認証サーバの移行手順について説明します。
認証サーバを複数構築して運用している場合は、同時に移行してバージョン・レベルを合わせてください。
■移行手順
移行は以下の手順で行います。
1) 認証サーバ資源のバックアップ
以下の認証サーバの資源をバックアップします。
認証サーバ定義ファイル
サービスIDファイル
メッセージファイル (V6からの移行時のみ)
資源のバックアップ時はWebサーバ(Interstage HTTP Server)を停止してください。
認証サーバの資源をバックアップ用ディレクトリにコピーする例
バックアップ用ディレクトリ:X:\Backup\ssoatcag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy C:\Interstage\F3FMsso\ssoatcag\conf\ssoatcag.conf X:\Backup\ssoatcag |
バックアップ用ディレクトリ:/backup/FJSVssoac
cpコマンドを使用して、コピーします。
cp -p /etc/opt/FJSVssoac/conf/ssoatcag.conf /backup/FJSVssoac |
注1) サービスIDファイルは認証サーバ定義ファイルの“serviceidpath”定義に設定したファイルを指定してください。
注2) V6からの移行時のみ必要な作業です。
Webサーバ(Interstage HTTP Server)の移行については“4.1.1 8.0以前のInterstage HTTP Server(Apache HTTP Server 1.3ベース)からの移行”を参照してください。
なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。
2) SSL通信を行うための環境のバックアップ
Interstage証明書環境資源をバックアップします。
Interstage証明書環境資源をバックアップ用ディレクトリにコピーする例
バックアップ用ディレクトリ:X:\Backup\scs
xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
xcopy /E C:\Interstage\etc\security X:\Backup\scs |
バックアップ用ディレクトリ:/backup/scs
cpコマンドを使用して、コピーします。
cp -rp /etc/opt/FJSVisscs/security /backup/scs |
注) Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、ユーザアカウントやグループ等のシステムの情報についてもバックアップするようにしてください。
本バージョン・レベルではSSL環境にInterstage証明書環境を使用します。V5.1のシステムに構築したSSL環境からサイト証明書を抽出し移行後のInterstage証明書環境にサイト証明書を移入してください。 (注)
サイト証明書の抽出はV5.1のシステムに構築したSSL環境からcmmkpfxコマンドを使用してPKCS#12形式で取り出します。cmmkpfxコマンドの詳細については、V5.1の“リファレンスマニュアル(コマンド)編”を参照してください。
注) 移行に関してはサイト証明書を発行した認証局のライセンス契約を確認した上で行ってください。
サイト証明書を抽出する例
cmmkpfxコマンドが格納されているディレクトリ:C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE
PKCS#12ファイル出力先:X:\Backup\server-cert.pfx
運用管理ディレクトリ:C:\sslenv\manage
サイト証明書が存在するトークンのラベル:SSOToken
SSL通信に使用する証明書のニックネーム:SERVERCERT
"C:\Program Files\Common Files\Fujitsu Shared\F3FSSMEE\cmmkpfx" X:\Backup\server-cert.pfx -ed C:\sslenv\manage -tl SSOToken -nn SERVERCERT |
PKCS#12ファイル出力先:/backup/server-cert.pfx
運用管理ディレクトリ:/sslenv/manage
サイト証明書が存在するトークンのラベル:SSOToken
SSL通信に使用する証明書のニックネーム:SERVERCERT
/opt/FJSVsmee/bin/cmmkpfx /backup/server-cert.pfx -ed /sslenv/manage -tl SSOToken -nn SERVERCERT |
User-PINの入力を求められますので入力してください。
PKCS#12データに設定するPassword、および再入力を求められます。パスワードを設定してください。
SSL通信を行うための環境をバックアップする必要はありません。
3) パッケージのアンインストールとインストール
現在インストールされているパッケージをアンインストール後、本バージョン・レベルのパッケージをインストールします。
4) SSL通信を行うための環境のリストア、または環境の構築
バックアップしたInterstage証明書環境資源をリストアします。
バックアップ用ディレクトリのInterstage証明書環境資源をリストアする例
バックアップ用ディレクトリ:X:\Backup\scs
xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
xcopy /E X:\Backup\scs C:\Interstage\etc\security |
バックアップ用ディレクトリ:/backup/scs
cpコマンドを使用して、コピーします。
cp -rp /backup/scs/security /etc/opt/FJSVisscs |
注) バックアップ前と同じディレクトリ、同じ権限でリストアしてください。また、Interstage証明書環境は、環境構築時に指定したグループからアクセス可能となっています。そのため、必要に応じ、ユーザアカウントやグループ等のシステムの情報についてもリストアするようにしてください。
2) SSL通信を行うための環境のバックアップでPKCS#12形式で取り出したサイト証明書をInterstage証明書環境に移入します。サイト証明書を移行する場合、以下の手順で行います。
