IBM® WebSphere® Application Server は、製品の以前のバージョンと相互運用します。このトピックを使用して、この振る舞いを構成します。
始める前に
インターオペラビリティーは、ローカル OS および System Authorization Facility (SAF) ベースの許可に z/OS® Secure Authentication Service
(z/SAS) セキュリティー・メカニズムを使用して達成されます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Application Server の
現行リリースでは、管理者として Application Server 環境を
管理するユーザーの ID と、サーバー間での認証に使用される
ユーザーの ID とは区別されます。
以前のリリースでは、ユーザーが、サーバー・ユーザー ID とパスワードを
サーバー間で認証を行う際のユーザー ID として指定する必要がありました。Application Server の
現行リリースでは、サーバー・ユーザー ID は内部で自動的に生成されます。
ただしユーザーは、サーバー・ユーザー ID とパスワードが自動生成されないように
指定することもできます。このオプションは、複数のリリースが使用されているセルでは特に重要です。
そういうセルでは、サーバー・ユーザー ID とパスワードは、Application Server の下位レベル・バージョンで指定されます。
その場合、ユーザーは、下位レベルとの互換性を確保するために、
サーバー・ユーザー ID の自動生成を行う代わりに、
Application Server の下位レベル・バージョンで指定されるサーバー・ユーザー ID とパスワードを使用する必要があります。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Lightweight Third Party Authentication (LTPA) 認証メカニズムと
Lightweight Directory Access Protocol (LDAP) または分散カスタム・ユーザー・レジストリーなどの分散ユーザー・レジストリー、の両方が使用された場合にのみ、インターオペラビリティーが実現されます。ほとんどのプラットフォームのローカル
OS は、分散ユーザー・レジストリーとは見なされません (ただし、z/OS 環境内の z/OS を除く)。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
手順
- WebSphere Application Server バージョン 9.0 を、以前のバージョンで構成されたのと同じ分散ユーザー・レジストリー (つまり、LDAP または Custom) を使用して構成します。 製品のすべてのバージョンで、同じ LDAP ユーザー・レジストリーが共有されていることを確認してください。
- 管理コンソールで、と選択します。
- 有効なレルム定義を選択して、「構成」をクリックします。
SAF 許可が使用不可になっている場合、「1 次管理ユーザー名」を入力します。 これは、
ローカル・オペレーティング・システムで定義される管理特権を持つ
ユーザーの ID です。ローカル OS およびユーザー・レジストリーを使用しない場合、
「ユーザー・リポジトリーに保管されているサーバー ID (Server identity that is stored in the user
repository)」を選択し、サーバー・ユーザー ID および関連付けられた
パスワードを入力します。このユーザー名は、管理セキュリティーが有効になっている場合に管理コンソールへの
ログオンに使用されます。WebSphere Application Server バージョン 6.1 では、管理アクションの監査を可能にするために、サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 5.x および
6.0.x では、単一のユーザー ID が管理アクセスおよび内部プロセス通信の両方に対して必要です。
バージョン 9.0 にマイグレーションする場合は、この ID はサーバーのユーザー ID として使用されます。管理ユーザー ID には、別のユーザーを指定する必要があります。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
「Primary administrative user name」を入力します。 これは、ローカル・オペレーティング・システムで定義される管理特権を持つ
ユーザーの ID です。ローカル OS およびユーザー・レジストリーを使用しない場合、
「ユーザー・リポジトリーに保管されているサーバー ID (Server identity that is stored in the user
repository)」を選択し、サーバー・ユーザー ID および関連付けられた
パスワードを入力します。このユーザー名は、管理セキュリティーが有効になっている場合に管理コンソールへの
