5.11.7 Interstage Application Server Plus、Web-J Edition V6.0からの業務サーバの移行

業務サーバの移行手順について説明します。
負荷分散のために、業務サーバを複数構築して運用している場合は、同時に移行してバージョン・レベルを合わせてください。

■移行手順

移行は以下の手順で行います。

業務サーバの保護リソースへのアクセスは、Interstage シングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバは、SSL(https)通信で運用することを強く推奨します。
非SSL(http)通信で運用しているV6.0以前の業務サーバを本バージョン・レベルに移行する場合には、認証サーバの定義ファイル(ssoatcag.conf)の“allow-redirect-over-http”に“YES”を設定してください。
本バージョン・レベルは、Windows NT(R) Server 4.0をサポートしていないため、V6.0以前でMicrosoft(R) Internet Information Server 4.0を使用している場合は、別のWebサーバを使用してください。
本バージョン・レベルは、Solaris 8をサポートしていないため、V6.0以前でSun Java System Web Server 4.1を使用している場合は、別のWebサーバを使用してください。
本バージョン・レベルでは、InfoProvider Proをサポートしていないため、V6.0以前でInfoProvider Proを使用している場合は、別のWebサーバを使用してください。

1) 業務サーバ資源のバックアップ

以下の業務サーバの資源をバックアップします。

業務サーバ定義ファイル
サービスIDファイル
アクセス制御情報ファイル
メッセージファイル (V6からの移行時のみ)

資源のバックアップ時は業務サーバに使用しているWebサーバを停止してください。

業務サーバの資源をバックアップ用ディレクトリにコピーする例

バックアップ用ディレクトリ:X:\Backup\ssoatzag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf X:\Backup\ssoatzag
copy C:\Interstage\F3FMsso\ssoatzag\conf\domainsid X:\Backup\ssoatzag (注1)
copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl X:\Backup\ssoatzag (注2)
xcopy /E /I C:\Interstage\F3FMsso\ssoatzag\pub\template X:\Backup\ssoatzag\template (注3)

バックアップ用ディレクトリ:/backup/FJSVssoaz
cpコマンドを使用して、コピーします。

cp -p /etc/opt/FJSVssoaz/conf/ssoatzag.conf /backup/FJSVssoaz
cp -p /etc/opt/FJSVssoaz/conf/domainsid /backup/FJSVssoaz (注1)
cp -p /etc/opt/FJSVssoaz/conf/ssoacsctl /backup/FJSVssoaz (注2)
cp -rp /etc/opt/FJSVssoaz/pub/template /backup/FJSVssoaz (注3)

  注1) サービスIDファイルは業務サーバ定義ファイルの“ServiceIDPath”定義に設定したファイルを指定してください。
  注2) アクセス制御情報ファイルは業務サーバ定義ファイルの“AccessCtl”定義に設定したファイルを指定してください。
  注3) V6からの移行時のみ必要な作業です。

WebサーバにInterstage HTTP Serverを使用している場合は、Webサーバ(Interstage HTTP Server)の移行が必要です。Webサーバ(Interstage HTTP Server)の移行については“4.1.1 8.0以前のInterstage HTTP Server（Apache HTTP Server 1.3ベース）からの移行”を参照してください。
なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。

2) SSL通信を行うための環境のバックアップ

業務サーバでSSL通信を行うための環境構築を行っている場合は、SSL通信を行うための環境をバックアップします。
WebサーバにInterstage HTTP Serverを使用している場合は、“4.1.1 8.0以前のInterstage HTTP Server（Apache HTTP Server 1.3ベース）からの移行”を参照してください。

3) パッケージのアンインストールとインストール

現在インストールされているパッケージをアンインストール後、本バージョン・レベルのパッケージをインストールします。

4) SSL通信を行うための環境のリストア、または環境の構築

バックアップしたSSL通信を行うための環境をリストアします。
WebサーバにInterstage HTTP Serverを使用している場合は、“4.1.1 8.0以前のInterstage HTTP Server（Apache HTTP Server 1.3ベース）からの移行”を参照してください。

5) 業務サーバ資源のリストア

“1) 業務サーバ資源のバックアップ”でバックアップした業務サーバの資源をリストアします。

バックアップ用ディレクトリの業務サーバの資源をリストアする例

バックアップ用ディレクトリ:X:\Backup\ssoatzag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。

copy X:\Backup\ssoatzag\ssoatzag.conf C:\Interstage\F3FMsso\ssoatzag\conf
copy X:\Backup\ssoatzag\domainsid C:\Interstage\F3FMsso\ssoatzag\conf (注1)
copy X:\Backup\ssoatzag\ssoacsctl C:\Interstage\F3FMsso\ssoatzag\conf (注2)
xcopy /E /I X:\Backup\ssoatzag\template C:\Interstage\F3FMsso\ssoatzag\pub\template (注3)

