Interstage Application Server/Interstage Web Server 移行ガイド |
目次 索引 |
第5章 Interstage運用操作、環境の移行 | > 5.11 Interstage シングル・サインオンの移行 |
認証サーバの移行手順について説明します。
認証サーバを複数構築して運用している場合は、同時に移行してバージョン・レベルを合わせてください。
移行は以下の手順で行います。
以下の認証サーバの資源をバックアップします。
資源のバックアップ時はWebサーバ(Interstage HTTP Server)を停止してください。
認証サーバの資源をバックアップ用ディレクトリにコピーする例
バックアップ用ディレクトリ:X:\Backup\ssoatcag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy C:\Interstage\F3FMsso\ssoatcag\conf\ssoatcag.conf X:\Backup\ssoatcag
copy C:\Interstage\F3FMsso\ssoatcag\conf\serviceid X:\Backup\ssoatcag (注1)
xcopy /E /I C:\Interstage\F3FMsso\ssoatcag\pub\template X:\Backup\ssoatcag\template (注2)
バックアップ用ディレクトリ:/backup/FJSVssoac
cpコマンドを使用して、コピーします。
cp -p /etc/opt/FJSVssoac/conf/ssoatcag.conf /backup/FJSVssoac
cp -p /etc/opt/FJSVssoac/conf/serviceid /backup/FJSVssoac (注1)
cp -rp /etc/opt/FJSVssoac/pub/template /backup/FJSVssoac (注2)
注1) サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。
注2) V6からの移行時のみ必要な作業です。
Webサーバ(Interstage HTTP Server)の移行については“8.0以前のInterstage HTTP Server(Apache 1.3ベース)からの移行”を参照してください。
なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。
Interstage証明書環境資源をバックアップします。
Interstage証明書環境資源をバックアップ用ディレクトリにコピーする例
バックアップ用ディレクトリ:X:\Backup\scs
xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
xcopy /E C:\Interstage\etc\security X:\Backup\scs
バックアップ用ディレクトリ:/backup/scs
cpコマンドを使用して、コピーします。
cp -rp /etc/opt/FJSVisscs/security /backup/scs
注) Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、ユーザアカウントやグループ等のシステムの情報についてもバックアップするようにしてください。
本バージョン・レベルではSSL環境にInterstage証明書環境を使用します。V5.1のシステムに構築したSSL環境からサイト証明書を抽出し移行後のInterstage証明書環境にサイト証明書を移入してください。 (注)
サイト証明書の抽出はV5.1のシステムに構築したSSL環境からcmmkpfxコマンドを使用してPKCS#12形式で取り出します。cmmkpfxコマンドの詳細については、V5.1の“リファレンスマニュアル(コマンド)編”を参照してください。
注) 移行に関してはサイト証明書を発行した認証局のライセンス契約を確認した上で行ってください。
サイト証明書を抽出する例
cmmkpfxコマンドが格納されているディレクトリ:C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE
PKCS#12ファイル出力先:X:\Backup\server-cert.pfx
運用管理ディレクトリ:C:\sslenv\manage
サイト証明書が存在するトークンのラベル:SSOToken
SSL通信に使用する証明書のニックネーム:SERVERCERT
"C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE\cmmkpfx" X:\Backup\server-cert.pfx -ed C:\sslenv\manage -tl SSOToken -nn SERVERCERT
PKCS#12ファイル出力先:/backup/server-cert.pfx
運用管理ディレクトリ:/sslenv/manage
サイト証明書が存在するトークンのラベル:SSOToken
SSL通信に使用する証明書のニックネーム:SERVERCERT
/opt/FJSVsmee/bin/cmmkpfx /backup/server-cert.pfx -ed /sslenv/manage -tl SSOToken -nn SERVERCERT
User-PINの入力を求められますので入力してください。
PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
SSL通信を行うための環境をバックアップする必要はありません。
現在インストールされているパッケージをアンインストール後、本バージョン・レベルのパッケージをインストールします。
バックアップしたInterstage証明書環境資源をリストアします。
バックアップ用ディレクトリのInterstage証明書環境資源をリストアする例
バックアップ用ディレクトリ:X:\Backup\scs
xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
xcopy /E X:\Backup\scs C:\Interstage\etc\security
バックアップ用ディレクトリ:/backup/scs
cpコマンドを使用して、コピーします。
cp -rp /backup/scs/security /etc/opt/FJSVisscs
注) バックアップ前と同じディレクトリ、同じ権限でリストアしてください。また、Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、必要に応じ、ユーザアカウントやグループ等のシステムの情報についてもリストアするようにしてください。
SSL通信を行うための環境のバックアップでPKCS#12形式で取り出したサイト証明書をInterstage証明書環境に移入します。サイト証明書を移行する場合、以下の手順で行います。
Interstage証明書環境を構築する実行例
scsmakeenv -e
Bourneシェルを使用した実行例です。
コマンド実行時には環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
Interstage証明書環境の所有グループ:iscertg
JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
scsmakeenv -e -g iscertg
パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。
Interstage証明書環境にサイト証明書を移入する実行例
取り出したPKCS#12ファイル:X:\Backup\server-cert.pfx
scsimppfx -f X:\Backup\server-cert.pfx
