| Interstage Application Server 移行ガイド |
|
目次
索引
|
| 第4章 Interstage Application Server V5からの移行 | > 4.8 Interstage シングル・サインオンの移行 | > 4.8.4 業務サーバの移行 |
V5.x Interstage Application Server Standard Edition、Enterprise Editionからの業務サーバの資源の移行手順について説明します。
移行は以下の手順で行います。
注)Interstage Application Server V7.0は、Windows NT(R) Server 4.0をサポートしていないため、V5.xでMicrosoft(R) Internet Information Server 4.0を使用している場合は、別のWebサーバを使用してください。
業務サーバの資源をバックアップします。バックアップする資源は以下の4ファイルです。
なお、資源のバックアップ時は業務サーバに使用しているWebサーバを停止してください。
以下に資源のバックアップの例を示します。
バックアップ先パスがX:\Backup\ssoatzagの場合の操作例を以下に示します。
|
注1)サービスIDファイルは業務サーバ定義ファイルの“ServiceIDPath”定義に設定したファイルを指定してください。
注2)アクセス制御情報ファイルは業務サーバ定義ファイルの“AccessCtl”定義に設定したファイルを指定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
注4)WebサーバにInfoProvider Proを使用しており、環境定義ファイル名がF3FMwww.datの場合の例です。ippbackupコマンドについては、“リファレンスマニュアル(コマンド編)”の“保守編”の“バックアップコマンド”を参照してください。
バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。
|
注1)サービスIDファイルは業務サーバ定義ファイルの“ServiceIDPath”定義に設定したファイルを指定してください。
注2)アクセス制御情報ファイルは業務サーバ定義ファイルの“AccessCtl”定義に設定したファイルを指定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
注4)WebサーバにInfoProvider Proを使用しており、環境定義ファイルのディレクトリが/etc/opt/FSUNprovd、環境定義ファイル名がHTTPD.confの場合の例です。ippbackupコマンドについては、“リファレンスマニュアル(コマンド編)”の“保守編”の“バックアップコマンド”を参照してください。
バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。
|
注1)サービスIDファイルは業務サーバ定義ファイルの“ServiceIDPath”定義に設定したファイルを指定してください。
注2)アクセス制御情報ファイルは業務サーバ定義ファイルの“AccessCtl”定義に設定したファイルを指定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
V7.0ではSSL環境にInterstage証明書環境を使用します。V5.xのシステムに構築したSSL環境からサイト証明書を抽出し移行後のInterstage証明書環境にサイト証明書を移入してください。(注)
サイト証明書の抽出はV5.xのシステムに構築したSSL環境からcmmkpfxコマンドを使用してPKCS#12形式で取り出します。cmmkpfxコマンドの詳細については“リファレンスマニュアル(コマンド)編”を参照してください。
注)移行に関してはサイト証明書を発行した認証局のライセンス契約を確認した上で行ってください。
サイト証明書の抽出時の実行例を以下に示します。
User-PINの入力を求められますので入力してください。
PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
運用管理ディレクトリ C:\sslenv\manage
SSL通信に使用する証明書のニックネーム SERVERCERT
PKCS#12ファイル出力先 C:\sslenv\manage\server-cert.pfx
|
"C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE\cmmkpfx" C:\sslenv\manage\server-cert.pfx -ed C:\sslenv\manage -tl SSOToken -nn SERVERCERT |
サイト証明書の抽出時の実行例を以下に示します。
User-PINの入力を求められますので入力してください。
PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
運用管理ディレクトリ /sslenv/manage
SSL通信に使用する証明書のニックネーム SERVERCERT
PKCS#12ファイル出力先 /sslenv/manage/server-cert.pfx
|
/opt/FJSVsmee/bin/cmmkpfx /sslenv/manage/server-cert.pfx -ed /sslenv/manage -tl SSOToken -nn SERVERCERT |
SSL通信を行うための環境をバックアップする必要はありません。
InfoProvider ProのSSL環境定義ファイルを参照して以下の資源をバックアップしてください。
・スロット情報ディレクトリ(SSL環境定義ファイルのスロット情報ディレクトリ定義項目で指定したディレクトリ)
・運用管理ディレクトリ(SSL環境定義ファイルの運用管理ディレクトリ定義項目で指定したディレクトリ)
詳細については、“セキュリティシステム運用ガイド”の“InfoProvider ProでSSLを利用する方法”−“SSL環境定義ファイルの詳細”を参照してください。
SSL通信を行うための環境をバックアップする必要はありません。
以下のマニュアルを参照してSSL通信を行うための環境をバックアップしてください。
Sun ONE Web Serverマニュアルの“NSAPI Programmer's Guide for Sun ONE Web Server”
以下のマニュアルを参照してSSL通信を行うための環境をバックアップしてください。