バックアップ用ディレクトリ:/backup/FJSVssoaz
cpコマンドを使用して、コピーします。

cp -p /backup/FJSVssoaz/ssoatzag.conf /etc/opt/FJSVssoaz/conf
cp -p /backup/FJSVssoaz/domainsid /etc/opt/FJSVssoaz/conf (注1)
cp -p /backup/FJSVssoaz/ssoacsctl /etc/opt/FJSVssoaz/conf (注2)
cp -rp /backup/FJSVssoaz/template /etc/opt/FJSVssoaz/pub (注3)

  注1) サービスIDファイルは必ず上記にリストアし、業務サーバ定義ファイルの“ServiceIDPath”定義に設定してください。
  注2) アクセス制御情報ファイルは必ず上記にリストアし、業務サーバ定義ファイルの“AccessCtl”定義に設定してください。
  注3) V6からの移行時のみ必要な作業です。

6) 業務サーバ定義ファイルの編集

業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。

業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。以下の各定義は、該当する業務サーバのServerPort定義の後に設定してください。

business-system-name
web-server-name
business-system-name
web-server-name

web-user-name

定義項目	追加/変更	説明
business-system-name	追加	業務システム名(業務システムの名称)を設定します。業務システム名は1～32文字までの文字列を設定します。下記の文字を使用してください。下記以外の文字を使用した場合は、業務サーバの環境が壊れていると扱われます。また、本定義が未設定の場合は、業務システム名はポート番号(業務サーバ定義ファイルのServerPort定義)の値となります。英数字ハイフン (-) アンダースコア (_) 左括弧 (() 右括弧 ()) 左角括弧 ([) 右角括弧 (]) 業務サーバを複数設定している場合、各業務サーバのbusiness-system-nameの設定値を一意に設定してください。一意ではない場合には、ポート番号(業務サーバ定義ファイルのServerPort定義)の値が最も小さい業務サーバの定義のみが有効となり、その他の業務サーバの定義は無視されます。
web-server-name	追加	業務サーバが動作しているWebサーバの種類を設定します。以下のいずれかの値を設定します。 WebサーバにInterstage HTTP Serverを使用している場合設定値:IHS WebサーバにInterstage HTTP Server以外を使用している場合設定値:OTHER
web-user-name	追加	Webサーバが動作する実効ユーザ名を設定します。設定するユーザ名については以下を参照してください。 Interstage HTTP Server 環境定義ファイル(httpd.conf)の“User”に設定されたユーザIDを参照してください。デフォルトは“nobody”です。 Sun Java System Web Server 4.1、またはSun Java System Web Server 6.0 環境定義ファイル(“Sun Java System Web Serverのインストールパス/https-INSTANCE_NAME (注)/config/obj.conf”)の“User”に設定されたユーザアカウントを参照してください。デフォルトは“nobody”です。注) https-INSTANCE_NAMEとは、ユーザがサーバとして設定したマシン名です。マシン名がwww.fujitsu.comの場合、https-www.fujitsu.comとなります。
FQDN	変更	業務システムが利用者に公開するURLとして、プロトコル(スキーム)およびポート番号を必ず以下の形式(太字部分を追加)で設定してください。すでに以下の形式で設定されている場合は、変更する必要はありません。 http://FQDN:ポート番号 https://FQDN:ポート番号なお、業務システムが利用者に公開するURLは、ロードバランサなど、他の装置、製品との組み合わせにより設定方法が異なります。設定方法の詳細については、“シングル・サインオン運用ガイド”の“概要”－“URLの決定”－“業務システムの公開URLについて”を参照してください。
accesslog-filename	変更	アクセスログの出力先ファイル名を以下のように設定してください。 C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log /var/opt/FJSVssoaz/log/ssoatzag443.log ファイル名についている“443”には、業務サーバのポート番号を設定します。マルチポート運用の場合は、すでに存在するファイル名と重複しないよう注意してください。

また、リストアした業務サーバ定義ファイルに以下の定義項目が、異なる内容で設定されている場合には、設定内容を“変更前の設定”から“変更後の設定”に変更してください。

定義項目

CredentialDN
CredentialUID
CredentialROLELIST
CredentialROLECOUNT
CredentialIPADDRESS
CredentialAUTHMETHOD
CredentialFIRSTACCESS
CredentialEXPIRATION
CredentialDOMAIN

