移轉、共存和交互作業-安全考量
請利用這個主題,將舊版 WebSphere® Application Server 及其應用程式的安全配置移轉至新的 WebSphere Application Server安裝架構。
開始之前
本資訊解決了將安全配置從舊版 IBM® WebSphere Application Server 移轉至 WebSphere Application Server 9.0的需求。 請完成下列步驟來移轉安全配置:
- 如果在舊版中啟用安全,請取得舊版的管理伺服器 ID 和密碼。 需要此資訊才能執行某些移轉工作。
- 在移轉安裝之前,您可以選擇性地在舊版中停用安全。 安裝期間不需要登入。
![[z/OS]](../images/ngzos.svg)
在 z/OS®上移轉至 WebSphere Application Server 9.0 時,如果 scriptCompatibility 是 false,則 System SSL (SSSL) 類型的任何 SSLConfig 儲存庫都會轉換成 JSSE 類型。 當 SSLConfig 儲存庫屬於常駐程式時例外; 在此情況下,儲存庫不會從 SSSL 類型轉換成 JSSE 類型。
- 從 WebSphere Application Server 7.x 移轉至 9.0時,如果您有商業需要保留舊版中的安全審核日誌,您必須先在 7.x版中保存安全審核日誌檔。 WebSphere Application Server 不支援將安全審核日誌檔從舊版本移轉至 9.0。
- 在 z/OS 系統上從 WebSphere Application Server 7.x 版移轉至 9.0 時,如果您在 7.x 版上使用「可寫入系統授權機能 (SAF)」金鑰環設定,請確定在 9.0 系統上也啟用可寫入 SAF。 可寫入 SAF 是 RACF ® 設定。
- 如果您的 WebSphere Application Server 7.x 環境已啟用 Kerberos,且您要移轉至不同機器上的 9.0 版,則 Kerberos 的 keytab 和配置檔必須與 7.x 版機器上的 9.0 機器位於相同位置,否則配置將無法運作。
程序
- 移轉適當的產品配置。您可以移轉基本應用程式伺服器節點、部署管理程式及聯合節點。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
使用「首要步驟」主控台來存取 WebSphere Customization Toolbox,並執行「移轉管理工具」。- 透過啟動 firststeps.bat 或 firststeps.sh 檔案來啟動「首要步驟」主控台。firststeps 指令位於下列目錄中:
![[Linux]](../images/nglinux.svg)
![[AIX]](../images/ngaix.svg)
![[HP-UX]](../images/nghpux.svg)
![[Solaris]](../images/ngsolaris.svg)
./app_server_root/profiles/profile_name/firststeps/firststeps.sh![[Windows]](../images/ngwin.svg)
app_server_root\profiles\profile_name\firststeps\firststeps.bat
- 透過啟動 firststeps.bat 或 firststeps.sh 檔案來啟動「首要步驟」主控台。
![[IBM i]](../images/ngibmi.svg)
遵循 移轉產品配置中的步驟。
結果
舊版 WebSphere Application Server 及其應用程式的安全配置會移轉至新的 WebSphere Application Server 9.0安裝架構。
下一步
您必須移轉任何未移轉的自訂類別檔。
如果您要移轉 6.1 環境或更舊版本,且已啟用「系統授權機能 (SAF)」授權,請注意,先前稱為 z/OS 安全網域的 EJBROLE 設定檔名稱前面的說明字串術語已更新為 SAF profile
prefix。 此外, security.xml 檔案中對應的內容名稱已更新為 com.ibm.security.SAF.profilePrefix 舊內容名稱為 security.zOS.domainName 及 security.zOS.domainType。 該術語已變更,以更精確地說明此內容的用途,並避免與 7.0版中引進的 WebSphere 安全網域特性混淆。 如果指定 SAF 設定檔字首,且 scriptCompatiblity 是 false 值,在移轉期間不需要進一步動作; 舊內容會轉換成新內容。
如果舊版實例配置為使用數位 Certificate Manager (DCM) 本端憑證管理中心所簽署的數位憑證來啟用安全連線,則必須更新這些憑證。 例如,必須針對舊版實例、 WebSphere Application Server 9.0 設定檔,以及所有已啟用 Secure Socket Layer 的用戶端和連接至 WebSphere Application Server的伺服器更新它們。
IBM i 應用程式的 *SYSTEM 憑證儲存庫在 WebSphere Application Server 第 5 版中已淘汰。 在 WebSphere Application Server 9.0中,您必須移轉應用程式來使用 Java™ 金鑰儲存庫。
如果您要將已啟用「與 OS 執行緒同步」的 6.0.x 環境移轉至 9.0 環境,您應該瞭解下列移轉考量:- 除了指定想要使用舊版 WebSphere Application Server中所需要之「與 OS 執行緒同步」的應用程式和配置之外, RACF 管理者還必須定義資源角色,才能在 6.1 以及更新版本中運作「與 OS 執行緒同步」。 必須定義 FACILITY 類別設定檔,以容許或禁止使用「與 OS 執行緒同步」。 此外,也可以使用選用的 SURROGAT 類別設定檔,進一步精簡對特定已鑑別使用者的「與 OS 執行緒同步」使用。
請參閱 系統授權機能類別和設定檔。
- 在 6.1 版以及更新版本中,必須定義 FACILITY 類別設定檔,才能啟用授信應用程式。 WebSphere Applications Server 會在起始設定期間檢查這個 FACILITY 類別設定檔,以確保只啟用授權授信應用程式。 這個 FACILITY 類別設定檔會擴充 RACF 管理者的角色,以確保只啟用授權授信應用程式。
請參閱 系統授權機能類別和設定檔。