Migración, coexistencia e interoperatividad: consideraciones de seguridad
Utilice este tema para migrar la configuración de seguridad de releases previos de WebSphere Application Server y sus aplicaciones a la nueva instalación de WebSphere Application Server.
Antes de empezar
Esta información describe la necesidad de migrar las configuraciones de seguridad de un release anterior de IBM® WebSphere Application Server a WebSphere Application Server 8.0. Complete los pasos siguientes para migrar las configuraciones de seguridad:
- Si la seguridad está habilitada en el release anterior, obtenga el ID de servidor administrativo y la contraseña del release anterior. Esta información es necesaria para ejecutar determinados trabajos de migración.
- Si lo desea, puede inhabilitar la seguridad en el release anterior antes de migrar la instalación. No es necesario iniciar la sesión durante la instalación.
Si scriptCompatibility es false cuando se migra a WebSphere Application Server 8.0 en z/OS, los repertorios SSLConfig del tipo SSSL (System SSL) se convierten al tipo JSSE. La excepción se produce si el repertorio SSLConfig pertenece al daemon; el repertorio no se convierte del tipo SSSL al tipo JSSE en este caso.
- Cuando realice la migración de WebSphere Application Server Versión 7.x a Versión 8.0, si su empresa necesita conservar los registros de auditoría de seguridad del release anterior, en primer lugar, debe archivar los archivos de registro de auditoría de seguridad de la Versión 7.x. WebSphere Application Server no admite la migración de archivos de registro de auditoría de seguridad del release anterior a la versión 8.0.
Cuando migre desde WebSphere Application Server Versión 7.x a la Versión 8.0 en un sistema z/OS, si ha utilizado un valor del conjunto de claves SAF (System Authorization Facility) grabable en la versión 7.x asegúrese de que también se haya habilitado dicho SAF grabable en el sistema de la Versión 8. El SAF grabable es un valor de RACF.
- Si se ha habilitado el entorno de WebSphere Application Server Versión 7.x para Kerberos y está migrando a la versión 8.0 en una máquina diferente, la tabla de claves y los archivos de configuración para Kerberos deben estar en la misma ubicación de la máquina de la Versión 8.0 que en la máquina de la Versión 7.x o la configuración no funcionará.
Procedimiento
Resultados
La configuración de la seguridad de releases anteriores de WebSphere Application Server y sus aplicaciones se migran a la nueva instalación de WebSphere Application Server Versión 9.0.
Qué hacer a continuación
Debe migrar todos los archivos de clase personalizados que no se migran.
Si va a migrar un entorno de Versión 6.1 o anterior con la autorización SAF (System
Authorization Facility) habilitada, tenga en cuenta que el término que describe la serie
que se añade como prefijo a los nombres de perfil EJBROLE, que anteriormente se llamaba
dominio de seguridad z/OS, se ha actualizado a
"prefijo de perfil SAF". Asimismo, el nombre
de propiedad correspondiente del archivo security.xml
se ha actualizado a com.ibm.security.SAF.profilePrefix.
Los nombres de propiedades anteriores son
security.zOS.domainName y
security.zOS.domainType.
El término ha cambiado para describir con mayor precisión la finalidad de esta propiedad y para evitar
confusión con la característica de dominios de seguridad de
WebSphere introducida en la versión 7.0. Si se especifica un prefijo de perfil SAF
y scriptCompatiblity es un valor
false, no es necesario realizar ninguna otra acción
durante la migración; las propiedades anteriores se convierten a
propiedades nuevas.
![[z/OS]](../images/ngzos.gif)
Si la instancia de la versión anterior se configura para habilitar
las conexiones seguras utilizando certificados digitales que han sido firmados por la entidad emisora de certificados local DCM (Digital Certificate Manager), dichos certificados deben renovarse. Por ejemplo, se deben renovar para la instancia de la versión anterior, el perfil de
WebSphere Application Server Versión 9.0 y todos los servidores y clientes habilitados para
SSL (Secure Socket Layer) que se conectan a WebSphere Application Server.
Los almacenes de certificados
*SYSTEM de IBM i para aplicaciones están en desuso en WebSphere Application Server Versión 5. En
WebSphere Application Server Versión 9.0
debe migrar las aplicaciones para utilizar almacenes de claves Java™.
![[z/OS]](../images/ngzos.gif)
- Además de la aplicación y configuración que especifica el deseo de utilizar la opción Sincronizar con
hebra de OS que era necesaria en versiones anteriores de WebSphere Application Server, el administrador RACF
también debe definir un rol de recurso para que Sincronizar con hebra de OS funcione en la versión 6.1 y
posterior. Debe definirse un perfil de clase FACILITY
para permitir o rechazar el uso de la sincronización con la hebra de OS. Además, se puede utilizar un perfil de clase SURROGAT opcional para refinar de forma adicional el uso de la sincronización con la hebra de OS en determinados usuarios autenticados.
Consulte
Clases y perfiles de System Authorization Facility.
- En la versión 6.1 y posteriores, se debe definir un perfil de clase
FACILITY para habilitar las aplicaciones de confianza. WebSphere Application Server comprueba este perfil de clase FACILITY durante
la inicialización para asegurarse de que sólo las aplicaciones de
confianza autorizadas estén habilitadas. Este perfil de clase FACILITY
amplía el rol del administrador de RACF para asegurarse de que sólo las
aplicaciones de confianza autorizadas estén habilitadas.
Consulte
Clases y perfiles de System Authorization Facility.