迁移、共存和互操作安全性注意事项
使用本主题将先前 WebSphere® Application Server 发行版及其应用程序的安全性配置迁移到 WebSphere Application Server的新安装。
准备工作
此信息可满足将安全性配置从 IBM® WebSphere Application Server 的先前发行版迁移到 WebSphere Application Server 版本 9.0的需求。 完成以下步骤以迁移您的安全性配置:
- 如果前发行版中启用了安全性,请获取前发行版的管理服务器标识和密码。 运行某些迁移作业需要此信息。
- 在迁移安装前,可以有选择地在前发行版中禁用安全性。 安装期间,不需要登录。
![[z/OS]](../images/ngzos.svg)
如果在 z/OS®上迁移到 WebSphere Application Server V 9.0 时 scriptCompatibility 为 false,那么系统 SSL (SSSL) 类型的任何 SSLConfig 指令表都将转换为 JSSE 类型。 当 SSLConfig 指令表属于守护程序时例外;在这种情况下,不会将指令表从 SSSL 类型转换为 JSSE 类型。
- 从 WebSphere Application Server V 7.x 迁移到 V 9.0时,如果您有业务需要保留较旧发行版的安全性审计日志,那么必须首先归档 V 7.x中的安全性审计日志文件。 WebSphere Application Server 不支持将安全性审计日志文件从旧发行版迁移到 V 9.0。
- 在 z/OS 系统上从 WebSphere Application Server V 7.x 迁移到 V 9.0 时,如果在 V 7.x 上使用了可写系统授权工具 (SAF) 密钥环设置,请确保在 V 9.0 系统上也启用了可写 SAF。 可写 SAF 是 RACF® 设置。
- 如果为 Kerberos启用了 WebSphere Application Server V 7.x 环境,并且您要在另一台机器上迁移到 V 9.0 ,那么 Kerberos 的密钥表和配置文件必须与 V 7.x 机器上的密钥表和配置文件位于 V 9.0 机器上的相同位置,否则配置将不起作用。
过程
- 迁移相应的产品配置。可以迁移基本应用程序服务器节点、Deployment Manager 和联合节点。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
使用 "第一步" 控制台来访问 WebSphere Customization Toolbox,并运行迁移管理工具。- 通过启动 firststeps.bat 或 firststeps.sh 文件来启动 "第一步" 控制台。firststeps 命令位于以下目录:
![[Linux]](../images/nglinux.svg)
![[AIX]](../images/ngaix.svg)
![[HP-UX]](../images/nghpux.svg)
![[Solaris]](../images/ngsolaris.svg)
./app_server_root/profiles/profile_name/firststeps/firststeps.sh![[Windows]](../images/ngwin.svg)
app_server_root\profiles\profile_name\firststeps\firststeps.bat
- 通过启动 firststeps.bat 或 firststeps.sh 文件来启动 "第一步" 控制台。
![[IBM i]](../images/ngibmi.svg)
遵循 迁移产品配置中的步骤。
结果
先前 WebSphere Application Server 发行版及其应用程序的安全性配置将迁移到 WebSphere Application Server 版本 9.0的新安装。
下一步做什么?
必须迁移所有尚未迁移的定制类文件。
如果要在启用系统授权工具 (SAF) 授权的情况下迁移版本 6.1 环境或更低版本,请注意,描述 EJBROLE 概要文件名称 (先前称为 z/OS 安全域) 前面的字符串的术语已更新为 SAF profile
prefix。 另外,security.xml 文件中的相应属性名已更新为 com.ibm.security.SAF.profilePrefix。旧属性名是 security.zOS.domainName 和 security.zOS.domainType。 该术语已更改为更准确地描述此属性的用途,并避免与版本 7.0中引入的 WebSphere 安全域功能混淆。 如果指定 SAF 概要文件前缀,且 scriptCompatiblity 值为 false,那么在迁移期间无须执行进一步操作;会将旧属性转换为新属性。
如果先前版本的实例配置成使用由数字证书管理器 (DCM) 本地认证中心签署的数字证书来启用安全连接,那么必须更新这些证书。 例如,必须针对先前版本的实例, WebSphere Application Server V 9.0 概要文件以及连接到 WebSphere Application Server的所有支持安全套接字层的客户机和服务器进行更新。
在 WebSphere Application Server V 5 中不推荐使用应用程序的 IBM i *SYSTEM 证书库。 在 WebSphere Application Server V 9.0中,必须迁移应用程序以使用 Java™ 密钥库。
如果要将启用了 "与操作系统线程同步" 的 V6.0.X 环境迁移到 版本 9.0 环境,那么您应该了解以下迁移注意事项:- 除了指定希望使用 WebSphere Application Server的较低版本中所需的 "与操作系统线程同步" 的应用程序和配置外, RACF 管理员还必须定义资源角色,以便 "与操作系统线程同步" 在 V 6.1 和更高版本中运行。 必须定义 FACILITY
类概要文件以允许使用或禁止使用“与操作系统线程同步”。 而且,可以使用可选的 SURROGAT
类概要文件来进一步优化“与操作系统线程同步”以供特定认证用户使用。
请参阅 系统授权工具类和概要文件。
- 在 V6.1 及更高版本中,必须定义 FACILITY 类概要文件来启用可信应用程序。 WebSphere Applications Server 在初始化期间检查此 FACILITY 类概要文件,以确保仅启用授权可信应用程序。 此 FACILITY 类概要文件扩展了 RACF 管理员的角色,以确保仅启用授权可信应用程序。
请参阅 系统授权工具类和概要文件。