IBM® WebSphere
Application Server interagit avec des versions précédentes
du produit. Cette rubrique permet de configurer ce comportement.
Avant de commencer
L'interopérabilité
peut être obtenue à l'aide du mécanisme de sécurité z/SAS (z/OS Secure Authentication Service)
pour une autorisation basée sur le système d'exploitation local et sur SAF (System Authorization Facility).
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
La version actuelle
du serveur d'applications distingue les identités de l'utilisateur-administrateur
(gérant l'environnement du serveur d'applications) de l'identité
de l'utilisateur utilisé pour l'authentification entre les serveurs. Dans les versions précédentes, l'utilisateur devait spécifier un ID utilisateur de serveur et un mot de passe,
comme ID utilisateur d'authentification entre les serveurs.
Dans la version actuelle
du serveur d'applications, l'ID utilisateur du serveur est généré automatiquement et
en interne ; toutefois, l'utilisateur peut faire en sorte que l'ID utilisateur de serveur et
le mot de passe ne soient pas générés automatiquement. Cette option est particulièrement importante
dans le cas des cellules de versions multiples, pour lesquelles l'ID utilisateur de serveur et le mot de passe
sont spécifiés dans une version inférieure du serveur d'applications. Dans un scénario semblable, l'utilisateur ne doit pas activer la génération automatique de l'ID utilisateur de serveur
mais utiliser l'ID utilisateur de serveur et le mot de passe spécifiés
dans la version inférieure du serveur d'applications, et ce afin de garantir une compatibilité arrière.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
L'interopérabilité
est possible uniquement lorsque le mécanisme d'authentification LTPA (Lightweight Third Party Authentication) est utilisé et qu'il est fait appel à un registre d'utilisateurs distribué (tel qu'un registre LDAP) ou un registre d'utilisateurs personnalisé distribué. Le registre LocalOS de la plupart des plateformes n'est pas considéré comme un registre utilisateurs distribué (excepté sur z/OS dans l'environnement z/OS).
Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.
Procédure
- Configurez WebSphere
Application Server Version 9.0 avec le même registre d'utilisateurs distribué (LDAP ou Personnalisé) que celui
configuré avec la version antérieure. Vérifiez que toutes les versions du produit se partagent le même registre
d'utilisateurs LDAP.
- Dans la console d'administration, sélectionnez .
- Choisissez une définition de domaine disponible, puis
cliquez sur Configurer.
Si l'autorisation SAF est désactivée, entrez un Nom de l'utilisateur administratif primaire. Il s'agit de l'identité de
l'utilisateur doté de privilèges d'administration définie dans le système d'exploitation local. Si vous n'utilisez pas le système d'exploitation et le registre d'utilisateurs locaux, sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez l'ID utilisateur du serveur et le mot de passe associé. Ce nom d'utilisateur permet de se connecter à la console d'administration lorsque la sécurité d'administration est activée. WebSphere
Application Server version 6.1 exige un utilisateur d'administration différent de l'identité de l'utilisateur de serveur pour que les actions d'administration puissent être auditées.Avertissement : Dans WebSphere
Application Server versions 5.x
et 6.0.x, une seule identité d'utilisateur est requise pour l'accès d'administration et la communication des processus internes. Lors de la migration vers la Version 9.0, cette identité est utilisée comme identité de l'utilisateur du serveur. Vous devez spécifier un autre utilisateur pour l'identité de l'utilisateur d'administration.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Entrez un Nom de l'utilisateur administratif primaire. Il s'agit de l'identité de
l'utilisateur doté de privilèges d'administration définie dans le système d'exploitation local. Si vous n'utilisez pas le système d'exploitation et le registre d'utilisateurs locaux, sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez l'ID utilisateur du serveur et le mot de passe associé. Ce nom d'utilisateur permet de se connecter à la console d'administration lorsque la sécurité d'administration est activée. WebSphere
Application Server version 6.1 exige un utilisateur d'administration différent de l'identité de l'utilisateur de serveur pour que les actions d'administration puissent être auditées.Avertissement : Dans WebSphere
Application Server version 6.0.x, une seule identité d'utilisateur est requise pour l'accès d'administration et la communication des processus internes. Lors de la migration vers la Version 9.0, cette identité est utilisée comme identité de l'utilisateur du serveur. Vous devez spécifier un autre utilisateur pour l'identité de l'utilisateur d'administration.
