Interstage Application Server 移行ガイド

目次 索引

6.8.2.2 Interstage Application Server Standard Edition, Enterprise Editionからの移行

　V5.x Interstage Application Server Standard Edition, Enterprise Editionからの認証サーバの資源の移行手順について説明します。

　本バージョンではネットワークから利用者のパスワードが盗聴される危険性に対し、より安全な運用を行うために認証サーバは必ずSSL通信を行う必要があります。V5.xで認証サーバをSSL通信で運用していなかった場合は、移行時にSSL通信の環境を構築してください。また、認証サーバを複数構築し運用している場合は、同時に移行してバージョンを合わせてください。

■移行手順

　移行は以下の手順で行います。

1. 認証サーバ資源のバックアップ
2. SSL通信を行うための環境のバックアップ
3. パッケージのアンインストールとインストール
4. SSL通信を行うための環境のリストア、または環境の構築
5. 認証サーバ資源のリストア
6. 認証サーバ定義ファイルの編集
7. Webサーバ(Interstage HTTP Server)定義の編集
8. 認証サーバの環境設定

1)認証サーバ資源のバックアップ

　認証サーバの資源をバックアップします。バックアップする資源は以下です。

1. 認証サーバ定義ファイル
2. サービスIDファイル

　なお、資源のバックアップ時はWebサーバ(Interstage HTTP Server)を停止してください。

　以下に資源のバックアップの例を示します。

　バックアップ先パスがX:\Backup\ssoatcagの場合の操作例を以下に示します。

　注)サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。

　バックアップ先パスが/backup/FJSVssoacの場合の操作例を以下に示します。

　注)サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。

　Webサーバ(Interstage HTTP Server)の移行については“Webサーバ(Interstage HTTP Server)の移行”を参照してください。
　なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。

2)SSL通信を行うための環境のバックアップ

[認証サーバでSSL通信を行うための環境構築を行っている場合]

　本バージョンではSSL環境にInterstage証明書環境を使用します。V5.xのシステムに構築したSSL環境からサイト証明書を抽出し移行後のInterstage証明書環境にサイト証明書を移入してください。(注)
　サイト証明書の抽出はV5.xのシステムに構築したSSL環境からcmmkpfxコマンドを使用してPKCS#12形式で取り出します。cmmkpfxコマンドの詳細については、V5.xの“リファレンスマニュアル(コマンド)編”を参照してください。

　注)移行に関してはサイト証明書を発行した認証局のライセンス契約を確認した上で行ってください。

　サイト証明書の抽出時の実行例を以下に示します。cmmkpfxコマンドが格納されているディレクトリをC:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE として記述しています。
　User-PINの入力を求められますので入力してください。
　PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
　PKCS#12ファイル出力先　X:\Backup\server-cert.pfx
　運用管理ディレクトリ　C:\sslenv\manage
　サイト証明書が存在するトークンのラベル　SSOToken
　SSL通信に使用する証明書のニックネーム　SERVERCERT

　サイト証明書の抽出時の実行例を以下に示します。
　User-PINの入力を求められますので入力してください。
　PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
　PKCS#12ファイル出力先　/backup/server-cert.pfx
　運用管理ディレクトリ　/sslenv/manage
　サイト証明書が存在するトークンのラベル　SSOToken
　SSL通信に使用する証明書のニックネーム　SERVERCERT

[認証サーバでSSL通信を行うための環境構築を行っていない場合]
[認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合]

　SSL通信を行うための環境をバックアップする必要はありません。

3)パッケージのアンインストールとインストール

　現在インストールされているパッケージをアンインストール後、本バージョンのパッケージをインストールします。

4)SSL通信を行うための環境のリストア、または環境の構築

[認証サーバでSSL通信を行うための環境構築を行っている場合]

　“SSL通信を行うための環境のバックアップ”でPKCS#12形式で取り出したサイト証明書をInterstage証明書環境に移入します。サイト証明書を移行する場合、以下の手順で行います。

1. scsimppfxコマンドを使用してInterstage証明書環境にサイト証明書を登録します。scsimppfxコマンドの詳細については“リファレンスマニュアル(コマンド)編”を参照してください。なお、サイト証明書登録時には事前にInterstage証明書環境を作成する必要があります。Interstage証明書環境の作成方法については“セキュリティシステム運用ガイド”の“SSLによる暗号化通信”−“Interstage証明書環境の構築と利用”−“環境の構築方法”の“PKCS#12データを使用する方法”を参照してください。
2. 証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行う場合には、Interstage証明書環境に認証局より取得したCRLを登録する必要があります。Interstage証明書環境にCRLを登録する方法については“セキュリティシステム運用ガイド”の“SSLによる暗号化通信”−“Interstage証明書環境の構築と利用”−“CSRによるInterstage証明書環境の構築方法”−“証明書・CRLの登録”を参照してください。
3. サイト証明書の登録後、Interstage管理コンソールを使用してSSLの定義を作成します。SSLの定義の設定については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“認証サーバの構築”−“SSL通信環境の構築”−“SSL通信を行うための設定”を参照してください。

　Interstage証明書環境を構築する実行例を以下に示します。
　パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。

　Interstage証明書環境にサイト証明書を移入する実行例を以下に示します。
　Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
　PKCS#12データに設定したパスワードの入力を求められますので入力してください。

　Interstage証明書環境にCRLを登録する実行例を以下に示します。取得したCRLを“C:\WINNT\temp\crl.crl”として記述しています。
　Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。

　Interstage証明書環境を構築する実行例を以下に示します。
　コマンド実行時には環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
　以下はBourneシェルを使用した実行例です。パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。

　Interstage証明書環境の所有グループ　iscertg

　Interstage証明書環境にサイト証明書を移入する実行例を以下に示します。
　Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
　PKCS#12データに設定したパスワードの入力を求められますので入力してください。

