Migrazione, coesistenza e interoperabilità: considerazioni sulla sicurezza

Utilizzare questo argomento per migrare la configurazione di sicurezza precedente WebSphere® Application Server versioni e le sue applicazioni alla nuova installazione di WebSphere Application Server.

Prima di iniziare

Queste informazioni rispondono alla necessità di migrare le configurazioni di sicurezza da una versione precedente di IBM® WebSphere Application Server A WebSphere Application Server Versione 8.5. Completa i seguenti passaggi per eseguire la migrazione delle configurazioni di sicurezza:

  • Se la sicurezza è abilitata nella versione precedente, ottenere l'ID del server amministrativo e la password della versione precedente. Queste informazioni sono necessarie per eseguire determinati processi di migrazione.
  • Facoltativamente è possibile disabilitare la sicurezza nella versione precedente prima di eseguire la migrazione dell'installazione. Non è richiesto alcun accesso durante l'installazione.
  • [z/OS]Se scriptCompatibility Èfalse durante la migrazione a WebSphere Application Server Versione 8.5 SU z/OS®, qualsiasi repertorio SSLConfig di tipo System SSL (SSSL) viene convertito nel tipo JSSE. L'eccezione si verifica quando il repertorio SSLConfig appartiene al demone; in questo caso il repertorio non viene convertito dal tipo SSSL al tipo JSSE.
Mancia: Tieni presente i seguenti requisiti di migrazione aggiuntivi per la sicurezza:
  • Durante la migrazione da WebSphere Application Server Versione 7.x A Versione 8.5, se hai l'esigenza aziendale di preservare i registri di controllo della sicurezza della versione precedente, devi prima archiviare i file di registro di controllo della sicurezza nella versione 7.x. WebSphere Application Server non supporta la migrazione dei file di registro di controllo della sicurezza dalla versione precedente a Versione 8.5.
  • [z/OS]Durante la migrazione da WebSphere Application Server Versione 7.x A Versione 8.5 su a z/OS system, se hai utilizzato un'impostazione keyring System Authorization Facility (SAF) scrivibile sulla versione 7.x assicurati che anche SAF scrivibile sia abilitato sul file Versione 8.5 sistema. SAF scrivibile è un file RACF® collocamento.
  • Se tuo WebSphere Application Server Versione 7.x l'ambiente è abilitato per Kerberos e stai eseguendo la migrazione verso Versione 8.5 su un computer diverso, il keytab e i file di configurazione per Kerberos deve trovarsi nella stessa posizione su Versione 8.5 macchina come nella versione 7.x macchina o la configurazione non funzionerà.

Procedura

  • [z/OS]Migrare la configurazione del prodotto appropriata.
    È possibile migrare il nodo del server delle applicazioni di base, un gestore distribuzione e un nodo federato.
  • [ AIX Solaris HP-UX Linux Finestre]Utilizza la console Primi passi per accedere a WebSphere Casella degli strumenti di personalizzazione ed eseguire lo strumento di gestione della migrazione.
    1. Avvia la console Primi passi avviando il filefirststeps.bat o ilfirststeps.sh file.
      ILfirststeps il comando si trova nella seguente directory:
      • [ AIX HP-UX Solaris][Linux][AIX][HP-UX][Solaris]./app_server_root/profiles/profile_name/firststeps/firststeps.sh
      • [Finestre]app_server_root\profiles\profile_name\firststeps\firststeps.bat
    2. Nel pannello della console Primi passi, fare clic su WebSphere Casella degli strumenti di personalizzazione.
    3. Apri lo strumento di gestione della migrazione.
    4. Seguire le istruzioni fornite per completare la migrazione.
  • [IBM i]Segui i passaggi nell'argomento su Migrazione delle configurazioni del prodotto.

Risultati

La configurazione di sicurezza precedente WebSphere Application Server le versioni e le relative applicazioni vengono migrate nella nuova installazione di WebSphere Application Server Versione 8.5.

Operazioni successive

È necessario eseguire la migrazione di tutti i file di classe personalizzati non migrati.

[z/OS]Se stai eseguendo la migrazione di una versione 6.1 ambiente o precedente con l'autorizzazione System Authorization Facility (SAF) abilitata, tenere presente che il termine che descrive la stringa anteposta ai nomi del profilo EJBROLE, a cui in precedenza si faceva riferimento come z/OS dominio di sicurezza, è stato aggiornato aSAF profile prefix . Inoltre, il nome della proprietà corrispondente nel filesecurity.xml il file è stato aggiornato acom.ibm.security.SAF.profilePrefix I vecchi nomi delle proprietà sonosecurity.zOS.domainName Esecurity.zOS.domainType . Il termine è cambiato per descrivere in modo più accurato lo scopo di questa proprietà e per evitare confusione con WebSphere funzionalità dei domini di sicurezza introdotta nella versione 7.0. Se viene specificato un prefisso del profilo SAF escriptCompatiblity è unfalse valore, non sono necessarie ulteriori azioni durante la migrazione; le vecchie proprietà vengono convertite nelle nuove proprietà.

[z/OS]
Nota: La funzionalità di mappatura delle identità distribuite SAF non è supportata in una cella con versione mista (nodi precedenti a WebSphere Application Server Versione 8.5).

[IBM i]Se l'istanza della versione precedente è configurata per abilitare connessioni sicure utilizzando certificati digitali firmati da Digital Certificate Manager (DCM) autorità di certificazione locale, tali certificati devono essere rinnovati. Ad esempio, devono essere rinnovati per l'istanza della versione precedente, la WebSphere Application Server Versione 8.5 profilo e tutti i client e server abilitati per Secure Socket Layer a cui si connettono WebSphere Application Server.

[IBM i]IBM i *Gli archivi certificati SYSTEM per le applicazioni sono deprecati in WebSphere Application Server Versione 5. In WebSphere Application Server Versione 8.5, è necessario eseguire la migrazione delle applicazioni per utilizzare gli archivi chiavi Java™.

[z/OS]Se stai eseguendo la migrazione di una versione 6.0. X ambiente con Sincronizzazione con thread del sistema operativo abilitato su a Versione 8.5 ambiente, è necessario tenere presente le seguenti considerazioni sulla migrazione:
  • Oltre all'applicazione e alla configurazione che specificano il desiderio di utilizzare la sincronizzazione con il thread del sistema operativo richiesto nelle versioni precedenti di WebSphere Application Server, IL RACF L'amministratore deve inoltre definire un ruolo di risorsa affinché la sincronizzazione con il thread del sistema operativo funzioni nella versione 6.1 e più tardi. È necessario definire un profilo di classe FACILITY per consentire o impedire l'uso di Sync to OS Thread. Inoltre, è possibile utilizzare un profilo di classe SURROGAT opzionale per perfezionare ulteriormente l'uso di Sync to OS Thread per particolari utenti autenticati.

    Vedere Classi e profili della System Authorization Facility.

  • Nella versione 6.1 e versioni successive, è necessario definire un profilo di classe FACILITY per abilitare le applicazioni attendibili. WebSphere Applications Server controlla questo profilo di classe FACILITY durante l'inizializzazione per garantire che siano abilitate solo le applicazioni attendibili autorizzate. Questo profilo di classe FACILITY espande il RACF ruolo dell'amministratore nel garantire che siano abilitate solo le applicazioni attendibili autorizzate.

    Vedere Classi e profili della System Authorization Facility.