設定内容

各定義項目の変更前の設定	各定義項目の変更後の設定
すべて“YES”の場合	変更する必要はありません。
すべて“NO”の場合	変更する必要はありません。
“YES”と“NO”が混在している場合	すべて“YES”に変更してください。
“YES”と省略値(注)が混在している場合	すべて“YES”に変更してください。
“NO”と省略値(注)が混在している場合	すべて“NO”に変更してください。
上記の定義項目のうち、設定されていない定義項目が存在する場合	設定されていない定義項目を追加してください。追加した定義項目は、設定済みの定義項目の内容によって、以下のように設定してください。すべて“YES”の場合は“YES” すべて“NO”の場合は“NO” “YES”と“NO”が混在している場合は“YES” “YES”と省略値(注)が混在している場合は“YES” “NO”と省略値(注)が混在している場合は“NO”

注) 省略値:設定値がない、または“YES”や“NO”以外が設定されている

業務サーバ定義ファイルの編集例

  以下は、業務システム名に“Business001”、使用しているWebサーバに“IHS”を設定しています。
  また、V6.0/V5.1の業務サーバをSSL(https)通信で運用し、業務サーバのFQDNが“www.fujitsu.com”、ポート番号に“443”を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて“YES”に変更しています。
  太字部分は運用に合わせて変更してください。

アクセスログの出力先ファイル:C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log

business-system-name=Business001
web-server-name=IHS
FQDN=https://www.fujitsu.com:443
accesslog-filename=C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log
CredentialDN=YES
CredentialUID=YES
CredentialROLELIST=YES
CredentialROLECOUNT=YES
CredentialIPADDRESS=YES
CredentialAUTHMETHOD=YES
CredentialFIRSTACCESS=YES
CredentialEXPIRATION=YES
CredentialDOMAIN=YES

Webサーバが動作する実効ユーザ名:nobody
アクセスログの出力先ファイル:/var/opt/FJSVssoaz/log/ssoatzag443.log

business-system-name=Business001
web-server-name=IHS
web-user-name=nobody
FQDN=https://www.fujitsu.com:443
accesslog-filename=/var/opt/FJSVssoaz/log/ssoatzag443.log
CredentialDN=YES
CredentialUID=YES
CredentialROLELIST=YES
CredentialROLECOUNT=YES
CredentialIPADDRESS=YES
CredentialAUTHMETHOD=YES
CredentialFIRSTACCESS=YES
CredentialEXPIRATION=YES
CredentialDOMAIN=YES

V5.1からの移行において、業務サーバがアクセスする認証サーバの環境を、SSL通信を行うように変更した場合には、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”の設定を「認証基盤のURL＋“/ssoatcag”」の形式に変更してください。
なお、認証基盤のURLについては、アクセスする認証基盤をInterstage管理コンソールで環境定義している場合には、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択して、[リポジトリサーバ詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]を参照してください。

7) 業務サーバの環境設定

環境移行後、業務サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[認証基盤の情報]の[リポジトリサーバのURL]にリポジトリサーバのURLを設定します。
[適用]ボタンをクリックします。

前項の“6) 業務サーバ定義ファイルの編集”で設定した値が正しく設定されているか確認してください。設定する各項目と環境定義ファイルの定義項目との対応表を以下に示します。

定義項目	Interstage管理コンソールの設定
business-system-name	[詳細設定[表示]] > [業務システムの情報] > [業務システム名]
web-server-name	[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ]
web-user-name	[詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] > [実効ユーザ名] (注1)
accesslog-filename	[アクセスログ] > [ファイル名]
CredentialDN	[詳細設定[表示]] > [Webアプリケーションとの連携] > [ユーザ情報の通知] (注2)
CredentialUID
CredentialROLELIST
CredentialROLECOUNT
CredentialIPADDRESS
CredentialAUTHMETHOD
CredentialFIRSTACCESS
CredentialEXPIRATION
CredentialDOMAIN

注1) web-server-nameにOTHERを設定した場合のみ表示されます。
注2) 定義項目を“YES”と設定した場合には“通知する”、“NO”と設定した場合には“通知しない”と表示されます。

8) Webサーバの設定

WebサーバにSun Java System Web Server 4.1,6.0を使用している場合は、Sun Java System Web Serverの環境定義ファイルを編集してください。環境定義ファイルの編集方法については、“シングル・サインオン運用ガイド”の“環境構築(業務サーバ管理者編)”－“Webサーバへの組み込み”を参照してください。

9) Interstage証明書環境の作成

Interstage証明書環境が作成されていない場合は、Interstage証明書環境を作成してください。Interstage証明書環境の作成については“シングル・サインオン運用ガイド”の“SSL通信で運用するための準備”－“Interstage証明書環境の作成”を参照してください。