　Interstage証明書環境にCRLを登録する実行例を以下に示します。取得したCRLを“/tmp/crl.crl”として記述しています。
　Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。

[認証サーバでSSL通信を行うための環境構築を行っていない場合]
[認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合]

　V5.xの認証サーバでSSL通信を行うための環境構築を行っていない場合、SSL通信環境を構築する必要があります。SSL通信環境には、認証サーバでSSL通信を行う場合とSSL Accelerator 7117などのSSLアクセラレータやInterstage Security Directorなど認証サーバ以外でSSL通信を行う場合があり、それぞれ環境の構築方法が異なります。

　SSL通信の環境構築については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“認証サーバの構築”−“SSL通信環境の構築”を参照してください。

　なお、SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。

　SSL通信環境を構築する場合には、業務サーバから認証サーバにアクセスするためのURLを“http”から“https”に変更する必要があります。V5.x Interstage Application Server Standard Edition, Enterprise Editionの業務サーバを本バージョンに移行する際に、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”に認証サーバへアクセスするためのURLを設定してください。

5)認証サーバ資源のリストア

　認証サーバの資源をリストアします。リストアする資源は以下です。

1. 認証サーバ定義ファイル
2. サービスIDファイル

　以下に資源のリストアの例を示します。

　バックアップ先パスがX:\Backup\ssoatcagの場合の操作例を以下に示します。

　注)サービスIDファイルは必ずC:\Interstage\F3FMsso\ssoatcag\confにリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。

　バックアップ先パスが/backup/FJSVssoacの場合の操作例を以下に示します。

　注)サービスIDファイルは必ず/etc/opt/FJSVssoac/confにリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。

6)認証サーバ定義ファイルの編集

　V5.xでのリポジトリサーバの以下の定義は、本バージョンでは認証サーバで定義します。認証サーバの定義ファイルをリストア後、リポジトリサーバの定義に設定してある以下の定義を認証サーバ定義ファイルに追加して設定してください。(注1)

• password-max-failure-count
• lock-out-time
• certificate-mapping-attribute(注2)
• default-credential-expiration-time
• certificate-identification

　environment-directory定義が設定されている場合には、定義を削除してください。
　また、accesslog-filename定義を以下に変更してください。

　
　　C:\Interstage\F3FMsso\ssoatcag\log\ssoatcag.log
　
　　/var/opt/FJSVssoac/log/ssoatcag.log

　注1)リポジトリサーバが複数台で運用されていた場合は、リポジトリサーバ(更新系)の定義を認証サーバ定義ファイルに追加してください。また、認証サーバが複数台で運用されていた場合は、すべての認証サーバの定義ファイルに追加してください。
　注2)本バージョンでは、本定義名に複数の属性名を設定することはできません。V5.xにて、本定義に複数の属性名を設定していた場合には、使用する証明書にあわせて“mail”、“employeeNumber”、“uid”、“serialNumber”、“dnQualifier”、“cn”のいずれか１つを設定してください。

7)Webサーバ(Interstage HTTP Server)定義の編集

　Webサーバ(Interstage HTTP Server)の移行作業を実施後、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に設定してある認証サーバの設定を削除し、以下の設定を追加してください。また、V5.xの認証サーバでSSL通信を行うための環境構築を行っている場合は、認証サーバで使用しているSSL通信の設定も削除してください。なお、ポート番号は移行前に使用していたポート番号を設定してください。
　削除する設定については、旧バージョンの“シングル・サインオン運用ガイド”の“環境構築”−“認証サーバの環境構築”−“Interstage HTTP Serverの環境定義ファイルの設定”を参照してください。

　なお、Interstage HTTP Serverの環境定義の編集に失敗している場合は、[セキュリティ] > [シングル・サインオン] > [認証基盤] > [一覧]に表示される認証サーバのポート番号に“不明”と表示されます。編集内容に間違いがないか確認してください。

環境定義ファイルに追加する項目

Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例

　環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。

　環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。

8)認証サーバの環境設定

　環境移行後、認証サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

1. [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[通信の設定]の[SSLの運用]に“認証サーバで行う”を選択します。
   なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携する場合には“その他で行う”を選択し、認証サーバのポート番号を指定します。
2. [通信の設定]の[SSLの運用]で[SSL定義]に“SSL通信を行うための環境のリストア、または環境の構築”で作成したSSL定義名を選択します。
   なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、利用者の証明書が失効されているかの確認を行わない場合にはSSL定義名の選択は不要です。
3. 業務サーバを非SSL(http)通信で運用している場合は、[業務システムとの通信の設定]の[HTTP通信]に“許可する”を選択します。
4. SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、証明書認証を行う場合には[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]にユーザ証明書を獲得するHTTPヘッダ名を指定してください。
5. [適用]ボタンをクリックします。

• 業務サーバの保護リソースへのアクセスは、Interstageシングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバはSSL(https)通信で運用することを強く推奨します。
  また、より安全に運用していただくために、すべての業務サーバをSSL(https)通信で運用している場合には、以下の設定をすることにより、非SSL(http)通信で運用している業務サーバからのアクセスを禁止できます。
  1. [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックします。
  2. [業務システムとの通信の設定]の[HTTP通信]を“許可しない”を選択します。
  3. [適用]ボタンをクリックします。
• 本バージョンでは、セキュリティ上、Webブラウザに表示する一部のメッセージを「ユーザ名、またはパスワードが正しくありません。」に統一しています。今までのメッセージをそのまま表示したい場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムとの通信の設定]の[利用者への認証失敗原因の通知]に“通知する”を選択してください。

■定義項目

　本バージョン環境定義はInterstage管理コンソールを使用して設定します。V5.xの環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。

目次 索引