Microsoft(R) Internet Information Servicesの“インターネット インフォメーション サービス”の“ヘルプ(H)”
現在インストールされているパッケージをアンインストール後、V7.0のパッケージをインストールします。
“SSL通信を行うための環境のバックアップ”でPKCS#12形式で取り出したサイト証明書をInterstage証明書環境に移入します。サイト証明書を移行する場合、以下の手順で行います。
Interstage証明書環境を構築する実行例を以下に示します。
パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。
|
scsmakeenv -e |
Interstage証明書環境にサイト証明書を移入する実行例を以下に示します。
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
PKCS#12データに設定したパスワードの入力を求められますので入力してください。
|
scsimppfx -f C:\sslenv\manage\server-cert.pfx |
Interstage証明書環境を構築する実行例を以下に示します。
コマンド実行時には環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。
Interstage証明書環境の所有グループ nobody
|
JAVA_HOME=/opt/FJSVawjbk/jdk13;export JAVA_HOME |
Interstage証明書環境にサイト証明書を移入する実行例を以下に示します。
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
PKCS#12データに設定したパスワードの入力を求められますので入力してください。
|
scsimppfx -f /sslenv/manage/server-cert.pfx |
必要な作業はありません。
SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
以下に示すバックアップした資源をリストアしてください。
・スロット情報ディレクトリ(SSL環境定義ファイルのスロット情報ディレクトリ定義項目で指定したディレクトリ)
・運用管理ディレクトリ(SSL環境定義ファイルの運用管理ディレクトリ定義項目で指定したディレクトリ)
必要な作業はありません。
SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
以下のマニュアルを参照してバックアップしたSSL通信を行うための環境をリストアしてください。
Sun ONE Web Serverマニュアルの“NSAPI Programmer's Guide for Sun ONE Web Server”
以下のマニュアルを参照してバックアップしたSSL通信を行うための環境をリストアしてください。
Microsoft(R) Internet Information Servicesの“インターネット インフォメーション サービス”の“ヘルプ(H)”
バックアップした業務サーバの資源をリストアします。リストアする資源は以下の4ファイルです。
以下に資源のリストアの例を示します。
バックアップ先パスがX:\Backup\ssoatzagの場合の操作例を以下に示します。
|
注1)サービスIDファイルは必ずC:\Interstage\F3FMsso\ssoatzag\confにリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
注2)アクセス制御情報ファイルは必ずC:\Interstage\F3FMsso\ssoatzag\confにリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
注4)WebサーバにInfoProvider Proを使用しており、環境定義ファイル名がF3FMwww.datの場合の例です。ipprestoreコマンドについては、“リファレンスマニュアル(コマンド編)”の“保守編”の“バックアップコマンド”を参照してください。
バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。
|
注1)サービスIDファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
注2)アクセス制御情報ファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
注4)WebサーバにInfoProvider Proを使用しており、環境定義ファイルのディレクトリが/etc/opt/FSUNprovd、環境定義ファイル名がHTTPD.confの場合の例です。ipprestoreコマンドについては、“リファレンスマニュアル(コマンド編)”の“保守編”の“バックアップコマンド”を参照してください。
バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。
|
注1)サービスIDファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
注2)アクセス制御情報ファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。
注3)WebサーバにInterstage HTTP Serverを使用している場合の例です。
業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。business-system-name、web-server-nameの各定義は、該当する業務サーバのServerPort定義の後に設定してください。また、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。
業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。business-system-name、web-server-name、およびweb-user-nameの各定義は、該当する業務サーバのServerPort定義の後に設定してください。また、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。
|
定義項目 |
追加/変更 |
説明 |
|---|---|---|
|
business-system-name |
追加 |
