6.8.4.2 Interstage Application Server Standard Edition, Enterprise Editionからの移行

Interstage Application Server 移行ガイド

目次索引

第6章 Interstage Application Server V5からの移行

> 6.8 Interstage シングル・サインオンの移行

> 6.8.4 業務サーバの移行

6.8.4.2 Interstage Application Server Standard Edition, Enterprise Editionからの移行

　V5.x Interstage Application Server Standard Edition, Enterprise Editionからの業務サーバの資源の移行手順について説明します。

■移行手順

　移行は以下の手順で行います。

業務サーバ資源のバックアップ
SSL通信を行うための環境のバックアップ
パッケージのアンインストールとインストール
SSL通信を行うための環境のリストア、または環境の構築
業務サーバ資源のリストア
業務サーバ定義ファイルの編集
業務サーバの環境設定
Webサーバの設定

業務サーバの保護リソースへのアクセスは、Interstageシングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバは、SSL(https)通信で運用することを強く推奨します。
非SSL(http)通信で運用しているV5.xの業務サーバを本バージョンに移行した場合には、認証サーバの定義ファイル(ssoatcag.conf)の“allow-redirect-over-http”に“YES”を設定してください。
本バージョンは、Windows NT(R) Server 4.0をサポートしていないため、V5.xでMicrosoft(R) Internet Information Server 4.0を使用している場合は、別のWebサーバを使用してください。
本バージョンは、Solaris 8をサポートしていないため、V5.xでSun ONE Web Server Enterprise Edition 4.1を使用している場合は、別のWebサーバを使用してください。
本バージョンでは、InfoProvider Proをサポートしていないため、V5.xでInfoProvider Proを使用している場合は、別のWebサーバを使用してください。

1)業務サーバ資源のバックアップ

　業務サーバの資源をバックアップします。バックアップする資源は以下です。

業務サーバ定義ファイル
サービスIDファイル
アクセス制御情報ファイル

　資源のバックアップ時は業務サーバに使用しているWebサーバを停止してください。

　以下に資源のバックアップの例を示します。

　バックアップ先パスがX:\Backup\ssoatzagの場合の操作例を以下に示します。

copyコマンド(またはエクスプローラ)を使用して、以下の業務サーバの資源をバックアップ用ディレクトリにコピーします。
　　copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf X:\Backup\ssoatzag
　　copy C:\Interstage\F3FMsso\ssoatzag\conf\domainsid X:\Backup\ssoatzag(注1)
　　copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl X:\Backup\ssoatzag(注2)

　注1)サービスIDファイルは業務サーバ定義ファイルの“ServiceIDPath”定義に設定したファイルを指定してください。
　注2)アクセス制御情報ファイルは業務サーバ定義ファイルの“AccessCtl”定義に設定したファイルを指定してください。

　バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。

cpコマンドを使用して、業務サーバの資源をバックアップ用ディレクトリにコピーします。
　　cp -p /etc/opt/FJSVssoaz/conf/ssoatzag.conf /backup/FJSVssoaz
　　cp -p /etc/opt/FJSVssoaz/conf/domainsid /backup/FJSVssoaz(注1)
　　cp -p /etc/opt/FJSVssoaz/conf/ssoacsctl /backup/FJSVssoaz(注2)

　WebサーバにInterstage HTTP Serverを使用している場合は、Webサーバ(Interstage HTTP Server)の移行が必要です。Webサーバ(Interstage HTTP Server)の移行については“Webサーバ(Interstage HTTP Server)の移行”を参照してください。
　なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。

2) SSL通信を行うための環境のバックアップ

　業務サーバでSSL通信を行うための環境構築を行っている場合は、SSL通信を行うための環境をバックアップします。
　WebサーバにInterstage HTTP Serverを使用している場合は、“Webサーバ(Interstage HTTP Server)の移行”を参照してください。

3)パッケージのアンインストールとインストール

　現在インストールされているパッケージをアンインストール後、本バージョンのパッケージをインストールします。

4) SSL通信を行うための環境のリストア、または環境の構築

　バックアップしたSSL通信を行うための環境をリストアします。
　WebサーバにInterstage HTTP Serverを使用している場合は、“Webサーバ(Interstage HTTP Server)の移行”を参照してください。

5)業務サーバ資源のリストア

　バックアップした業務サーバの資源をリストアします。リストアする資源は以下です。

業務サーバ定義ファイル
サービスIDファイル
アクセス制御情報ファイル

　以下に資源のリストアの例を示します。

　バックアップ先パスがX:\Backup\ssoatzagの場合の操作例を以下に示します。

copyコマンド(またはエクスプローラ)を使用して、バックアップ用ディレクトリの業務サーバの資源をもとのディレクトリにコピーします。
　　copy X:\Backup\ssoatzag\ssoatzag.conf C:\Interstage\F3FMsso\ssoatzag\conf
　　copy X:\Backup\ssoatzag\domainsid C:\Interstage\F3FMsso\ssoatzag\conf(注1)
　　copy X:\Backup\ssoatzag\ssoacsctl C:\Interstage\F3FMsso\ssoatzag\conf(注2)

