IBM®
WebSphere Application Server interactúa con las
versiones anteriores del producto. Utilice este tema para configurar este comportamiento.
Antes de empezar
La interoperatividad se
consigue utilizando el mecanismo de seguridad z/SAS
(z/OS
Secure Authentication Service) para el sistema operativo local y la autorización basada
en SAF (System Authorization Facility).
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
El release actual del servidor de aplicaciones distingue las identidades del usuario que actúa como administrador, que gestiona el entorno del servidor de aplicaciones, de la identidad del usuario que se utiliza para la autenticación entre servidores.
En los releases anteriores, el usuario tenía que especificar un ID de usuario y una
contraseña de servidor como identidad de usuario para la autenticación entre servidores.
En el release actual del servidor de aplicaciones, el ID de usuario del servidor se
genera automáticamente e internamente. No obstante, el usuario puede especificar que el
ID de usuario y la contraseña del servidor no se generen automáticamente. Esta opción es especialmente importante si existe una célula de releases combinados, en la que el ID de usuario y la contraseña se especifican en una versión inferior del servidor de aplicaciones.
En tal caso, el usuario debe renunciar a generar automáticamente el ID de usuario del
servidor y utilizar en su lugar el ID de usuario y la contraseña del servidor que se
especifican en la versión inferior del servidor de aplicaciones para garantizar la
compatibilidad con versiones anteriores.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
La interoperatividad se consigue sólo si se utiliza el mecanismo de autenticación LTPA (Lightweight Third Party Authentication) y un registro de usuario distribuido como, por ejemplo, LDAP (Lightweight Directory
Access Protocol) o un registro de usuario personalizado distribuido. El
sistema operativo local en la mayoría de plataformas no se considera un
registro de usuarios distribuido (excepto en
z/OS
dentro del entorno
z/OS).
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y
anteriores que se hayan federado en una célula de la Versión 6.1.
Procedimiento
- Configure WebSphere Application Server Versión 9.0 con el mismo registro de usuario distribuido (es decir,
LDAP o personalizado) que se ha configurado con la versión anterior. Asegúrese de que el mismo registro de usuario
LDAP lo compartan todas las versiones del producto.
- En la consola administrativa, seleccione .
- Seleccione una definición de reino disponible y pulse Configurar.
Si la autorización SAF está
inhabilitada, escriba un Nombre de usuario administrativo
primario. Esta es la identidad del usuario con privilegios administrativos que se
ha definido en el sistema operativo local. Si no utiliza el registro de usuarios del sistema operativo
local, seleccione Identidad de servidor que se almacena en el
repositorio de usuarios, escriba el ID de usuario de servidor y la
contraseña asociada.
El nombre de usuario se utiliza para iniciar la sesión en la consola administrativa cuando se habilita la seguridad administrativa. WebSphere Application Server versión 6.1 requiere un usuario administrativo cuya
identidad no sea la de usuario de servidor para que se puedan auditar las acciones administrativas.
Atención: En WebSphere Application Server, versiones 5.x y 6.0.x, se requiere una única
identidad de usuario para el acceso administrativo y la comunicación interna de procesos. Cuando realiza una migración a la Versión 9.0, se utiliza esta identidad de usuario de servidor. Tendrá que especificar otro usuario para la identidad de usuario administrativo.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Escriba un Nombre de usuario administrativo primario. Esta es la identidad del usuario con privilegios administrativos que se
ha definido en el sistema operativo local. Si no utiliza el registro de usuarios del sistema operativo
local, seleccione Identidad de servidor que se almacena en el
repositorio de usuarios, escriba el ID de usuario de servidor y la
contraseña asociada.
El nombre de usuario se utiliza para iniciar la sesión en la consola administrativa cuando se habilita la seguridad administrativa. WebSphere Application Server versión 6.1 requiere un usuario administrativo cuya
identidad no sea la de usuario de servidor para que se puedan auditar las acciones administrativas.
Atención: En WebSphere Application Server, versión 6.0.x, se
requiere una única identidad de usuario para el acceso administrativo y la comunicación interna de procesos. Cuando realiza una migración a la Versión 9.0, se utiliza esta identidad de usuario de servidor. Tendrá que especificar otro usuario para la identidad de usuario administrativo.
