Interopérabilité avec les versions précédentes du produit

IBM® WebSphere Application Server interagit avec des versions précédentes du produit. Cette rubrique permet de configurer ce comportement.

Avant de commencer

[z/OS]L'interopérabilité peut être obtenue à l'aide du mécanisme de sécurité z/SAS (z/OS Secure Authentication Service) pour une autorisation basée sur le système d'exploitation local et sur SAF (System Authorization Facility).

[AIX Solaris HP-UX Linux Windows][IBM i]La version actuelle du serveur d'applications distingue les identités de l'utilisateur-administrateur (gérant l'environnement du serveur d'applications) de l'identité de l'utilisateur utilisé pour l'authentification entre les serveurs. Dans les versions précédentes, l'utilisateur devait spécifier un ID utilisateur de serveur et un mot de passe, comme ID utilisateur d'authentification entre les serveurs. Dans la version actuelle du serveur d'applications, l'ID utilisateur du serveur est généré automatiquement et en interne ; toutefois, l'utilisateur peut faire en sorte que l'ID utilisateur de serveur et le mot de passe ne soient pas générés automatiquement. Cette option est particulièrement importante dans le cas des cellules de versions multiples, pour lesquelles l'ID utilisateur de serveur et le mot de passe sont spécifiés dans une version inférieure du serveur d'applications. Dans un scénario semblable, l'utilisateur ne doit pas activer la génération automatique de l'ID utilisateur de serveur mais utiliser l'ID utilisateur de serveur et le mot de passe spécifiés dans la version inférieure du serveur d'applications, et ce afin de garantir une compatibilité arrière.

[AIX Solaris HP-UX Linux Windows][IBM i]L'interopérabilité est possible uniquement lorsque le mécanisme d'authentification LTPA (Lightweight Third Party Authentication) est utilisé et qu'il est fait appel à un registre d'utilisateurs distribué (tel qu'un registre LDAP) ou un registre d'utilisateurs personnalisé distribué. Le registre LocalOS de la plupart des plateformes n'est pas considéré comme un registre utilisateurs distribué (excepté sur z/OS dans l'environnement z/OS).

[z/OS]Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.

