Interstage Application Server/Interstage Web Server 移行ガイド
目次 索引 前ページ次ページ

第5章 Interstage運用操作、環境の移行> 5.11 Interstage シングル・サインオンの移行

5.11.4 Interstage Application Server Plus V6.0からの認証サーバの移行

 認証サーバの移行手順について説明します。
 認証サーバを複数構築して運用している場合は、同時に移行してバージョン・レベルを合わせてください。

■移行手順

 移行は以下の手順で行います。

  1. 認証サーバ資源のバックアップ
  2. SSL通信を行うための環境のバックアップ
  3. パッケージのアンインストールとインストール
  4. SSL通信を行うための環境のリストア、または環境の構築
  5. 認証サーバ資源のリストア
  6. 認証サーバ定義ファイルの編集
  7. Webサーバ(Interstage HTTP Server)定義の編集
  8. 認証サーバの環境設定

1) 認証サーバ資源のバックアップ

 以下の認証サーバの資源をバックアップします。

 資源のバックアップ時はWebサーバ(Interstage HTTP Server)を停止してください。

 認証サーバの資源をバックアップ用ディレクトリにコピーする例

 バックアップ用ディレクトリ:X:\Backup\ssoatcag
 copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

copy C:\Interstage\F3FMsso\ssoatcag\conf\ssoatcag.conf X:\Backup\ssoatcag
copy C:\Interstage\F3FMsso\ssoatcag\conf\serviceid X:\Backup\ssoatcag (注1)
xcopy /E /I C:\Interstage\F3FMsso\ssoatcag\pub\template X:\Backup\ssoatcag\template (注2)


 バックアップ用ディレクトリ:/backup/FJSVssoac
 cpコマンドを使用して、コピーします。

cp -p /etc/opt/FJSVssoac/conf/ssoatcag.conf /backup/FJSVssoac
cp -p /etc/opt/FJSVssoac/conf/serviceid /backup/FJSVssoac (注1)
cp -rp /etc/opt/FJSVssoac/pub/template /backup/FJSVssoac (注2)

 注1) サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。
 注2) V6からの移行時のみ必要な作業です。

 Webサーバ(Interstage HTTP Server)の移行については“8.0以前のInterstage HTTP Server(Apache 1.3ベース)からの移行”を参照してください。
 なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。

2) SSL通信を行うための環境のバックアップ

認証サーバでSSL通信を行うための環境構築を行っている場合 (V6.0からの移行時)

 Interstage証明書環境資源をバックアップします。

 Interstage証明書環境資源をバックアップ用ディレクトリにコピーする例

 バックアップ用ディレクトリ:X:\Backup\scs
 xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

xcopy /E C:\Interstage\etc\security X:\Backup\scs


 バックアップ用ディレクトリ:/backup/scs
 cpコマンドを使用して、コピーします。

cp -rp /etc/opt/FJSVisscs/security /backup/scs

 注) Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、ユーザアカウントやグループ等のシステムの情報についてもバックアップするようにしてください。

認証サーバでSSL通信を行うための環境構築を行っている場合 (V5.1からの移行時)

 本バージョン・レベルではSSL環境にInterstage証明書環境を使用します。V5.1のシステムに構築したSSL環境からサイト証明書を抽出し移行後のInterstage証明書環境にサイト証明書を移入してください。 (注)
 サイト証明書の抽出はV5.1のシステムに構築したSSL環境からcmmkpfxコマンドを使用してPKCS#12形式で取り出します。cmmkpfxコマンドの詳細については、V5.1の“リファレンスマニュアル(コマンド)編”を参照してください。
 注) 移行に関してはサイト証明書を発行した認証局のライセンス契約を確認した上で行ってください。

 サイト証明書を抽出する例

 cmmkpfxコマンドが格納されているディレクトリ:C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE
 PKCS#12ファイル出力先:X:\Backup\server-cert.pfx
 運用管理ディレクトリ:C:\sslenv\manage
 サイト証明書が存在するトークンのラベル:SSOToken
 SSL通信に使用する証明書のニックネーム:SERVERCERT

"C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE\cmmkpfx" X:\Backup\server-cert.pfx -ed C:\sslenv\manage -tl SSOToken -nn SERVERCERT


 PKCS#12ファイル出力先:/backup/server-cert.pfx
 運用管理ディレクトリ:/sslenv/manage
 サイト証明書が存在するトークンのラベル:SSOToken
 SSL通信に使用する証明書のニックネーム:SERVERCERT

/opt/FJSVsmee/bin/cmmkpfx /backup/server-cert.pfx -ed /sslenv/manage -tl SSOToken -nn SERVERCERT

 User-PINの入力を求められますので入力してください。
 PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。

認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合、または
認証サーバでSSL通信を行うための環境構築を行っていない場合 (V5.1からの移行時)