- Lors d'une interaction avec la version 6.0.x ou les versions précédentes, vous devez sélectionner l'identité de serveur stockée dans le référentiel utilisateur.
Entrez l'ID utilisateur du serveur et le
mot de passe associé.
- Configurez le mécanisme d'authentification LTPA. La
génération automatique de clés LTPA doit être désactivée. Si elle ne l'est pas, les clés utilisées par une version précédente sont perdues. Exportez
les clés LTPA en cours depuis WebSphere Application Server version
8.0 et importez-les dans la version antérieure ou exportez les clés
LTPA depuis la version précédente vers la version 8.0.
- Dans la console d'administration, sélectionnez .
- Dans le menu Mécanismes d'authentification et
expiration, cliquez sur LTPA.
- Cliquez sur le lien Groupes d'ensembles de clés, puis cliquez sur le groupe d'ensemble de clés qui s'affiche dans la fenêtre des Groupes d'ensembles de clés.
- Désélectionnez la case Générer des clés automatiquement.
- Cliquez sur OK, puis sur Mécanismes d'authentification
et expiration dans le chemin situé dans la fenêtre des Groupes d'ensembles de clés.
- Faites défiler la page pour accéder à la section Ouverture d'une session intercellulaire et entrez un mot de passe à utiliser pour le chiffrement des clés LTPA lors de leur ajout au fichier.
- Entrez à nouveau le mot de passe pour confirmer celui-ci.
- Entrez le Nom de fichier de clés qualifié complet qui contient
les clés exportées.
- Cliquez sur Exportation de clés.
- Suivez les instructions fournies dans la version antérieure pour
importer les clés LTPA exportées dans cette configuration.
- Si vous utilisez la configuration SSL par défaut, extrayez tous les certificats de signataires du fichier commun de clés certifiées WebSphere
Application Server Version 9.0.
Sinon, extrayez les signataires nécessaires pour les importer dans la version antérieure.
- Dans la console d'administration, sélectionnez .
- Cliquez sur Magasins de clés et certificats.
- Cliquez sur CellDefaultTrustStore.
- Cliquez sur Certificats signataires.
- Sélectionnez un signataire et cliquez sur Extraire.
- Entrez un chemin d'accès et un nom de fichier uniques pour le signataire. Par exemple, /tmp/signer1.arm.
- Cliquez sur OK. Répétez l'opération pour tous les signataires
du magasin de tiers dignes de confiance.
- Vérifiez si les autres magasins de tiers dignes de confiance n'ont pas d'autres signataires susceptibles de devoir être partagés avec l'autre serveur. Répétez les étapes e à h pour extraire les autres signataires.
Vous pouvez également importer un certificat signataire, également appelé certificat d'autorité de certification (CA), à partir d'un fichier de clés certifiés sur un serveur de plate-forme autre que z/OS vers un fichier de clés z/OS. Le fichier de clés z/OS contient les certificats signataires provenant du serveur de plate-forme autre que z/OS. Pour plus d'informations, consultez la rubrique Importation d'un certificat signataire à partir d'un magasin de tiers dignes de confiance dans un fichier de clés z/OS.
- Ajoutez les signataires exportés à DummyServerTrustFile.jks et DummyClientTrustFile.jks dans le répertoire /etc de la version antérieure du produit. Si la version antérieure n'utilise pas le certificat factice, les certificats de signataire de la version antérieure doivent être extraits et ajoutés à WebSphere
Application Server Version 9.0 pour activer la connectivité SSL dans les deux sens.
- Ouvrez l'utilitaire de gestion de clés, iKeyman, pour cette version du produit.
- Exécutez ikeyman.bat ou ikeyman.sh à partir du répertoire ${USER_INSTALL_ROOT}/bin.
- Sélectionnez .
- Ouvrez ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks.
- Entrez le mot de passe WebAS.
- Sélectionnez Ajouter, puis entrez l'un des fichiers extraits à l'étape 2. Continuez jusqu'à ce vous ayez ajouté tous les signataires.
- Répétez les étapes c à f pour le fichier DummyClientTrustFile.jks.
- Vérifiez que l'application utilise le nom JNDI (Java™ Naming
and Directory Interface) correct. Vérifiez également que le port d'amorçage de nommage approprié
est utilisé pour la recherche des noms.
- Arrêtez puis redémarrez tous les serveurs.