ログオンに使用されます。WebSphere Application Server バージョン 6.1 では、管理アクションの監査を可能にするために、サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 6.0.x では、単一のユーザー ID が管理アクセスおよび内部プロセス通信の両方に対して必要です。バージョン 9.0 にマイグレーションする場合は、この ID はサーバーのユーザー ID として使用されます。管理ユーザー ID には、別のユーザーを指定する必要があります。
- バージョン 6.0.x
または以前のバージョンと相互運用する場合、ユーザー・リポジトリーに保管されているサーバー ID を選択する必要があります。
サーバー・ユーザー ID および関連付けられたパスワードを入力します。
- LTPA 認証メカニズムを構成します。LTPA 鍵の自動生成を無効にする必要があります。そうでない場合、
前のリリースが使用した鍵が失われます。現行の LTPA 鍵
を WebSphere Application Server バージョン 8.0 からエクスポートして、それらを
前のリリースにインポートするか、または、前のリリースからバージョン 8.0 に LTPA 鍵を
エクスポートします。
- 管理コンソールで、と選択します。
- 「認証メカニズムおよび有効期限」で、「LTPA」をクリックします。
- 「鍵セット・グループ」リンクをクリックし、次に「鍵セット・グループ」パネルに表示される鍵セット・グループをクリックします。
- 「自動的に鍵を生成」チェック・ボックスをクリアします。
- 「OK」をクリックし、次に「鍵セット・グループ」パネルにあるパスの
「認証メカニズムおよび有効期限」をクリックします。
- クロスセル・シングル・サインオン・セクションにスクロールダウンして、LTPA 鍵をファイルに追加する場合に LTPA 鍵の暗号化に使用するパスワードを入力します。
- パスワードを再入力して、パスワードを確認します。
- エクスポートされた鍵を含む「完全修飾鍵ファイル名」を入力します。
- 「鍵のエクスポート」をクリックします。
- 前のリリースで提供された指示に従い、エクスポートされ
た LTPA 鍵を構成にインポートします。
- デフォルトの SSL 構成を使用する場合、
WebSphere Application Server バージョン 9.0 共通トラストストアからすべての署名者証明書を抽出します。または、
必要な場合に署名者を抽出して、これらを前のリリースにインポートします。
- 管理コンソールで、とクリックします。
- 「鍵ストアおよび証明書」をクリックします。
- 「CellDefaultTrustStore」をクリックします。
- 「署名者証明書」をクリックします。
- 1 人の署名者を選択して、「抽出」をクリックします。
- 署名者の固有のパスおよびファイル名を入力します。 例えば、/tmp/signer1.arm などです。
- 「OK」 をクリックします。トラストストア内のすべての署名者に対しても同様に行います。
- その他のサーバーと共有する必要があるその他の署名者のその他のトラストストアをチェックします。e から h の
ステップを繰り返して、その他の署名者を抽出します。
また、署名者証明書 (認証局 (CA) 証明書とも呼ばれる) を、非 z/OS プラットフォーム・サーバーのトラストストアから z/OS 鍵リングにインポートすることができます。
z/OS 鍵リングには、
非 z/OS
プラットフォーム・サーバーで作成された署名者証明書が含まれています。
詳しくは、『トラストストアから z/OS 鍵リングへの署名者証明書のインポート』を参照してください。
- エクスポートされた署名者を、
バックレベル製品バージョンの /etc ディレクトリーの DummyServerTrustFile.jks および DummyClientTrustFile.jks に追加します。
前のリリースがダミー証明書を使用しない場合、前のリリースの署名者証明書を抽出して、WebSphere Application Server バージョン 9.0 リリースに追加し、両方の方向で SSL 接続を使用可能にする必要があります。
- その製品バージョンの鍵管理ユーティリティー iKeyman を開きます。
- ${USER_INSTALL_ROOT}/bin ディレクトリーから ikeyman.bat または ikeyman.sh を開始します。
- を選択します。
- ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks を開きます。
- パスワードの WebAS を入力します。
- 「追加」を選択して、ステップ 2 で抽出されたファイルの 1 つを入力します。 すべての署名者を追加するまで続けます。
- DummyClientTrustFile.jks ファイルに対して、ステップ c から f を繰り返します。
- ネーミング検索を実行するためにアプリケーションで正しい Java™ Naming
and Directory Interface (JNDI) 名およびネーミング・ブートストラップ・ポートが使用されているかを確認します。
- すべてのサーバーを停止してから再始動します。