- Al interactuar con la versión 6.0.x o con versiones
anteriores, debe seleccionar Identidad de servidor que se almacena en el
repositorio de usuarios.
Escriba el ID de usuario de servidor y la Contraseña asociada.
- Configure el mecanismo de autenticación de LTPA. La generación automática de claves
LTPA debe estar inhabilitada. Si no es así, las claves utilizadas por un release anterior se pierden. Exporte las claves LTPA actuales de WebSphere Application Server versión 8.0 e impórtelos al release anterior o exporte las claves LTPA del release anterior a la versión 8.0.
- En la consola administrativa, seleccione .
- En Mecanismos de autenticación y caducidad, pulse LTPA.
- Pulse el enlace Grupos de conjuntos de claves, a continuación, pulse el grupo de conjuntos de claves que se muestra en el panel Grupos de conjuntos de claves.
- Desmarque el recuadro de selección Generar claves automáticamente.
- Pulse Aceptar, a continuación, pulse Mecanismos de autenticación y caducidad en la vía de acceso del panel Grupos de conjuntos de claves.
- Baje hasta la sección Inicio de sesión único entre células y especifique una contraseña para utilizarla en el cifrado de las claves
LTPA al añadirla en el archivo.
- Vuelva a escribir la contraseña para confirmar la contraseña.
- Escriba el Nombre de archivo de claves plenamente cualificado que contiene las claves exportadas.
- Pulse Exportar claves.
- Siga las instrucciones proporcionadas en el release anterior para importar las claves LTPA exportadas a dicha configuración.
- Si utiliza la configuración SSL por omisión, extraiga todos los certificados de firmante del almacén de
confianza común de WebSphere Application Server
Versión 9.0.
De lo contrario, extraiga los firmantes cuando sea necesario para importarlos al release anterior.
- En la consola
administrativa, pulse .
- Pulse Certificados y almacenes de claves.
- Pulse CellDefaultTrustStore.
- Pulse Certificados de firmante.
- Seleccione un firmante y pulse Extraer.
- Escriba una vía de acceso y un nombre de archivo
exclusivos para el firmante. Por ejemplo, /tmp/signer1.arm.
- Pulse Aceptar. Repítalo para todos los firmantes del almacén de confianza.
- Consulte otros almacenes de confianza para otros firmantes que podrían tener que estar compartidos con el otro servidor. Repita los pasos, de la "e" a la "h" para extraer los demás firmantes.
También puede importar un certificado de firmante, que también se
conoce como certificado CA (entidad emisora de certificados),
de un almacén de confianza de un servidor de la plataforma no
z/OS a un conjunto de claves z/OS. El
conjunto de claves
z/OS
contiene los certificados de firmante originados en el servidor de
la plataforma no z/OS. Para obtener más información, consulte Importación de un certificado de firmante de un
almacén de confianza a un conjunto de claves de z/OS.
- Añada los firmantes exportados a DummyServerTrustFile.jks y DummyClientTrustFile.jks en el directorio /etc de la versión del producto de niveles anteriores. Si el release anterior no utiliza el certificado ficticio, los certificados de firmante del release anterior
se deben extraer y añadir al release de WebSphere Application Server Versión 9.0
para habilitar la conectividad SSL en ambas direcciones.
- Abra el programa de utilidad de gestión de claves, iKeyman, para dicha versión del producto.
- Inicie ikeyman.bat o ikeyman.sh desde el directorio ${USER_INSTALL_ROOT}/bin.
- Seleccione .
- Abra ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks.
- Escriba WebAS para la contraseña.
- Seleccione Añadir y entre uno de los archivos extraídos en el paso 2. Continúe hasta que haya añadido todos los firmantes.
- Repita los pasos, de la "c" a la "f" para el archivo DummyClientTrustFile.jks.
- Compruebe que la aplicación utiliza el nombre JNDI
(Java™
Naming and Directory Interface) y el puerto de rutina de carga
de denominación correctos para realizar una búsqueda de denominación.
- Detenga y reinicie todos los servidores.