　注1)サービスIDファイルは必ずC:\Interstage\F3FMsso\ssoatzag\confにリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
　注2)アクセス制御情報ファイルは必ずC:\Interstage\F3FMsso\ssoatzag\confにリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。

　バックアップ先パスが/backup/FJSVssoazの場合の操作例を以下に示します。

cpコマンドを使用して、バックアップ用ディレクトリの業務サーバの資源をもとのディレクトリにコピーします。
　　cp -p /backup/FJSVssoaz/ssoatzag.conf /etc/opt/FJSVssoaz/conf
　　cp -p /backup/FJSVssoaz/domainsid /etc/opt/FJSVssoaz/conf(注1)
　　cp -p /backup/FJSVssoaz/ssoacsctl /etc/opt/FJSVssoaz/conf(注2)

　注1)サービスIDファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
　注2)アクセス制御情報ファイルは必ず/etc/opt/FJSVssoaz/confにリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。

6)業務サーバ定義ファイルの編集

　業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。business-system-name、web-server-nameの各定義は、該当する業務サーバのServerPort定義の後に設定してください。また、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。

　業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。business-system-name、web-server-name、およびweb-user-nameの各定義は、該当する業務サーバのServerPort定義の後に設定してください。また、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。

定義項目	追加／変更	説明
business-system-name	追加	業務システム名(業務システムの名称)を設定します。業務システム名は1文字から32文字までの文字列を設定します。下記の文字を使用してください。下記以外の文字が使用されている場合には、業務システム名はポート番号(業務サーバ定義ファイルのServerPort定義)の値となります。英数字ハイフン(-) アンダースコア(_) 左括弧 (() 右括弧 ()) 左角括弧 ([) 右角括弧 ()) 業務サーバを複数設定している場合、各業務サーバのbusiness-system-nameの設定値を一意に設定してください。一意ではない場合には、ポート番号(業務サーバ定義ファイルのServerPort定義)の値が最も小さい業務サーバの定義のみが有効となり、その他の業務サーバの定義は無視されます。
web-server-name	追加	業務サーバが動作しているWebサーバの種類を設定します。以下のいずれかの値を設定します。 WebサーバにInterstage HTTP Serverを使用している場合設定値:IHS WebサーバにInterstage HTTP Server以外を使用している場合設定値:OTHER
web-user-name	追加	Webサーバが動作する実効ユーザ名を設定します。設定するユーザ名については以下を参照してください。 Interstage HTTP Server 環境定義ファイル("/opt/FJSVihs/conf/httpd.conf")の“User”に設定されたユーザIDを参照してください。デフォルトは“nobody”です。 Sun ONE Web Server 4.1、またはSun ONE Web Server 6.0 以下のSun ONE Web Serverの環境定義ファイルの“User”に設定されたユーザアカウントを参照してください。デフォルトは“nobody”です。環境定義ファイルは以下の場所に格納されています。　"/usr/netscape/server4/https-INSTANCE_NAME/config/obj.conf"(注) 注)https-INSTANCE_NAMEとは、ユーザがサーバとして設定したマシン名です。マシン名がwww.fujitsu.comの場合、https-www.fujitsu.com となります。
FQDN	変更	業務システムが利用者に公開するURLとして、プロトコル(スキーム)およびポート番号を必ず以下の形式(太字部分を追加)で設定してください。すでに以下の形式で設定されている場合は、変更する必要はありません。 http://FQDN:ポート番号 https://FQDN:ポート番号なお、業務システムが利用者に公開するURLは、ロードバランサなど、他の装置、製品との組み合わせにより設定方法が異なります。設定方法の詳細については、“シングル・サインオン運用ガイド”の“概要”－“URLの決定”－“業務システムの公開URLについて”を参照してください。
accesslog-filename	変更	アクセスログの出力先ファイル名を以下のように設定してください。 C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log /var/opt/FJSVssoaz/log/ssoatzag443.log ファイル名についている“443”には、業務サーバのポート番号を設定します。マルチポート運用の場合は、すでに存在するファイル名と重複しないよう注意してください。

また、リストアした業務サーバ定義ファイルに以下の定義項目が、異なる内容で設定されている場合には、設定内容を“変更前の設定”から“変更後の設定”に変更してください。

