マイグレーション、共存、および相互運用 - セキュリティーに関する考慮事項

このトピックを使用して、WebSphere® Application Server の前のリリースおよびそのアプリケーションのセキュリティー構成を、新規にインストールした WebSphere Application Server にマイグレーションします。

始める前に

この情報では、前のリリースの IBM® WebSphere Application Server から WebSphere Application Server 8.0 へのセキュリティー構成のマイグレーションの必要性について説明します。以下のステップを実行して、セキュリティー構成のマイグレーションを行ってください。

  • 前のリリースでセキュリティーが使用可能になっている場合は、前のリリースの管理サーバー ID およびパスワードを入手してください。この情報は、特定のマイグレーション・ジョブを実行するために必要です。
  • オプションで、インストールをマイグレーションする前に、前のリリースでセキュリティーを使用不可にすることもできます。インストール中は、ログオンする必要はありません。
  • [z/OS]z/OS® 上の WebSphere Application Server 8.0 へのマイグレーション時に、scriptCompatibility が false に設定されていると、タイプ System SSL (SSSL) の SSLConfig レパートリーはすべてタイプ JSSE に変換されます。SSLConfig レパートリーがデーモンに属している場合は例外です。 その場合、そのレパートリーはタイプ SSSL からタイプ JSSE に変換されません。
注: WebSphere Application Server バージョン 8.0 では、セキュリティーのために、 以下のマイグレーション要件にも注意してください。
  • WebSphere Application Server バージョン 7.x からバージョン 8.0 にマイグレーションする際に、業務上、古いリリースのセキュリティー監査ログを保持する必要がある場合は、最初にバージョン 7.x のセキュリティー監査ログ・ファイルを保存する必要があります。WebSphere Application Server では、古いリリースからバージョン 8.0 へのセキュリティー監査ログ・ファイルのマイグレーションはサポートされていません。
  • [z/OS]z/OS システムで WebSphere Application Server バージョン 7.x からバージョン 8.0 にマイグレーションするときに、 バージョン 7.x で書き込み可能 SAF (System Authorization Facility) 鍵リングの設定を 使用していた場合は、必ずバージョン 8 のシステムでも書き込み可能 SAF を 使用可能にしてください。書き込み可能 SAF は RACF® の設定です。
  • ご使用の WebSphere Application Server バージョン 7.x の環境で Kerberos を使用可能にしており、 別のマシンのバージョン 8.0 にマイグレーションする場合は、 バージョン 8.0 のマシンでもバージョン 7.x のマシンの場合と 同じ場所に Kerberos のキータブ・ファイルおよび構成ファイルを格納しなければ、 構成は機能しません。

手順

タスクの結果

WebSphere Application Server の前のリリースおよびそのアプリケーションのセキュリティー構成が、新規にインストールした WebSphere Application Server バージョン 9.0 にマイグレーションされています。

次のタスク

マイグレーションされていないすべてのカスタム・クラス・ファイルをマイグレーションする必要があります。

[z/OS]System Authorization Facility (SAF) 許可を使用可能にしてバージョン 6.1 以前の環境をマイグレーションする場合は、EJBROLE プロファイル名の前に付加されるストリングを説明する用語 (これまで z/OS セキュリティー・ドメインといわれていたもの) が「SAF プロファイル接頭部」に更新されているので注意してください。さらに、security.xml ファイル内の対応するプロパティー名は com.ibm.security.SAF.profilePrefix に更新されています。古いプロパティー名は security.zOS.domainName および security.zOS.domainType です。 このプロパティーの目的をより正確に表すため、およびバージョン 7.0 で 導入された WebSphere の セキュリティー・ドメイン機能との混同を避けるために、 用語が変更されました。SAF プロファイル接頭部 (SAF profile prefix) が指定されており、scriptCompatiblity の値が false である場合は、マイグレーション時に追加のアクションは必要ありません。古いプロパティーは新しいプロパティーに変換されます。

[z/OS]
注: SAF 分散 ID マッピング機能は、 バージョン混合セル (WebSphere Application Server バージョン 9.0 より 前のバージョンのノード) ではサポートされていません。

[IBM i]以前のバージョンのインスタンスが、デジタル証明書マネージャー (DCM) ローカル認証局によって署名されたデジタル証明書を使用したセキュア接続を使用可能にするように構成されている場合は、それらの証明書を更新する必要があります。例えば、以前のバージョンのインスタンス、WebSphere Application Server バージョン 9.0 のプロファイル、および WebSphere Application Server に接続するすべての Secure Socket Layer 対応クライアントおよびサーバーについて、それらの証明書を更新する必要があります。

[IBM i]アプリケーションの IBM i *SYSTEM 証明書ストアは、WebSphere Application Server バージョン 5 では推奨されていません。WebSphere Application Server バージョン 9.0 バージョン 7.0 では、Java™ 鍵ストアを使用してアプリケーションをマイグレーションする必要があります。

[z/OS]Sync to OS Thread が使用可能になっているバージョン 6.0.x 環境をバージョン 9.0 環境にマイグレーションする場合は、以下のマイグレーションに関する考慮事項に注意してください。
  • WebSphere Application Server の以前のバージョンで必要とされていた Sync to OS Thread がバージョン 6.1 以降でも作動するようにするには、必要な Sync to OS Thread の使用をアプリケーションと構成で指定するだけでなく、RACF 管理者がリソースのロールを定義する必要もあります。Sync to OS Thread を許可または不許可にするために、FACILITY クラス・プロファイルを定義する必要があります。また、オプションの SURROGAT クラス・プロファイル を使用して、特定の認証済みユーザーに対する Sync to OS Thread の使用をさらに改良することもできます。

    [z/OS]System Authorization Facility のクラスおよびプロファイルを参照してください。

  • バージョン 6.1 以降でトラステッド・アプリケーションを使用可能にするには、FACILITY クラス・プロファイルを定義する必要があります。WebSphere Applications Server は、許可されたトラステッド・アプリケーションのみが使用可能になるように、初期化の際にこの FACILITY クラス・プロファイルを検査します。 この FACILITY クラス・プロファイルは、許可されたトラステッド・アプリケーションのみが使用可能になるように、RACF 管理者のロールを拡張します。

    [z/OS]System Authorization Facility のクラスおよびプロファイルを参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_migrate
ファイル名:tsec_migrate.html