 SSL通信を行うための環境をバックアップする必要はありません。

3) パッケージのアンインストールとインストール

 現在インストールされているパッケージをアンインストール後、本バージョン・レベルのパッケージをインストールします。

4) SSL通信を行うための環境のリストア、または環境の構築

認証サーバでSSL通信を行うための環境構築を行っている場合 (V6.0からの移行時)

 バックアップしたInterstage証明書環境資源をリストアします。

 バックアップ用ディレクトリのInterstage証明書環境資源をリストアする例

 バックアップ用ディレクトリ:X:\Backup\scs
 xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

xcopy /E X:\Backup\scs C:\Interstage\etc\security


 バックアップ用ディレクトリ:/backup/scs
 cpコマンドを使用して、コピーします。

cp -rp /backup/scs/security /etc/opt/FJSVisscs

 注) バックアップ前と同じディレクトリ、同じ権限でリストアしてください。また、Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、必要に応じ、ユーザアカウントやグループ等のシステムの情報についてもリストアするようにしてください。

認証サーバでSSL通信を行うための環境構築を行っている場合 (V5.1からの移行時)

 SSL通信を行うための環境のバックアップでPKCS#12形式で取り出したサイト証明書をInterstage証明書環境に移入します。サイト証明書を移行する場合、以下の手順で行います。

  1. scsimppfxコマンドを使用してInterstage証明書環境にサイト証明書を登録します。
    scsimppfxコマンドの詳細については“リファレンスマニュアル(コマンド)編”を参照してください。
    なお、サイト証明書登録時には事前にInterstage証明書環境を作成する必要があります。Interstage証明書環境の作成方法については“セキュリティシステム運用ガイド”の“SSLによる暗号化通信”−“Interstage証明書環境の構築と利用”−“環境の構築方法”の“PKCS#12データを使用する方法”を参照してください。
     
  2. 証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行う場合には、Interstage証明書環境に認証局より取得したCRLを登録する必要があります。
    Interstage証明書環境にCRLを登録する方法については“セキュリティシステム運用ガイド”の“SSLによる暗号化通信”−“Interstage証明書環境の構築と利用”−“CSRによるInterstage証明書環境の構築方法”−“証明書・CRLの登録”を参照してください。
     
  3. サイト証明書の登録後、Interstage管理コンソールを使用してSSLの定義を作成します。
    SSLの定義の設定については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“認証サーバの構築”−“SSL通信環境の構築”−“SSL通信を行うための設定”を参照してください。
 Interstage証明書環境を構築する実行例

scsmakeenv -e


 Bourneシェルを使用した実行例です。
 コマンド実行時には環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
 Interstage証明書環境の所有グループ:iscertg

JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
scsmakeenv -e -g iscertg

 パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。
 Interstage証明書環境にサイト証明書を移入する実行例

 取り出したPKCS#12ファイル:X:\Backup\server-cert.pfx

scsimppfx -f X:\Backup\server-cert.pfx


 取り出したPKCS#12ファイル:/backup/server-cert.pfx

scsimppfx -f /backup/server-cert.pfx

 Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
 PKCS#12データに設定したパスワードの入力を求められますので入力してください。
 Interstage証明書環境にCRLを登録する実行例

 取得したCRL:C:\temp\crl.crl

scsenter -c -f C:\temp\crl.crl


取得したCRL:/tmp/crl.crl

scsenter -c -f /tmp/crl.crl

 Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。

認証サーバでSSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携してSSL通信を行うための環境構築を行っている場合

 SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。

認証サーバでSSL通信を行うための環境構築を行っていない場合 (V5.1からの移行時)

 V5.1の認証サーバでSSL通信を行うための環境構築を行っていない場合、SSL通信環境を構築する必要があります。SSL通信環境には、認証サーバでSSL通信を行う場合とSSL Accelerator 7117などのSSLアクセラレータやInterstage Security Directorなど認証サーバ以外でSSL通信を行う場合があり、それぞれ環境の構築方法が異なります。
 SSL通信の環境構築については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“認証サーバの構築”−“SSL通信環境の構築”を参照してください。
 なお、SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。


 SSL通信環境を構築する場合には、業務サーバから認証サーバにアクセスするためのURLを“http”から“https”に変更する必要があります。Interstage Application Server Standard Edition、Enterprise Edition V5.1の業務サーバを本バージョン・レベルに移行する際に、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”に認証サーバへアクセスするためのURLを設定してください。

5) 認証サーバ資源のリストア

 “認証サーバ資源のバックアップ”でバックアップした認証サーバの資源をリストアします。

 バックアップ用ディレクトリの認証サーバの資源をリストアする例

 バックアップ用ディレクトリ:X:\Backup\ssoatcag
 copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

copy X:\Backup\ssoatcag\ssoatcag.conf C:\Interstage\F3FMsso\ssoatcag\conf
copy X:\Backup\ssoatcag\serviceid C:\Interstage\F3FMsso\ssoatcag\conf (注1)
xcopy /E /I X:\Backup\ssoatcag\template C:\Interstage\F3FMsso\ssoatcag\pub\template (注2)


