마이그레이션, 공존 및 상호 운용 - 보안 고려사항
이 주제를 사용하여 이전 WebSphere® Application Server 릴리스의 보안 구성 및 해당 애플리케이션을 WebSphere Application Server의 새 설치로 마이그레이션하십시오.
시작하기 전에
이 정보는 보안 구성을 IBM® WebSphere Application Server의 이전 릴리스에서 WebSphere Application Server 8.0로 마이그레이션해야 하는 필요성을 해결합니다. 다음 단계를 완료하여 보안 구성을 마이그레이션하십시오.
- 보안이 이전 릴리스에서 사용 가능으로 설정되면 이전 릴리스의 관리 서버 ID 및 비밀번호를 구하십시오. 이 정보는 특정 마이그레이션 작업을 실행하기 위해 필요합니다.
- 또는 설치를 마이그레이션하기 전에 이전 릴리스에서 보안을 사용 안함으로 설정할 수도 있습니다. 설치 중에는 로그온이 필요하지 않습니다.
z/OS®에서 WebSphere Application Server 8.0으로 마이그레이션할 때 scriptCompatibility가 false이면 유형 시스템(SSSL)의 SSLConfig 레퍼토리가 유형 JSSE로 변환됩니다. 예외는 SSLConfig 레퍼토리가 디먼에 속할 때입니다. 이 경우 레퍼토리는 유형 SSSL에서 유형 JSSE로 변환되지 않습니다.
- WebSphere Application Server 버전 7.x에서 버전 8.0으로 마이그레이션할 때 이전 릴리스의 보안 감사 로그를 보존해야 하는 비즈니스 요구사항이 있는 경우 먼저 버전 7.x에서 보안 감사 로그 파일을 아카이브해야 합니다. WebSphere Application Server는 이전 릴리스에서 버전 8.0으로의 보안 감사 로그 파일의 마이그레이션을 지원하지 않습니다.
z/OS 시스템에서 WebSphere Application Server 버전 7.x에서 버전 8.0으로 마이그레이션할 때, 버전 7.x에서 쓰기 가능한 SAF(System Authorization Facility) 키 링을 사용한 경우에는 쓰기 가능한 SAF가 버전 8 시스템에서도 사용 가능으로 설정되어 있는지 확인하십시오. 쓰기 가능한 SAF는 RACF® 설정입니다.
- 사용자의 WebSphere Application Server 버전 7.x 환경이 Kerberos에 대해 사용 가능으로 설정되고 다른 머신에서 버전 8.0으로 마이그레이션하는 중이면 Kerberos의 keytab 및 구성 파일은 버전 8.0 머신에서 버전 7.x 머신에서와 동일한 위치에 있어야 하고 그렇지 않으면 구성이 작동하지 않습니다.
프로시저
결과
이전 WebSphere Application Server 릴리스의 보안 구성과 해당 애플리케이션은 WebSphere Application Server 버전 9.0의 새 설치로 마이그레이션됩니다.
다음에 수행할 작업
마이그레이션되지 않은 사용자 정의 클래스 파일을 마이그레이션해야 합니다.
SAF(System Authorization Facility) 권한 부여가 사용 가능으로 설정된 상태에서
버전 6.1 환경 또는 이전 버전을 마이그레이션하는 경우에는 EJBROLE 프로파일 이름 앞에 추가되는 문자열을 설명하는 용어가 이전에는 z/OS 보안 도메인으로서 언급되었지만 "SAF 프로파일 접두부"로 업데이트되어야 함을 유의하십시오.
또한 security.xml 파일에서 해당하는 특성 이름이 com.ibm.security.SAF.profilePrefix로 업데이트되었습니다. 이전 특성은
security.zOS.domainName 및 security.zOS.domainType입니다.
용어는 이 특성의 목적을 설명하고 버전 7.0에서 도입된 WebSphere 보안 도메인 기능과의 혼동을 피하기 위해 보다 정확하게 변경되었습니다.
SAF 프로파일 접두부가 지정되고 scriptCompatiblity가 false 값이면,
마이그레이션 동안에 추가 조치가 필요하지 않습니다. 이전 특성이 새 특성으로 변환되었습니다.
![[z/OS]](../images/ngzos.gif)
이전 버전 인스턴스가 디지털 인증서 관리자(DCM) 로컬 인증 기관에 의해 서명된 디지털 인증서를 사용하여
연결을 보안하는 데 사용되도록 구성된 경우에는 이러한 인증서를 업데이트해야 합니다. 예를 들어, 이들은 WebSphere Application Server에 연결하는
이전 버전 인스턴스, WebSphere Application Server 버전 9.0 프로파일 및 모든 SSL(Secure Socket Layer) 사용가능 클라이언트
및 서버에 대해 업데이트되어야 합니다.
애플리케이션의 IBM i *SYSTEM
인증서 저장소는 WebSphere Application Server 버전 5에서는 더 이상 사용되지 않습니다. WebSphere Application Server 버전 9.0에서는 Java™ 키 저장소를 사용하려면 애플리케이션을
마이그레이션해야 합니다.
![[z/OS]](../images/ngzos.gif)
- WebSphere Application Server의 이전 버전에서 필수였던 OS 스레드에 동기화를 사용하기를 원함을
지정하는 애플리케이션 및 구성에 추가로 RACF 관리자는 OS 스레드에 동기화가 버전 6.1 이상에서 작동하려면 자원 역할을 정의해야 합니다.
OS 스레드에 동기화의 사용을 허용하거나 허용하지 않으려면 FACILITY 클래스 프로파일이 정의되어야 합니다.
또한 선택적 SURROGAT 클래스 파일이 OS 스레드에 동기화의 사용을 특정 인증된 사용자로 제한하기 위해서 사용될 수 있습니다.
SAF(System Authorization Facility) 클래스 및 프로파일의 내용을 참조하십시오.
- 버전 6.1 이상에서 FACILITY 클래스 프로파일은 신뢰 애플리케이션을 사용 가능으로 설정하기 위해 정의되어야 합니다.
WebSphere Applications
Server는 권한 부여된 신뢰 애플리케이션만이 사용 가능으로 설정될 수 있도록 하기 위해 초기화 중에 이
FACILITY 클래스 프로파일을 확인합니다. 이 FACILITY 클래스 프로파일은 권한 부여된 신뢰 애플리케이션만이 사용 가능으로
설정될 수 있도록 하기 위해 RACF 관리자의 역할을 확대합니다.
SAF(System Authorization Facility) 클래스 및 프로파일의 내용을 참조하십시오.