Cómo actuar conjuntamente con las versiones anteriores del producto

IBM® WebSphere Application Server interactúa con las versiones anteriores del producto. Utilice este tema para configurar este comportamiento.

Antes de empezar

[z/OS]La interoperatividad se consigue utilizando el mecanismo de seguridad z/SAS (z/OS Secure Authentication Service) para el sistema operativo local y la autorización basada en SAF (System Authorization Facility).

[AIX Solaris HP-UX Linux Windows][IBM i]El release actual del servidor de aplicaciones distingue las identidades del usuario que actúa como administrador, que gestiona el entorno del servidor de aplicaciones, de la identidad del usuario que se utiliza para la autenticación entre servidores. En los releases anteriores, el usuario tenía que especificar un ID de usuario y una contraseña de servidor como identidad de usuario para la autenticación entre servidores. En el release actual del servidor de aplicaciones, el ID de usuario del servidor se genera automáticamente e internamente. No obstante, el usuario puede especificar que el ID de usuario y la contraseña del servidor no se generen automáticamente. Esta opción es especialmente importante si existe una célula de releases combinados, en la que el ID de usuario y la contraseña se especifican en una versión inferior del servidor de aplicaciones. En tal caso, el usuario debe renunciar a generar automáticamente el ID de usuario del servidor y utilizar en su lugar el ID de usuario y la contraseña del servidor que se especifican en la versión inferior del servidor de aplicaciones para garantizar la compatibilidad con versiones anteriores.

[AIX Solaris HP-UX Linux Windows][IBM i]La interoperatividad se consigue sólo si se utiliza el mecanismo de autenticación LTPA (Lightweight Third Party Authentication) y un registro de usuario distribuido como, por ejemplo, LDAP (Lightweight Directory Access Protocol) o un registro de usuario personalizado distribuido. El sistema operativo local en la mayoría de plataformas no se considera un registro de usuarios distribuido (excepto en z/OS dentro del entorno z/OS).

[z/OS]Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.