 バックアップ用ディレクトリ:/backup/FJSVssoac
 cpコマンドを使用して、コピーします。

cp -p /backup/FJSVssoac/ssoatcag.conf /etc/opt/FJSVssoac/conf
cp -p /backup/FJSVssoac/serviceid /etc/opt/FJSVssoac/conf (注1)
cp -rp /backup/FJSVssoac/template /etc/opt/FJSVssoac/pub (注2)

 注1) サービスIDファイルは必ず上記にリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。
 注2) V6からの移行時のみ必要な作業です。

6) 認証サーバ定義ファイルの編集

 environment-directory定義が設定されている場合には、定義を削除してください。
 また、accesslog-filename定義を以下に変更してください。

accesslog-filename=C:\Interstage\F3FMsso\ssoatcag\log\ssoatcag.log

accesslog-filename=/var/opt/FJSVssoac/log/ssoatcag.log

V5.1からの移行時

 Interstage Application Server V5.1から移行する場合は、上記に加えて以下の作業を行ってください。
 V5.1でのリポジトリサーバの以下の定義は、本バージョン・レベルでは認証サーバで定義します。認証サーバの定義ファイルをリストア後、リポジトリサーバの定義に設定されている以下の定義を認証サーバ定義ファイルに追加して設定してください。 (注1)

注1) リポジトリサーバが複数台で運用されていた場合は、リポジトリサーバ(更新系)の定義を認証サーバ定義ファイルに追加してください。また、認証サーバが複数台で運用されていた場合は、すべての認証サーバの定義ファイルに追加してください。
注2) 本バージョン・レベルでは、本定義名に複数の属性名を設定することはできません。V5.1で、本定義に複数の属性名を設定していた場合には、使用する証明書にあわせて“mail”、“employeeNumber”、“uid”、“serialNumber”、“dnQualifier”、“cn”のいずれか1つを設定してください。

7) Webサーバ(Interstage HTTP Server)定義の編集

 Webサーバ(Interstage HTTP Server)の移行作業を実施後、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に設定されている認証サーバの設定を削除し、以下の設定を追加してください。また、V6.0/V5.1の認証サーバでSSL通信を行うための環境構築を行っている場合は、認証サーバで使用しているSSL通信の設定も削除してください。なお、ポート番号は移行前に使用していたポート番号を設定してください。
 削除する設定については、旧バージョン・レベルの“シングル・サインオン運用ガイド”の“環境構築”−“認証サーバの環境構築”−“Interstage HTTP Serverの環境定義ファイルの設定”を参照してください。

 なお、Interstage HTTP Serverの環境定義の編集に失敗している場合は、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [一覧]に表示される認証サーバのポート番号に“不明”と表示されます。編集内容に間違いがないか確認してください。

環境定義ファイルに追加する項目

項目名

内容

Listen

認証サーバが起動するときのネットワークポート番号

LoadModule

認証サーバのプログラム

<VirtualHost _default_:ポート番号>
<Location>
SetHandler
</Location>
DocumentRoot
</VirtualHost>

認証サーバの実行に必要な項目

 Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例
 環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。

Listen 443
LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "C:\Interstage\F3FMsso\ssoatcag\pub\docroot"
</VirtualHost>

Listen 443
LoadModule ssoatcag_module "/opt/FJSVssoac/lib/ssoatcag.so"
<VirtualHost _default_:443>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
DocumentRoot "/opt/FJSVssoac/pub/docroot"
</VirtualHost>

8) 認証サーバの環境設定

 環境移行後、認証サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

  1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]に業務システムからアクセスを受け付ける認証基盤のURLを設定します。認証基盤のURLについては“シングル・サインオン運用ガイド”の“概要”−“URLの決定”−“認証基盤のURLについて”を参照してください。
     
  2. V5.1から移行する場合は、[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブより、認証サーバで使用するWebサーバに、SSL通信を行うための環境のリストア、または環境の構築で作成したSSL定義を指定してください。認証サーバで使用するWebサーバは、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[通信の設定]の[使用しているWebサーバ]より確認できます。
    なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、利用者の証明書が失効されているかの確認を行わない場合にはSSL定義の指定は不要です。
     
  3. 業務サーバを非SSL(http)通信で運用している場合は、[業務システムとの通信の設定]の[HTTP通信]に“許可する”を選択します。
     
  4. SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、証明書認証を行う場合には[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]にユーザ証明書を獲得するHTTPヘッダ名を指定してください。
     
  5. [適用]ボタンをクリックします。


目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2007