迁移、共存和互操作安全性注意事项
使用本主题将先前发行版的 WebSphere® Application Server 及其应用程序的安全性配置迁移至 WebSphere Application Server 的新安装。
开始之前
此信息解决将先前发行版的 IBM® WebSphere Application Server 的安全性配置迁移至 WebSphere Application Server 8.0 的需要。完成以下步骤以迁移您的安全性配置:
- 如果前发行版中启用了安全性,请获取前发行版的管理服务器标识和密码。运行某些迁移作业需要此信息。
- 在迁移安装前,可以有选择地在前发行版中禁用安全性。安装期间,不需要登录。
如果在 z/OS® 上迁移到 WebSphere Application Server 8.0 时 scriptCompatibility 为 false,那么类型为系统 SSL (SSSL) 的任何 SSLConfig 指令表将转换为 JSSE 类型。当 SSLConfig 指令表属于守护程序时例外;在这种情况下,不会将指令表从 SSSL 类型转换为 JSSE 类型。
- 从 WebSphere Application Server V7.x 迁移至 V8.0 时,如果因为业务需要而保留旧发行版中的安全审计日志文件,那么必须先归档 V7.x 中的安全审计日志文件。WebSphere Application Server 不支持将之前发行版中的安全审计日志文件迁移至 V8.0。
在 z/OS 系统上从 WebSphere Application Server V7.x 迁移至 V8.0 时,如果在 V7.x 上使用了可写系统授权工具 (SAF) 密钥环设置,请确保同时在 V8 系统上启用了可写 SAF。可写 SAF 是一个 RACF® 设置。
- 如果 WebSphere Application Server V7.x 环境启用了 Kerberos,并且您要在另一台机器上迁移至 V8.0,那么 Kerberos 的密钥表和配置文件在 V8.0 机器和 V7.x 机器上必须位于相同位置,否则配置将不工作。
过程
结果
先前发行版的 WebSphere Application Server 及其应用程序的安全性配置已迁移至 WebSphere Application Server V9.0 的新安装。
下一步做什么
必须迁移所有尚未迁移的定制类文件。
如果正在迁移已启用系统授权工具 (SAF) 授权的 V6.1 或更低版本的环境,请注意用于描述添加到 EJBROLE 概要文件名前面的字符串的术语(先前称为 z/OS 安全域)已更新为“SAF 概要文件前缀”。另外,security.xml 文件中的相应属性名已更新为 com.ibm.security.SAF.profilePrefix。旧属性名是 security.zOS.domainName 和 security.zOS.domainType。此术语已更改,以更准确地描述此属性的用途,以免用户将其与 V7.0 中引入的 WebSphere 安全域功能部件混淆。如果指定 SAF 概要文件前缀,且 scriptCompatiblity 值为 false,那么在迁移期间无须执行进一步操作;会将旧属性转换为新属性。
![[z/OS]](../images/ngzos.gif)
如果先前版本的实例配置成使用由数字证书管理器 (DCM) 本地认证中心签署的数字证书来启用安全连接,那么必须更新这些证书。例如,对于先前版本的实例、WebSphere Application Server V9.0
概要文件和所有连接到
WebSphere Application Server 的启用了安全套接字层的客户机和服务器,必须更新这些证书。
建议不要对
WebSphere Application Server V5 中的应用程序使用 IBM i *SYSTEM
证书库。在 WebSphere Application Server V9.0
中,必须迁移应用程序才能使用 Java™ 密钥库。
![[z/OS]](../images/ngzos.gif)
- 除了定义那些指定期望使用
WebSphere Application Server 的早期版本中所需要的“与操作系统线程同步”的应用程序和配置以外,RACF 管理员还必须定义资源角色,以便在 V6.1 和更高版本中使用“与操作系统线程同步”。必须定义 FACILITY
类概要文件以允许使用或禁止使用“与操作系统线程同步”。而且,可以使用可选的 SURROGAT
类概要文件来进一步优化“与操作系统线程同步”以供特定认证用户使用。
请参阅
系统授权工具类和概要文件。
- 在 V6.1 和更高版本中,必须定义 FACILITY 类概要文件来启用可信应用程序。WebSphere Applications Server 在初始化期间检查此 FACILITY 类概要文件,以确保仅启用授权的可信应用程序。此 FACILITY 类概要文件扩展 RACF 管理员的角色,以确保仅启用授权的可信应用程序。
请参阅
系统授权工具类和概要文件。