La configuración de la seguridad de releases anteriores de WebSphere Application Server y sus aplicaciones se migran a la nueva instalación de WebSphere Application Server Versión 9.0.

Qué hacer a continuación

Debe migrar todos los archivos de clase personalizados que no se migran.

[z/OS]Si va a migrar un entorno de Versión 6.1 o anterior con la autorización SAF (System Authorization Facility) habilitada, tenga en cuenta que el término que describe la serie que se añade como prefijo a los nombres de perfil EJBROLE, que anteriormente se llamaba dominio de seguridad z/OS, se ha actualizado a "prefijo de perfil SAF". Asimismo, el nombre de propiedad correspondiente del archivo security.xml se ha actualizado a com.ibm.security.SAF.profilePrefix. Los nombres de propiedades anteriores son security.zOS.domainName y security.zOS.domainType. El término ha cambiado para describir con mayor precisión la finalidad de esta propiedad y para evitar confusión con la característica de dominios de seguridad de WebSphere introducida en la versión 7.0. Si se especifica un prefijo de perfil SAF y scriptCompatiblity es un valor false, no es necesario realizar ninguna otra acción durante la migración; las propiedades anteriores se convierten a propiedades nuevas.

[z/OS]
Nota: La característica de correlación de identidad distribuida SAF no está soportada en una célula de versiones mixtas (nodos anteriores a WebSphere Application Server Versión 9.0).

[IBM i]Si la instancia de la versión anterior se configura para habilitar las conexiones seguras utilizando certificados digitales que han sido firmados por la entidad emisora de certificados local DCM (Digital Certificate Manager), dichos certificados deben renovarse. Por ejemplo, se deben renovar para la instancia de la versión anterior, el perfil de WebSphere Application Server Versión 9.0 y todos los servidores y clientes habilitados para SSL (Secure Socket Layer) que se conectan a WebSphere Application Server.

[IBM i]Los almacenes de certificados *SYSTEM de IBM i para aplicaciones están en desuso en WebSphere Application Server Versión 5. En WebSphere Application Server Versión 9.0 debe migrar las aplicaciones para utilizar almacenes de claves Java™.

[z/OS]Si migra un entorno de la versión 6.0.x con la opción Sincronización con la hebra de OS habilitada a un entorno de laVersión 9.0, debe tener en cuenta las siguientes consideraciones de migración:
  • Además de la aplicación y configuración que especifica el deseo de utilizar la opción Sincronizar con hebra de OS que era necesaria en versiones anteriores de WebSphere Application Server, el administrador RACF también debe definir un rol de recurso para que Sincronizar con hebra de OS funcione en la versión 6.1 y posterior. Debe definirse un perfil de clase FACILITY para permitir o rechazar el uso de la sincronización con la hebra de OS. Además, se puede utilizar un perfil de clase SURROGAT opcional para refinar de forma adicional el uso de la sincronización con la hebra de OS en determinados usuarios autenticados.

    Consulte [z/OS]Clases y perfiles de System Authorization Facility.

  • En la versión 6.1 y posteriores, se debe definir un perfil de clase FACILITY para habilitar las aplicaciones de confianza. WebSphere Application Server comprueba este perfil de clase FACILITY durante la inicialización para asegurarse de que sólo las aplicaciones de confianza autorizadas estén habilitadas. Este perfil de clase FACILITY amplía el rol del administrador de RACF para asegurarse de que sólo las aplicaciones de confianza autorizadas estén habilitadas.

    Consulte [z/OS]Clases y perfiles de System Authorization Facility.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_migrate
File name: tsec_migrate.html