Interstage Application Server 移行ガイド
目次 索引 前ページ次ページ
第3章 Interstage Application Server V6からの移行> 3.7 Interstage シングル・サインオンの移行> 3.7.2 認証サーバの移行

3.7.2.1 Plusからの移行

 V6.0 Interstage Application Server Plusからの認証サーバの資源の移行手順について説明します。
 認証サーバを複数構築し運用している場合は、同時に移行してバージョンを合わせてください。

■移行手順

 移行は以下の手順で行います。

  1. 認証サーバ資源のバックアップ
  2. SSL通信を行うための環境のバックアップ
  3. パッケージのアンインストールとインストール
  4. SSL通信を行うための環境のリストア、または環境の構築
  5. 認証サーバ資源のリストア
  6. 認証サーバ定義ファイルの編集
  7. Webサーバ(Interstage HTTP Server)定義の編集
  8. 認証サーバの環境設定

1)認証サーバ資源のバックアップ

 認証サーバの資源をバックアップします。バックアップする資源は以下です。

  1. 認証サーバ定義ファイル
  2. サービスIDファイル
  3. Webサーバ(Interstage HTTP Server)環境定義ファイル

 なお、資源のバックアップ時はWebサーバ(Interstage HTTP Server)を停止してください。
 Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。
 以下に資源のバックアップの例を示します。


 バックアップ先パスがX:\Backup\ssoatcagの場合の操作例を以下に示します。

  1. copyコマンド(またはエクスプローラ)を使用して、以下の認証サーバの資源をバックアップ用ディレクトリにコピーします。
      copy C:\Interstage\F3FMsso\ssoatcag\conf\ssoatcag.conf X:\Backup\ssoatcag
      copy C:\Interstage\F3FMsso\ssoatcag\conf\serviceid X:\Backup\ssoatcag(注)
      copy C:\Interstage\F3FMihs\conf\httpd.conf X:\Backup\ssoatcag

 注)サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。


 バックアップ先パスが/backup/FJSVssoacの場合の操作例を以下に示します。

  1. cpコマンドを使用して、以下の認証サーバの資源をバックアップ用ディレクトリにコピーします。
      cp -p /etc/opt/FJSVssoac/conf/ssoatcag.conf /backup/FJSVssoac
      cp -p /etc/opt/FJSVssoac/conf/serviceid /backup/FJSVssoac(注)
      cp -p /etc/opt/FJSVihs/conf/httpd.conf /backup/FJSVssoac

 注)サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。

2)SSL通信を行うための環境のバックアップ

[認証サーバでSSL通信を行うための環境構築を行っている場合]

 Interstage証明書環境資源をバックアップします。
 以下に、資源のバックアップ例を示します。


 バックアップ先パスがX:\Backup\scsの場合の操作例を以下に示します。

  1. xcopyコマンド(またはエクスプローラ)を使用して、Interstage証明書環境資源をバックアップ用ディレクトリにコピーします。
      xcopy /E C:\Interstage\etc\security X:\Backup\scs


 バックアップ先パスが/backup/scsの場合の操作例を以下に示します。

  1. cpコマンドを使用して、Interstage証明書環境資源をバックアップ用ディレクトリにコピーします。
      cp -rp /etc/opt/FJSVisscs/security /backup/scs

 注)Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、ユーザアカウントやグループ等のシステムの情報についてもバックアップするようにしてください。

[認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合]

 SSL通信を行うための環境をバックアップする必要はありません。

3)パッケージのアンインストールとインストール

 現在インストールされているパッケージをアンインストール後、V7.0のパッケージをインストールします。

4)SSL通信を行うための環境のリストア、または環境の構築

[認証サーバでSSL通信を行うための環境構築を行っている場合]

 バックアップしたInterstage証明書環境資源をリストアします。
 以下に資源のリストアの例を示します。


 バックアップ先パスがX:\Backup\scsの場合の操作例を以下に示します。

  1. xcopyコマンド(またはエクスプローラ)を使用して、バックアップ用ディレクトリのInterstage証明書環境資源をもとのディレクトリにコピーします。
      xcopy /E X:\Backup\scs C:\Interstage\etc\security


 バックアップ先パスが/backup/scsの場合の操作例を以下に示します。

  1. cpコマンドを使用して、バックアップ用ディレクトリのInterstage証明書環境資源をもとのディレクトリにコピーします。
      cp -rp /backup/scs/security /etc/opt/FJSVisscs

 注)バックアップ前と同じディレクトリ、同じ権限でリストアしてください。また、Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、必要に応じ、ユーザアカウントやグループ等のシステムの情報についてもリストアするようにしてください。

[認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合]

 SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。

5)認証サーバ資源のリストア

 認証サーバの資源をリストアします。リストアする資源は以下です。

  1. 認証サーバ定義ファイル
  2. サービスIDファイル
  3. Webサーバ(Interstage HTTP Server)環境定義ファイル

 以下に資源のリストアの例を示します。


 バックアップ先パスがX:\Backup\ssoatcagの場合の操作例を以下に示します。

  1. copyコマンド(またはエクスプローラ)を使用して、バックアップ用ディレクトリの認証サーバの資源をもとのディレクトリにコピーします。
      copy X:\Backup\ssoatcag\ssoatcag.conf C:\Interstage\F3FMsso\ssoatcag\conf
      copy X:\Backup\ssoatcag\serviceid C:\Interstage\F3FMsso\ssoatcag\conf(注)
      copy X:\Backup\ssoatcag\httpd.conf C:\Interstage\F3FMihs\conf

 注)サービスIDファイルは必ずC:\Interstage\F3FMsso\ssoatcag\confにリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。


 バックアップ先パスが/backup/FJSVssoacの場合の操作例を以下に示します。

  1. cpコマンドを使用して、バックアップ用ディレクトリの認証サーバの資源をもとのディレクトリにコピーします。
      cp -p /backup/FJSVssoac/ssoatcag.conf /etc/opt/FJSVssoac/conf
      cp -p /backup/FJSVssoac/serviceid /etc/opt/FJSVssoac/conf(注)
      cp -p /backup/FJSVssoac/httpd.conf /etc/opt/FJSVihs/conf/httpd.conf

注)サービスIDファイルは必ず/etc/opt/FJSVssoac/confにリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。

6)認証サーバ定義ファイルの編集

 以下の定義が設定されている場合には、定義を削除してください。

7)Webサーバ(Interstage HTTP Server)定義の編集

 Interstage HTTP Serverの環境定義ファイル(httpd.conf)に設定してある認証サーバの設定を削除し、以下の設定を追加してください。また、V6.0の認証サーバでSSL通信を行うための環境構築を行っている場合は、認証サーバで使用しているSSL通信の設定も削除してください。なお、ポート番号は移行前に使用していたポート番号を設定してください。
 削除する設定については、旧バージョンの“シングル・サインオン運用ガイド”の“環境構築”−“認証サーバの環境構築”−“Interstage HTTP Serverの環境定義ファイルの設定”を参照してください。

 なお、Interstage HTTP Serverの環境定義の編集に失敗している場合は、[セキュリティ] > [シングル・サインオン] > [認証基盤] > [一覧]に表示される認証サーバのポート番号に“不明”と表示されます。編集内容に間違いがないか確認してください。

環境定義ファイルに追加する項目

項目名

内容

Listen

サーバが起動するときのネットワークポート番号

LoadModule

認証サーバのプログラム

AddModule

認証サーバの実行に必要な項目

<VirtualHost _default_:ポート番号>
<Location>
SetHandler
</Location>
DocumentRoot
</VirtualHost>

認証サーバの実行に必要な項目

Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例


 環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。

Listen 443
LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
AddModule ssoatcag.c
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "C:\Interstage\F3FMsso\ssoatcag\pub\docroot"
</VirtualHost>


 環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。

Listen 443
LoadModule ssoatcag_module "/opt/FJSVssoac/lib/ssoatcag.so"
AddModule ssoatcag.c
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "/opt/FJSVssoac/pub/docroot"

</VirtualHost>

8)認証サーバの環境設定

 環境移行後、認証サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

  1. [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[アクセスログ]のファイル名に認証サーバのアクセスログの出力ファイル名を指定してください。
  2. [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックします。
  3. [SSLの運用]の[認証サーバで行う]を選択します。
    なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携する場合には[その他で行う]を選択します。
  4. [SSLの運用]の[SSL定義]に“SSL通信を行うための環境のリストア、または環境の構築”で作成したSSL定義名を選択します。
    なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、利用者の証明書が失効されているかの確認を行わない場合にはSSL定義名の選択は不要です。
  5. 業務サーバを非SSL(http)通信で運用している場合は、[業務システムとの通信の設定]の[HTTP通信]を「許可する」を選択します。
  6. SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、証明書認証を行う場合には[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]にユーザ証明書を獲得するHTTPヘッダ名を指定してください。
  7. [適用]ボタンをクリックします。


 業務サーバの保護リソースへのアクセスは、Interstageシングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバはSSL(https)通信で運用することを強く推奨します。
 また、より安全に運用していただくために、すべての業務サーバをSSL(https)通信で運用している場合には、以下の設定をすることにより、非SSL(http)通信で運用している業務サーバからのアクセスを禁止できます。

  1. [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックします。
  2. [業務システムとの通信の設定]の[HTTP通信]を[許可しない]を選択します。
  3. [適用]ボタンをクリックします。

■定義項目

 V7.0の環境定義はInterstage管理コンソールを使用して設定します。V6.0の環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2005