定義項目	変更前の設定	変更後の設定
CredentialDN CredentialUID CredentialROLELIST CredentialROLECOUNT CredentialIPADDRESS CredentialAUTHMETHOD CredentialFIRSTACCESS CredentialEXPIRATION CredentialDOMAIN	各定義項目の設定に、“YES”と“NO”が混在している場合	各定義項目の設定をすべて“YES”に変更してください。
	各定義項目の設定に、“YES”と省略値（設定値がない、または“YES”や“NO”以外が設定されている）が混在している場合	各定義項目の設定をすべて“YES”に変更してください。
	各定義項目の設定に、“NO”と省略値（設定値がない、または“YES”や“NO”以外が設定されている）が混在している場合	各定義項目の設定をすべて“NO”に変更してください。
	各定義項目の設定がすべて“YES”の場合	変更する必要はありません。
	各定義項目の設定がすべて“NO”の場合	変更する必要はありません。
	左記の定義項目のうち、設定されていない定義項目が存在する場合	設定されていない定義項目を追加してください。追加した定義項目は、以下のように設定してください。・他の定義項目がすべて“YES”の場合は“YES” ・すべて“NO”の場合は“NO” ・“YES”と“NO”が混在している場合は“YES” ・“YES”と省略値が混在している場合は“YES” ・“NO”と省略値が混在している場合は“NO”

業務サーバ定義ファイルの編集例を以下に示します。

　以下は、業務システム名に“Business001”、使用しているWebサーバに“IHS”を設定し、追加しています。アクセスログの出力先ファイル名を“C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log”に変更しています。
　また、V5.xの業務サーバをSSL（https）通信で運用し、業務サーバのFQDNが“www.fujitsu.com”、ポート番号に“443”を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて“YES”に変更しています。太字部分は運用に合わせて変更してください。

business-system-name=Business001
web-server-name=IHS
FQDN=https://www.fujitsu.com:443
accesslog-filename=C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log
CredentialDN=YES
CredentialUID=YES
CredentialROLELIST=YES
CredentialROLECOUNT=YES
CredentialIPADDRESS=YES
CredentialAUTHMETHOD=YES
CredentialFIRSTACCESS=YES
CredentialEXPIRATION=YES
CredentialDOMAIN=YES

　以下は、業務システム名に“Business001”、使用しているWebサーバに“IHS”、Webサーバが動作する実効ユーザ名に“nobody”を設定しています。アクセスログの出力先ファイル名を“/var/opt/FJSVssoaz/log/ssoatzag443.log”に変更しています。
　また、V5.xの業務サーバをSSL（https）通信で運用し、業務サーバのFQDNが“www.fujitsu.com”、ポート番号に“443”を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて“YES”に変更しています。太字部分は運用に合わせて変更してください。

business-system-name=Business001
web-server-name=IHS
web-user-name=nobody
FQDN=https://www.fujitsu.com:443
accesslog-filename=/var/opt/FJSVssoaz/log/ssoatzag443.log
CredentialDN=YES
CredentialUID=YES
CredentialROLELIST=YES
CredentialROLECOUNT=YES
CredentialIPADDRESS=YES
CredentialAUTHMETHOD=YES
CredentialFIRSTACCESS=YES
CredentialEXPIRATION=YES
CredentialDOMAIN=YES

　業務サーバがアクセスする認証サーバの環境を、SSL通信を行うように変更した場合には、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”の設定を「認証基盤のURL＋“/ssoatcag”」の形式に変更してください。
　なお、認証基盤のURLについては、アクセスする認証基盤をInterstage管理コンソールで環境定義している場合には、Interstage管理コンソールの[セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[リポジトリサーバ詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]を参照してください。

7)業務サーバの環境設定

　環境移行後、業務サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

[セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[認証基盤の情報]の[リポジトリサーバのURL]にリポジトリサーバのURLを設定します。
[適用]ボタンをクリックします。

　前項の“6)業務サーバ定義ファイルの編集”で設定した値が正しく設定されているか確認してください。設定する各項目と環境定義ファイルの定義項目との対応表を以下に示します。

定義項目	Interstage管理コンソールの設定
business-system-name	[詳細設定[表示]] > [業務システムの情報] > [業務システム名]
web-server-name	[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ]
web-user-name	[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] > [実効ユーザ名](注1)
accesslog-filename	[アクセスログ] > [ファイル名]
CredentialDN	[詳細設定[表示]]>[Webアプリケーションとの連携]>[ユーザ情報の通知](注2)
CredentialUID
CredentialROLELIST
CredentialROLECOUNT
CredentialIPADDRESS
CredentialAUTHMETHOD
CredentialFIRSTACCESS
CredentialEXPIRATION
CredentialDOMAIN

　注1)web-server-nameにOTHERを設定した場合のみ表示されます。
　注2)定義項目を“YES”と設定した場合には“通知する”、“NO”と設定した場合には“通知しない”と表示されます。

8)Webサーバの設定

　WebサーバにSun ONE Web Server Enterprise Edition 4.1,6.0を使用している場合は、Sun ONE Web Serverの環境定義ファイルを編集してください。環境定義ファイルの編集方法については、“シングル・サインオン運用ガイド”の“環境構築(業務サーバ管理者編)”－“Webサーバへの組み込み”を参照してください。

■定義項目

　本バージョンの環境定義はInterstage管理コンソールを使用して設定します。V5.xの環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。

目次索引