取り出したPKCS#12ファイル:/backup/server-cert.pfx
scsimppfx -f /backup/server-cert.pfx
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
PKCS#12データに設定したパスワードの入力を求められますので入力してください。
Interstage証明書環境にCRLを登録する実行例
取得したCRL:C:\temp\crl.crl
scsenter -c -f C:\temp\crl.crl
取得したCRL:/tmp/crl.crl
scsenter -c -f /tmp/crl.crl
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
V5.1の認証サーバでSSL通信を行うための環境構築を行っていない場合、SSL通信環境を構築する必要があります。SSL通信環境には、認証サーバでSSL通信を行う場合とSSL Accelerator 7117などのSSLアクセラレータやInterstage Security Directorなど認証サーバ以外でSSL通信を行う場合があり、それぞれ環境の構築方法が異なります。
SSL通信の環境構築については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“認証サーバの構築”−“SSL通信環境の構築”を参照してください。
なお、SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
SSL通信環境を構築する場合には、業務サーバから認証サーバにアクセスするためのURLを“http”から“https”に変更する必要があります。Interstage Application Server Standard Edition、Enterprise Edition V5.1の業務サーバを本バージョン・レベルに移行する際に、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”に認証サーバへアクセスするためのURLを設定してください。
“認証サーバ資源のバックアップ”でバックアップした認証サーバの資源をリストアします。
バックアップ用ディレクトリの認証サーバの資源をリストアする例
バックアップ用ディレクトリ:X:\Backup\ssoatcag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy X:\Backup\ssoatcag\ssoatcag.conf C:\Interstage\F3FMsso\ssoatcag\conf
copy X:\Backup\ssoatcag\serviceid C:\Interstage\F3FMsso\ssoatcag\conf (注1)
xcopy /E /I X:\Backup\ssoatcag\template C:\Interstage\F3FMsso\ssoatcag\pub\template (注2)
バックアップ用ディレクトリ:/backup/FJSVssoac
cpコマンドを使用して、コピーします。
cp -p /backup/FJSVssoac/ssoatcag.conf /etc/opt/FJSVssoac/conf
cp -p /backup/FJSVssoac/serviceid /etc/opt/FJSVssoac/conf (注1)
cp -rp /backup/FJSVssoac/template /etc/opt/FJSVssoac/pub (注2)
注1) サービスIDファイルは必ず上記にリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。
注2) V6からの移行時のみ必要な作業です。
environment-directory定義が設定されている場合には、定義を削除してください。
また、accesslog-filename定義を以下に変更してください。
accesslog-filename=C:\Interstage\F3FMsso\ssoatcag\log\ssoatcag.log
accesslog-filename=/var/opt/FJSVssoac/log/ssoatcag.log
Interstage Application Server V5.1から移行する場合は、上記に加えて以下の作業を行ってください。
V5.1でのリポジトリサーバの以下の定義は、本バージョン・レベルでは認証サーバで定義します。認証サーバの定義ファイルをリストア後、リポジトリサーバの定義に設定されている以下の定義を認証サーバ定義ファイルに追加して設定してください。 (注1)
注1) リポジトリサーバが複数台で運用されていた場合は、リポジトリサーバ(更新系)の定義を認証サーバ定義ファイルに追加してください。また、認証サーバが複数台で運用されていた場合は、すべての認証サーバの定義ファイルに追加してください。
注2) 本バージョン・レベルでは、本定義名に複数の属性名を設定することはできません。V5.1で、本定義に複数の属性名を設定していた場合には、使用する証明書にあわせて“mail”、“employeeNumber”、“uid”、“serialNumber”、“dnQualifier”、“cn”のいずれか1つを設定してください。
Webサーバ(Interstage HTTP Server)の移行作業を実施後、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に設定されている認証サーバの設定を削除し、以下の設定を追加してください。また、V6.0/V5.1の認証サーバでSSL通信を行うための環境構築を行っている場合は、認証サーバで使用しているSSL通信の設定も削除してください。なお、ポート番号は移行前に使用していたポート番号を設定してください。
削除する設定については、旧バージョン・レベルの“シングル・サインオン運用ガイド”の“環境構築”−“認証サーバの環境構築”−“Interstage HTTP Serverの環境定義ファイルの設定”を参照してください。
なお、Interstage HTTP Serverの環境定義の編集に失敗している場合は、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [一覧]に表示される認証サーバのポート番号に“不明”と表示されます。編集内容に間違いがないか確認してください。
環境定義ファイルに追加する項目
項目名
内容
Listen
認証サーバが起動するときのネットワークポート番号
LoadModule
認証サーバのプログラム
<VirtualHost _default_:ポート番号>
<Location>
SetHandler
</Location>
DocumentRoot
</VirtualHost>認証サーバの実行に必要な項目
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例
環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。
Listen 443
LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "C:\Interstage\F3FMsso\ssoatcag\pub\docroot"
</VirtualHost>
Listen 443
LoadModule ssoatcag_module "/opt/FJSVssoac/lib/ssoatcag.so"
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "/opt/FJSVssoac/pub/docroot"
</VirtualHost>
環境移行後、認証サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
目次 索引 |