業務システム名(業務システムの名称)を設定します。
|
|
web-server-name |
追加 |
業務サーバが動作しているWebサーバの種類を設定します。以下のいずれかの値を設定します。
|
|
|
追加 |
Webサーバが動作する実効ユーザ名を設定します。設定するユーザ名については以下を参照してください。
|
|
FQDN |
変更 |
業務システムが利用者に公開するURLとして、プロトコル(スキーム名)およびポート番号を必ず以下の形式(太字部分を追加)で設定してください。
なお、業務システムが利用者に公開するURLは、ロードバランサなど、他の装置、製品との組み合わせにより設定方法が異なります。設定方法の詳細については、“シングル・サインオン運用ガイド”の“概要”−“URLの決定”−“業務システムの公開URLについて”を参照してください。 |
また、リストアした業務サーバ定義ファイルに以下の定義項目が、異なる内容で設定されている場合には、設定内容を“変更前の設定”から“変更後の設定”に変更してください。
|
定義項目 |
変更前の設定 |
変更後の設定 |
|---|---|---|
|
CredentialDN |
各定義項目の設定に、“YES”と“NO”が混在している場合 |
各定義項目の設定をすべて“YES”に変更してください。 |
|
各定義項目の設定に、“YES”と省略値(設定値がない、または“YES”や“NO”以外が設定されている)が混在している場合 |
各定義項目の設定をすべて“YES”に変更してください。 |
|
|
各定義項目の設定に、“NO”と省略値(設定値がない、または“YES”や“NO”以外が設定されている)が混在している場合 |
各定義項目の設定をすべて“NO”に変更してください。 |
|
|
各定義項目の設定がすべて“YES”の場合 |
変更する必要はありません。 |
|
|
各定義項目の設定がすべて“NO”の場合 |
変更する必要はありません。 |
|
|
左記の定義項目のうち、設定されていない定義項目が存在する場合 |
設定されていない定義項目を追加してください。 |
業務サーバ定義ファイルの編集例を以下に示します。
以下は、業務システム名に“Business001”、使用しているWebサーバに“IHS”を設定し、追加しています。
また、V5.xの業務サーバをSSL(https)通信で運用し、業務サーバのFQDNが“www.fujitsu.com”、ポート番号に“443”を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて“YES”に変更しています。太字部分は運用に合わせて変更してください。
|
business-system-name=Business001 |
以下は、業務システム名に“Business001”、使用しているWebサーバに“IHS”、Webサーバが動作する実効ユーザ名に“nobody”を設定しています。
また、V5.xの業務サーバをSSL(https)通信で運用し、業務サーバのFQDNが“www.fujitsu.com”、ポート番号に“443”を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて“YES”に変更しています。太字部分は運用に合わせて変更してください。
|
business-system-name=Business001 |
環境移行後、業務サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
前項の“6)業務サーバ定義ファイルの編集”で設定した値が正しく設定されているか確認してください。設定する各項目と環境定義ファイルの定義項目との対応表を以下に示します。
|
定義項目 |
Interstage管理コンソールの設定 |
|---|---|
|
business-system-name |
[詳細設定[表示]] > [業務システムの情報] > [業務システム名] |
|
web-server-name |
[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] |
|
|
[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] > [実効ユーザ名](注1) |
|
CredentialDN |
[詳細設定[表示]]>[Webアプリケーションとの連携]>[ユーザ情報の通知](注2) |
|
CredentialUID |
|
|
CredentialROLELIST |
|
|
CredentialROLECOUNT |
|
|
CredentialIPADDRESS |
|
|
CredentialAUTHMETHOD |
|
|
CredentialFIRSTACCESS |
|
|
CredentialEXPIRATION |
|
|
CredentialDOMAIN |
注1)web-server-nameにOTHERを設定した場合のみ表示されます。
注2)定義項目を“YES”と設定した場合には“する”、“NO”と設定した場合には“しない”と表示されます。
業務サーバの保護リソースへのアクセスは、Interstageシングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバは、SSL(https)通信で運用することを強く推奨します。非SSL(http)通信で運用しているV5.xの業務サーバをV7.0に移行した場合には、認証サーバの定義ファイル(ssoatcag.conf)の“allow-redirect-over-http”に“YES”を設定してください。
業務サーバがアクセスする認証サーバがSSL通信を行うように環境を変更した場合には、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”の設定をアクセスする認証基盤のURLに変更してください。
アクセスする認証基盤をIS管理コンソールで環境定義している場合には、Interstage管理コンソールの[セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックし、[認証基盤の情報] > [URL]に設定しているURLを業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”に設定してください。
V7.0の環境定義はInterstage管理コンソールを使用して設定します。V5.xの環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。
|
目次
索引
|