Procedimiento

  1. Configure WebSphere Application Server Versión 9.0 con el mismo registro de usuario distribuido (es decir, LDAP o personalizado) que se ha configurado con la versión anterior. Asegúrese de que el mismo registro de usuario LDAP lo compartan todas las versiones del producto.
    1. En la consola administrativa, seleccione Seguridad > Seguridad global.
    2. Seleccione una definición de reino disponible y pulse Configurar.
    3. [z/OS]Si la autorización SAF está inhabilitada, escriba un Nombre de usuario administrativo primario. Esta es la identidad del usuario con privilegios administrativos que se ha definido en el sistema operativo local. Si no utiliza el registro de usuarios del sistema operativo local, seleccione Identidad de servidor que se almacena en el repositorio de usuarios, escriba el ID de usuario de servidor y la contraseña asociada. El nombre de usuario se utiliza para iniciar la sesión en la consola administrativa cuando se habilita la seguridad administrativa. WebSphere Application Server versión 6.1 requiere un usuario administrativo cuya identidad no sea la de usuario de servidor para que se puedan auditar las acciones administrativas.
      Atención: En WebSphere Application Server, versiones 5.x y 6.0.x, se requiere una única identidad de usuario para el acceso administrativo y la comunicación interna de procesos. Cuando realiza una migración a la Versión 9.0, se utiliza esta identidad de usuario de servidor. Tendrá que especificar otro usuario para la identidad de usuario administrativo.
    4. [AIX Solaris HP-UX Linux Windows][IBM i]Escriba un Nombre de usuario administrativo primario. Esta es la identidad del usuario con privilegios administrativos que se ha definido en el sistema operativo local. Si no utiliza el registro de usuarios del sistema operativo local, seleccione Identidad de servidor que se almacena en el repositorio de usuarios, escriba el ID de usuario de servidor y la contraseña asociada. El nombre de usuario se utiliza para iniciar la sesión en la consola administrativa cuando se habilita la seguridad administrativa. WebSphere Application Server versión 6.1 requiere un usuario administrativo cuya identidad no sea la de usuario de servidor para que se puedan auditar las acciones administrativas.
      Atención: En WebSphere Application Server, versión 6.0.x, se requiere una única identidad de usuario para el acceso administrativo y la comunicación interna de procesos. Cuando realiza una migración a la Versión 9.0, se utiliza esta identidad de usuario de servidor. Tendrá que especificar otro usuario para la identidad de usuario administrativo.
    5. Al interactuar con la versión 6.0.x o con versiones anteriores, debe seleccionar Identidad de servidor que se almacena en el repositorio de usuarios. Escriba el ID de usuario de servidor y la Contraseña asociada.
  2. Configure el mecanismo de autenticación de LTPA. La generación automática de claves LTPA debe estar inhabilitada. Si no es así, las claves utilizadas por un release anterior se pierden. Exporte las claves LTPA actuales de WebSphere Application Server versión 8.0 e impórtelos al release anterior o exporte las claves LTPA del release anterior a la versión 8.0.
    1. En la consola administrativa, seleccione Seguridad > Seguridad global.
    2. En Mecanismos de autenticación y caducidad, pulse LTPA.
    3. Pulse el enlace Grupos de conjuntos de claves, a continuación, pulse el grupo de conjuntos de claves que se muestra en el panel Grupos de conjuntos de claves.
    4. Desmarque el recuadro de selección Generar claves automáticamente.
    5. Pulse Aceptar, a continuación, pulse Mecanismos de autenticación y caducidad en la vía de acceso del panel Grupos de conjuntos de claves.
    6. Baje hasta la sección Inicio de sesión único entre células y especifique una contraseña para utilizarla en el cifrado de las claves LTPA al añadirla en el archivo.
    7. Vuelva a escribir la contraseña para confirmar la contraseña.
    8. Escriba el Nombre de archivo de claves plenamente cualificado que contiene las claves exportadas.
    9. Pulse Exportar claves.
    10. Siga las instrucciones proporcionadas en el release anterior para importar las claves LTPA exportadas a dicha configuración.
  3. Si utiliza la configuración SSL por omisión, extraiga todos los certificados de firmante del almacén de confianza común de WebSphere Application Server Versión 9.0. De lo contrario, extraiga los firmantes cuando sea necesario para importarlos al release anterior.
    1. En la consola administrativa, pulse Seguridad > Gestión de claves y certificados SSL.
    2. Pulse Certificados y almacenes de claves.
    3. Pulse CellDefaultTrustStore.
    4. Pulse Certificados de firmante.
    5. Seleccione un firmante y pulse Extraer.
    6. Escriba una vía de acceso y un nombre de archivo exclusivos para el firmante. Por ejemplo, /tmp/signer1.arm.
    7. Pulse Aceptar. Repítalo para todos los firmantes del almacén de confianza.
    8. Consulte otros almacenes de confianza para otros firmantes que podrían tener que estar compartidos con el otro servidor. Repita los pasos, de la "e" a la "h" para extraer los demás firmantes.
    También puede importar un certificado de firmante, que también se conoce como certificado CA (entidad emisora de certificados), de un almacén de confianza de un servidor de la plataforma no z/OS a un conjunto de claves z/OS. El conjunto de claves z/OS contiene los certificados de firmante originados en el servidor de la plataforma no z/OS. Para obtener más información, consulte Importación de un certificado de firmante de un almacén de confianza a un conjunto de claves de z/OS.
  4. Añada los firmantes exportados a DummyServerTrustFile.jks y DummyClientTrustFile.jks en el directorio /etc de la versión del producto de niveles anteriores. Si el release anterior no utiliza el certificado ficticio, los certificados de firmante del release anterior se deben extraer y añadir al release de WebSphere Application Server Versión 9.0 para habilitar la conectividad SSL en ambas direcciones.
    1. Abra el programa de utilidad de gestión de claves, iKeyman, para dicha versión del producto.
    2. Inicie ikeyman.bat o ikeyman.sh desde el directorio ${USER_INSTALL_ROOT}/bin.
    3. Seleccione Archivo de base de datos de claves > Abrir.
    4. Abra ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks.
    5. Escriba WebAS para la contraseña.
    6. Seleccione Añadir y entre uno de los archivos extraídos en el paso 2. Continúe hasta que haya añadido todos los firmantes.
    7. Repita los pasos, de la "c" a la "f" para el archivo DummyClientTrustFile.jks.
  5. Compruebe que la aplicación utiliza el nombre JNDI (Java™ Naming and Directory Interface) y el puerto de rutina de carga de denominación correctos para realizar una búsqueda de denominación.
  6. Detenga y reinicie todos los servidores.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperaten
File name: tsec_interoperaten.html