Procédure

  1. Configurez WebSphere Application Server Version 9.0 avec le même registre d'utilisateurs distribué (LDAP ou Personnalisé) que celui configuré avec la version antérieure. Vérifiez que toutes les versions du produit se partagent le même registre d'utilisateurs LDAP.
    1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
    2. Choisissez une définition de domaine disponible, puis cliquez sur Configurer.
    3. [z/OS]Si l'autorisation SAF est désactivée, entrez un Nom de l'utilisateur administratif primaire. Il s'agit de l'identité de l'utilisateur doté de privilèges d'administration définie dans le système d'exploitation local. Si vous n'utilisez pas le système d'exploitation et le registre d'utilisateurs locaux, sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez l'ID utilisateur du serveur et le mot de passe associé. Ce nom d'utilisateur permet de se connecter à la console d'administration lorsque la sécurité d'administration est activée. WebSphere Application Server version 6.1 exige un utilisateur d'administration différent de l'identité de l'utilisateur de serveur pour que les actions d'administration puissent être auditées.
      Avertissement : Dans WebSphere Application Server versions 5.x et 6.0.x, une seule identité d'utilisateur est requise pour l'accès d'administration et la communication des processus internes. Lors de la migration vers la Version 9.0, cette identité est utilisée comme identité de l'utilisateur du serveur. Vous devez spécifier un autre utilisateur pour l'identité de l'utilisateur d'administration.
    4. [AIX Solaris HP-UX Linux Windows][IBM i]Entrez un Nom de l'utilisateur administratif primaire. Il s'agit de l'identité de l'utilisateur doté de privilèges d'administration définie dans le système d'exploitation local. Si vous n'utilisez pas le système d'exploitation et le registre d'utilisateurs locaux, sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez l'ID utilisateur du serveur et le mot de passe associé. Ce nom d'utilisateur permet de se connecter à la console d'administration lorsque la sécurité d'administration est activée. WebSphere Application Server version 6.1 exige un utilisateur d'administration différent de l'identité de l'utilisateur de serveur pour que les actions d'administration puissent être auditées.
      Avertissement : Dans WebSphere Application Server version 6.0.x, une seule identité d'utilisateur est requise pour l'accès d'administration et la communication des processus internes. Lors de la migration vers la Version 9.0, cette identité est utilisée comme identité de l'utilisateur du serveur. Vous devez spécifier un autre utilisateur pour l'identité de l'utilisateur d'administration.
    5. Lors d'une interaction avec la version 6.0.x ou les versions précédentes, vous devez sélectionner l'identité de serveur stockée dans le référentiel utilisateur. Entrez l'ID utilisateur du serveur et le mot de passe associé.
  2. Configurez le mécanisme d'authentification LTPA. La génération automatique de clés LTPA doit être désactivée. Si elle ne l'est pas, les clés utilisées par une version précédente sont perdues. Exportez les clés LTPA en cours depuis WebSphere Application Server version 8.0 et importez-les dans la version antérieure ou exportez les clés LTPA depuis la version précédente vers la version 8.0.
    1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
    2. Dans le menu Mécanismes d'authentification et expiration, cliquez sur LTPA.
    3. Cliquez sur le lien Groupes d'ensembles de clés, puis cliquez sur le groupe d'ensemble de clés qui s'affiche dans la fenêtre des Groupes d'ensembles de clés.
    4. Désélectionnez la case Générer des clés automatiquement.
    5. Cliquez sur OK, puis sur Mécanismes d'authentification et expiration dans le chemin situé dans la fenêtre des Groupes d'ensembles de clés.
    6. Faites défiler la page pour accéder à la section Ouverture d'une session intercellulaire et entrez un mot de passe à utiliser pour le chiffrement des clés LTPA lors de leur ajout au fichier.
    7. Entrez à nouveau le mot de passe pour confirmer celui-ci.
    8. Entrez le Nom de fichier de clés qualifié complet qui contient les clés exportées.
    9. Cliquez sur Exportation de clés.
    10. Suivez les instructions fournies dans la version antérieure pour importer les clés LTPA exportées dans cette configuration.
  3. Si vous utilisez la configuration SSL par défaut, extrayez tous les certificats de signataires du fichier commun de clés certifiées WebSphere Application Server Version 9.0. Sinon, extrayez les signataires nécessaires pour les importer dans la version antérieure.
    1. Dans la console d'administration, sélectionnez Sécurité > Certificat SSL et gestion des clés.
    2. Cliquez sur Magasins de clés et certificats.
    3. Cliquez sur CellDefaultTrustStore.
    4. Cliquez sur Certificats signataires.
    5. Sélectionnez un signataire et cliquez sur Extraire.
    6. Entrez un chemin d'accès et un nom de fichier uniques pour le signataire. Par exemple, /tmp/signer1.arm.
    7. Cliquez sur OK. Répétez l'opération pour tous les signataires du magasin de tiers dignes de confiance.
    8. Vérifiez si les autres magasins de tiers dignes de confiance n'ont pas d'autres signataires susceptibles de devoir être partagés avec l'autre serveur. Répétez les étapes e à h pour extraire les autres signataires.
    Vous pouvez également importer un certificat signataire, également appelé certificat d'autorité de certification (CA), à partir d'un fichier de clés certifiés sur un serveur de plate-forme autre que z/OS vers un fichier de clés z/OS. Le fichier de clés z/OS contient les certificats signataires provenant du serveur de plate-forme autre que z/OS. Pour plus d'informations, consultez la rubrique Importation d'un certificat signataire à partir d'un magasin de tiers dignes de confiance dans un fichier de clés z/OS.
  4. Ajoutez les signataires exportés à DummyServerTrustFile.jks et DummyClientTrustFile.jks dans le répertoire /etc de la version antérieure du produit. Si la version antérieure n'utilise pas le certificat factice, les certificats de signataire de la version antérieure doivent être extraits et ajoutés à WebSphere Application Server Version 9.0 pour activer la connectivité SSL dans les deux sens.
    1. Ouvrez l'utilitaire de gestion de clés, iKeyman, pour cette version du produit.
    2. Exécutez ikeyman.bat ou ikeyman.sh à partir du répertoire ${USER_INSTALL_ROOT}/bin.
    3. Sélectionnez Fichier de base de données de clés > Ouvrir.
    4. Ouvrez ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks.
    5. Entrez le mot de passe WebAS.
    6. Sélectionnez Ajouter, puis entrez l'un des fichiers extraits à l'étape 2. Continuez jusqu'à ce vous ayez ajouté tous les signataires.
    7. Répétez les étapes c à f pour le fichier DummyClientTrustFile.jks.
  5. Vérifiez que l'application utilise le nom JNDI (Java™ Naming and Directory Interface) correct. Vérifiez également que le port d'amorçage de nommage approprié est utilisé pour la recherche des noms.
  6. Arrêtez puis redémarrez tous les serveurs.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperaten
Nom du fichier : tsec_interoperaten.html