scsimppfxコマンドを使用してInterstage証明書環境にサイト証明書を登録します。
scsimppfxコマンドの詳細については“リファレンスマニュアル(コマンド)編”を参照してください。
なお、サイト証明書登録時には事前にInterstage証明書環境を作成する必要があります。Interstage証明書環境の作成方法については“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”-“環境の構築方法”の“PKCS#12データを使用する方法”を参照してください。
証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行う場合には、Interstage証明書環境に認証局より取得したCRLを登録する必要があります。
Interstage証明書環境にCRLを登録する方法については“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”-“CSRによるInterstage証明書環境の構築方法”-“証明書・CRLの登録”を参照してください。
サイト証明書の登録後、Interstage管理コンソールを使用してSSLの定義を作成します。
SSLの定義の設定については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“認証サーバの構築”-“SSL通信環境の構築”-“SSL通信を行うための設定”を参照してください。
Interstage証明書環境を構築する実行例
scsmakeenv -e |
Bourneシェルを使用した実行例です。
コマンド実行時には環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
Interstage証明書環境の所有グループ:iscertg
JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME |
パスワードの入力を求められますので、Interstage証明書環境に設定するパスワードを指定してください。
Interstage証明書環境にサイト証明書を移入する実行例
取り出したPKCS#12ファイル:X:\Backup\server-cert.pfx
scsimppfx -f X:\Backup\server-cert.pfx |
取り出したPKCS#12ファイル:/backup/server-cert.pfx
scsimppfx -f /backup/server-cert.pfx |
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
PKCS#12データに設定したパスワードの入力を求められますので入力してください。
Interstage証明書環境にCRLを登録する実行例
取得したCRL:C:\temp\crl.crl
scsenter -c -f C:\temp\crl.crl |
取得したCRL:/tmp/crl.crl
scsenter -c -f /tmp/crl.crl |
Interstage証明書環境に設定したパスワードの入力を求められますので、入力してください。
SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
V5.1の認証サーバでSSL通信を行うための環境構築を行っていない場合、SSL通信環境を構築する必要があります。SSL通信環境には、認証サーバでSSL通信を行う場合とSSL Accelerator 7117などのSSLアクセラレータやInterstage Security Directorなど認証サーバ以外でSSL通信を行う場合があり、それぞれ環境の構築方法が異なります。
SSL通信の環境構築については“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“認証サーバの構築”-“SSL通信環境の構築”を参照してください。
なお、SSL Accelerator 7117と連携する場合には、SSL Accelerator 7117の“取扱説明書”を参照してください。また、Interstage Security Directorと連携する場合には、Interstage Security Directorのマニュアルを参照してください。
SSL通信環境を構築する場合には、業務サーバから認証サーバにアクセスするためのURLを“http”から“https”に変更する必要があります。Interstage Application Server Standard Edition、Enterprise Edition V5.1の業務サーバを本バージョン・レベルに移行する際に、業務サーバの定義ファイル(ssoatzag.conf)の“AuthServerURL”に認証サーバへアクセスするためのURLを設定してください。
5) 認証サーバ資源のリストア
“1) 認証サーバ資源のバックアップ”でバックアップした認証サーバの資源をリストアします。
バックアップ用ディレクトリの認証サーバの資源をリストアする例
バックアップ用ディレクトリ:X:\Backup\ssoatcag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy X:\Backup\ssoatcag\ssoatcag.conf C:\Interstage\F3FMsso\ssoatcag\conf |
バックアップ用ディレクトリ:/backup/FJSVssoac
cpコマンドを使用して、コピーします。
cp -p /backup/FJSVssoac/ssoatcag.conf /etc/opt/FJSVssoac/conf |
注1) サービスIDファイルは必ず上記にリストアし、認証サーバ定義ファイルの“serviceidpath”定義に設定してください。
注2) V6からの移行時のみ必要な作業です。
6) 認証サーバ定義ファイルの編集
environment-directory定義が設定されている場合には、定義を削除してください。
また、accesslog-filename定義を以下に変更してください。
accesslog-filename=C:\Interstage\F3FMsso\ssoatcag\log\ssoatcag.log |
