IBM® WebSphere® Application Server 与先前产品版本互操作。使用本主题来配置此行为。
开始之前
使用本地操作系统的 z/OS® 安全认证服务 (z/SAS) 安全性机制和基于系统授权工具 (SAF) 的授权实现互操作性。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
应用程序服务器的当前发行版识别充当管理员的用户的身份,此管理员以用于在服务器之间进行认证的用户的身份来管理应用程序服务器环境。在先前发行版中,用户必须指定服务器用户标识和密码作为在服务器之间进行认证的用户身份。在应用程序服务器的当前发行版中,将自动在内部生成服务器用户标识;但是,用户可以指定不自动生成服务器用户标识和密码。对于混合发行版单元,由于在应用程序服务器的下层版本中指定服务器用户标识和密码,因此,此选项尤其重要。在此类情况下,用户应该不要选择自动生成服务器用户标识,而改用在应用程序服务器的下层版本中指定的服务器用户标识和密码,以确保向后兼容性。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
仅当使用轻量级第三方认证 (LTPA) 认证机制和分布式用户注册表(如轻量级目录访问协议 (LDAP) 或分布式定制用户注册表)时,才能实现互操作性。大多数平台上的本地操作系统都不被视为分布式用户注册表(除了在 z/OS 环境内的 z/OS 上之外)。
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
过程
- 使用配置先前版本时使用的同一分布式用户注册表(即 LDAP 或定制)来配置 WebSphere Application Server V9.0。 确保所有产品版本共享同一 LDAP 用户注册表。
- 在管理控制台中,选择。
- 选择可用领域定义并单击“配置”。
如果 SAF 授权处于已禁用状态,请输入主管理用户名。 此标识是在本地操作系统中定义的具有管理特权的用户。如果未在使用本地操作系统和用户注册表,请选择存储在用户资源库中的服务器标识,然后输入服务器用户标识及关联的密码。启用管理安全性后,该用户名用来登录到管理控制台。WebSphere Application Server V6.1
需要区别于服务器用户身份的管理用户,以便可审计管理操作。注意: 在 WebSphere Application Server V5.x 和 V6.0.x
中,管理访问和内部进程通信都需要单一用户身份。迁移至 V9.0 时,此身份用作服务器用户身份。您需要对管理用户标识指定另一用户。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
输入主管理用户名。 此标识是在本地操作系统中定义的具有管理特权的用户。如果未在使用本地操作系统和用户注册表,请选择存储在用户资源库中的服务器标识,然后输入服务器用户标识及关联的密码。启用管理安全性后,该用户名用来登录到管理控制台。WebSphere Application Server V6.1
需要区别于服务器用户身份的管理用户,以便可审计管理操作。注意: 在 WebSphere Application Server V6.0.x
中,管理访问和内部进程通信都需要单一用户身份。迁移至 V9.0 时,此身份用作服务器用户身份。您需要对管理用户标识指定另一用户。
- 与 V6.0.x 或先前版本互操作时,必须选择“存储在用户资源库中的服务器标识”。输入服务器用户标识及关联的密码。
- 配置 LTPA 认证机制。应禁止 LTPA 密钥自动生成。否则,会失去前发行版使用的密钥。从 WebSphere Application Server V8.0
导出当前 LTPA 密钥,然后将它们导入至先前发行版或将先前发行版中的 LTPA 密钥导出至 V8.0。
- 在管理控制台中,选择。
- 在“认证机制和到期”中,单击 LTPA。
- 单击“密钥集合组”链接,然后单击在“密钥集组”面板中显示的密钥集合组。
- 清除“自动生成密钥”复选框。
- 单击“确定”,然后单击“密钥集组”面板上路径中的“认证机制和到期”。
- 向下滚动到“跨单元单点登录”部分,并输入在将 LTPA 密钥添加到文件时用于对这些密钥进行加密的密码。
- 再次输入密码以确认密码。
- 输入包含导出的密钥的标准密钥文件名。
- 单击“导出密钥”。
- 遵循前发行版中提供的指示信息以将导出的 LTPA 密钥导入该配置中。
- 如果要使用缺省 SSL 配置,请从 WebSphere Application Server V9.0 公共信任库抽取所有签署者证书。否则,请抽取需要被导入前发行版的签署者。
- 在管理控制台中,单击。
- 单击“密钥库和证书”。
- 单击 CellDefaultTrustStore。
- 单击“签署者证书”。
- 选择一个签署者,然后单击“抽取”。
- 输入签署者的唯一路径和文件名。 例如,/tmp/signer1.arm。
- 单击“确定”。对信任库中的所有签署者重复以上步骤。
- 检查其他信任库以获取需要与其他服务器共享的其他签署者。重复步骤 e 到 h 以抽取其他签署者。
您也可以将签署者证书(也称为认证中心 (CA) 证书)从非 z/OS 平台服务器上的信任库导入 z/OS 密钥环。z/OS 密钥环包含源于非 z/OS 平台服务器上的签署者证书。有关更多信息,请参阅“将信任库中的签署者证书导入至 z/OS 密钥环”。
- 将导出的签署者添加到后备级别产品版本的 /etc 目录中的 DummyServerTrustFile.jks 和 DummyClientTrustFile.jks 中。如果前发行版未在使用伪证书,那么必须抽取前发行版中的签署者证书,并将它们添加到
WebSphere Application Server V9.0 发行版以在两个方向启用 SSL 连接。
- 打开该产品版本的密钥管理实用程序 iKeyman。
- 从 ${USER_INSTALL_ROOT}/bin 目录启动 ikeyman.bat 或 ikeyman.sh。
- 选择。
- 打开 ${USER_INSTALL_ROOT}/etc/DummyServerTrustFile.jks。
- 输入 WebAS 作为密码。
- 选择“添加”并输入在步骤 2 中抽取的某个文件。 继续执行,直到您已添加所有签署者。
- 对 DummyClientTrustFile.jks 文件执行步骤 c 到 f。
- 验证应用程序执行命名查找时,是否使用了正确的 Java™ 命名和目录接口 (JNDI) 名称和命名引导程序端口。
- 停止并重新启动所有服务器。