迁移、共存和互操作安全性注意事项

使用本主题将先前发行版的 WebSphere® Application Server 及其应用程序的安全性配置迁移至 WebSphere Application Server 的新安装。

开始之前

此信息解决将先前发行版的 IBM® WebSphere Application Server 的安全性配置迁移至 WebSphere Application Server 8.0 的需要。完成以下步骤以迁移您的安全性配置:

  • 如果前发行版中启用了安全性,请获取前发行版的管理服务器标识和密码。运行某些迁移作业需要此信息。
  • 在迁移安装前,可以有选择地在前发行版中禁用安全性。安装期间,不需要登录。
  • [z/OS]如果在 z/OS® 上迁移到 WebSphere Application Server 8.0 时 scriptCompatibility 为 false,那么类型为系统 SSL (SSSL) 的任何 SSLConfig 指令表将转换为 JSSE 类型。当 SSLConfig 指令表属于守护程序时例外;在这种情况下,不会将指令表从 SSSL 类型转换为 JSSE 类型。
注: 在 WebSphere Application Server V8.0 中,一定要注意以下附加安全性迁移要求:
  • 从 WebSphere Application Server V7.x 迁移至 V8.0 时,如果因为业务需要而保留旧发行版中的安全审计日志文件,那么必须先归档 V7.x 中的安全审计日志文件。WebSphere Application Server 不支持将之前发行版中的安全审计日志文件迁移至 V8.0。
  • [z/OS]在 z/OS 系统上从 WebSphere Application Server V7.x 迁移至 V8.0 时,如果在 V7.x 上使用了可写系统授权工具 (SAF) 密钥环设置,请确保同时在 V8 系统上启用了可写 SAF。可写 SAF 是一个 RACF® 设置。
  • 如果 WebSphere Application Server V7.x 环境启用了 Kerberos,并且您要在另一台机器上迁移至 V8.0,那么 Kerberos 的密钥表和配置文件在 V8.0 机器和 V7.x 机器上必须位于相同位置,否则配置将不工作。

过程

结果

先前发行版的 WebSphere Application Server 及其应用程序的安全性配置已迁移至 WebSphere Application Server V9.0 的新安装。

下一步做什么

必须迁移所有尚未迁移的定制类文件。

[z/OS]如果正在迁移已启用系统授权工具 (SAF) 授权的 V6.1 或更低版本的环境,请注意用于描述添加到 EJBROLE 概要文件名前面的字符串的术语(先前称为 z/OS 安全域)已更新为“SAF 概要文件前缀”。另外,security.xml 文件中的相应属性名已更新为 com.ibm.security.SAF.profilePrefix。旧属性名是 security.zOS.domainNamesecurity.zOS.domainType。此术语已更改,以更准确地描述此属性的用途,以免用户将其与 V7.0 中引入的 WebSphere 安全域功能部件混淆。如果指定 SAF 概要文件前缀,且 scriptCompatiblity 值为 false,那么在迁移期间无须执行进一步操作;会将旧属性转换为新属性。

[z/OS]
注: SAF 分布式身份映射功能在混合版本单元(WebSphere Application Server V9.0 之前的节点)中不受支持。

[IBM i]如果先前版本的实例配置成使用由数字证书管理器 (DCM) 本地认证中心签署的数字证书来启用安全连接,那么必须更新这些证书。例如,对于先前版本的实例、WebSphere Application Server V9.0 概要文件和所有连接到 WebSphere Application Server 的启用了安全套接字层的客户机和服务器,必须更新这些证书。

[IBM i]建议不要对 WebSphere Application Server V5 中的应用程序使用 IBM i *SYSTEM 证书库。在 WebSphere Application Server V9.0 中,必须迁移应用程序才能使用 Java™ 密钥库。

[z/OS]如果要将启用了“与操作系统线程同步”的 V6.0.x 环境迁移至 V9.0 环境,应注意以下迁移注意事项:
  • 除了定义那些指定期望使用 WebSphere Application Server 的早期版本中所需要的“与操作系统线程同步”的应用程序和配置以外,RACF 管理员还必须定义资源角色,以便在 V6.1 和更高版本中使用“与操作系统线程同步”。必须定义 FACILITY 类概要文件以允许使用或禁止使用“与操作系统线程同步”。而且,可以使用可选的 SURROGAT 类概要文件来进一步优化“与操作系统线程同步”以供特定认证用户使用。

    请参阅[z/OS]系统授权工具类和概要文件

  • 在 V6.1 和更高版本中,必须定义 FACILITY 类概要文件来启用可信应用程序。WebSphere Applications Server 在初始化期间检查此 FACILITY 类概要文件,以确保仅启用授权的可信应用程序。此 FACILITY 类概要文件扩展 RACF 管理员的角色,以确保仅启用授权的可信应用程序。

    请参阅[z/OS]系统授权工具类和概要文件


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_migrate
文件名:tsec_migrate.html