accesslog-filename=/var/opt/FJSVssoac/log/ssoatcag.log |
Interstage Application Server V5.1から移行する場合は、上記に加えて以下の作業を行ってください。
V5.1でのリポジトリサーバの以下の定義は、本バージョン・レベルでは認証サーバで定義します。認証サーバの定義ファイルをリストア後、リポジトリサーバの定義に設定されている以下の定義を認証サーバ定義ファイルに追加して設定してください。 (注1)
password-max-failure-count
lock-out-time
certificate-mapping-attribute (注2)
default-credential-expiration-time
certificate-identification
注1) リポジトリサーバが複数台で運用されていた場合は、リポジトリサーバ(更新系)の定義を認証サーバ定義ファイルに追加してください。また、認証サーバが複数台で運用されていた場合は、すべての認証サーバの定義ファイルに追加してください。
注2) 本バージョン・レベルでは、本定義名に複数の属性名を設定することはできません。V5.1で、本定義に複数の属性名を設定していた場合には、使用する証明書にあわせて“mail”、“employeeNumber”、“uid”、“serialNumber”、“dnQualifier”、“cn”のいずれか1つを設定してください。
7) Webサーバ(Interstage HTTP Server)定義の編集
Webサーバ(Interstage HTTP Server)の移行作業を実施後、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に設定されている認証サーバの設定を削除し、以下の設定を追加してください。また、V6.0/V5.1の認証サーバでSSL通信を行うための環境構築を行っている場合は、認証サーバで使用しているSSL通信の設定も削除してください。なお、ポート番号は移行前に使用していたポート番号を設定してください。
削除する設定については、旧バージョン・レベルの“シングル・サインオン運用ガイド”の“環境構築”-“認証サーバの環境構築”-“Interstage HTTP Serverの環境定義ファイルの設定”を参照してください。
なお、Interstage HTTP Serverの環境定義の編集に失敗している場合は、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [一覧]に表示される認証サーバのポート番号に“不明”と表示されます。編集内容に間違いがないか確認してください。
環境定義ファイルに追加する項目
項目名 | 内容 |
---|---|
Listen | 認証サーバが起動するときのネットワークポート番号 |
LoadModule | 認証サーバのプログラム |
<VirtualHost _default_:ポート番号> | 認証サーバの実行に必要な項目 |
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例
環境定義ファイルの最終行に以下の記述を追加し、太字部分(ポート番号)を運用に合わせて変更してください。なお、以下は認証サーバを運用するポート番号に“443”を使用する場合を例にしています。
Listen 443 |
Listen 443 |
8) 認証サーバの環境設定
環境移行後、認証サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]に業務システムからアクセスを受け付ける認証基盤のURLを設定します。認証基盤のURLについては“シングル・サインオン運用ガイド”の“概要”-“URLの決定”-“認証基盤のURLについて”を参照してください。
V5.1から移行する場合は、[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブより、認証サーバで使用するWebサーバに、4) SSL通信を行うための環境のリストア、または環境の構築で作成したSSL定義を指定してください。認証サーバで使用するWebサーバは、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[通信の設定]の[使用しているWebサーバ]より確認できます。
なお、SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、利用者の証明書が失効されているかの確認を行わない場合にはSSL定義の指定は不要です。
業務サーバを非SSL(http)通信で運用している場合は、[業務システムとの通信の設定]の[HTTP通信]に“許可する”を選択します。
SSL Accelerator 7117などのSSLアクセラレータ、またはInterstage Security Directorと連携し、証明書認証を行う場合には[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]にユーザ証明書を獲得するHTTPヘッダ名を指定してください。
[適用]ボタンをクリックします。
業務サーバの保護リソースへのアクセスは、Interstage シングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバはSSL(https)通信で運用することを強く推奨します。
また、より安全に運用していただくために、すべての業務サーバをSSL(https)通信で運用している場合には、以下の設定をすることにより、非SSL(http)通信で運用している業務サーバからのアクセスを禁止できます。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックします。
[業務システムとの通信の設定]の[HTTP通信]に“許可しない”を選択します。
[適用]ボタンをクリックします。
本バージョン・レベルでは、セキュリティ上、Webブラウザに表示する一部のメッセージを「ユーザ名、またはパスワードが正しくありません。」に統一しています。今までのメッセージをそのまま表示したい場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムとの通信の設定]の[利用者への認証失敗原因の通知]に“通知する”を選択してください。