業務サーバの移行手順について説明します。
負荷分散のために、業務サーバを複数構築して運用している場合は、同時に移行してバージョン・レベルを合わせてください。
移行手順
移行は以下の手順で行います。
ポイント
業務サーバの保護リソースへのアクセスは、Interstage シングル・サインオンにより制御されますが、業務サーバを非SSL(http)通信で運用している場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL(https)通信で運用することにより通信内容を暗号化し、盗聴から守ることができます。業務サーバは、SSL(https)通信で運用することを強く推奨します。
非SSL(http)通信で運用しているV6.0以前の業務サーバを本バージョン・レベルに移行する場合には、認証サーバの定義ファイル(ssoatcag.conf)の「allow-redirect-over-http」に「YES」を設定してください。
本バージョン・レベルは、Windows NT(R) Server 4.0をサポートしていないため、V6.0以前でMicrosoft(R) Internet Information Server 4.0を使用している場合は、別のWebサーバを使用してください。
本バージョン・レベルでは、InfoProvider Proをサポートしていないため、V6.0以前でInfoProvider Proを使用している場合は、別のWebサーバを使用してください。
以下の業務サーバの資源をバックアップします。
業務サーバ定義ファイル
サービスIDファイル
アクセス制御情報ファイル
メッセージファイル (V6からの移行時のみ)
資源のバックアップ時は業務サーバに使用しているWebサーバを停止してください。
例
業務サーバの資源をバックアップ用ディレクトリにコピーする例
バックアップ用ディレクトリ:X:\Backup\ssoatzag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf X:\Backup\ssoatzag copy C:\Interstage\F3FMsso\ssoatzag\conf\domainsid X:\Backup\ssoatzag (注1) copy C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl X:\Backup\ssoatzag (注2) xcopy /E /I C:\Interstage\F3FMsso\ssoatzag\pub\template X:\Backup\ssoatzag\template (注3)
バックアップ用ディレクトリ:/backup/FJSVssoaz
cpコマンドを使用して、コピーします。
cp -p /etc/opt/FJSVssoaz/conf/ssoatzag.conf /backup/FJSVssoaz cp -p /etc/opt/FJSVssoaz/conf/domainsid /backup/FJSVssoaz (注1) cp -p /etc/opt/FJSVssoaz/conf/ssoacsctl /backup/FJSVssoaz (注2) cp -rp /etc/opt/FJSVssoaz/pub/template /backup/FJSVssoaz (注3)
注1) サービスIDファイルは業務サーバ定義ファイルの「ServiceIDPath」定義に設定したファイルを指定してください。
注2) アクセス制御情報ファイルは業務サーバ定義ファイルの「AccessCtl」定義に設定したファイルを指定してください。
注3) V6からの移行時のみ必要な作業です。
WebサーバにInterstage HTTP Serverを使用している場合は、Webサーバ(Interstage HTTP Server)の移行が必要です。Webサーバ(Interstage HTTP Server)の移行については「2.1.1 8.0以前のInterstage HTTP Server(Apache HTTP Server 1.3ベース)からの移行」を参照してください。
なお、Webサーバ(Interstage HTTP Server)にInterstage シングル・サインオン以外のサービスを設定している場合は、設定している各サービスの移行方法に従ってください。
業務サーバでSSL通信を行うための環境構築を行っている場合は、SSL通信を行うための環境をバックアップします。
WebサーバにInterstage HTTP Serverを使用している場合は、「2.1.1 8.0以前のInterstage HTTP Server(Apache HTTP Server 1.3ベース)からの移行」を参照してください。
現在インストールされているパッケージをアンインストール後、本バージョン・レベルのパッケージをインストールします。
バックアップしたSSL通信を行うための環境をリストアします。
WebサーバにInterstage HTTP Serverを使用している場合は、「2.1.1 8.0以前のInterstage HTTP Server(Apache HTTP Server 1.3ベース)からの移行」を参照してください。
「1. 業務サーバ資源のバックアップ」でバックアップした業務サーバの資源をリストアします。
例
バックアップ用ディレクトリの業務サーバの資源をリストアする例
バックアップ用ディレクトリ:X:\Backup\ssoatzag
copy/xcopyコマンド(またはエクスプローラ)を使用して、コピーします。
copy X:\Backup\ssoatzag\ssoatzag.conf C:\Interstage\F3FMsso\ssoatzag\conf copy X:\Backup\ssoatzag\domainsid C:\Interstage\F3FMsso\ssoatzag\conf (注1) copy X:\Backup\ssoatzag\ssoacsctl C:\Interstage\F3FMsso\ssoatzag\conf (注2) xcopy /E /I X:\Backup\ssoatzag\template C:\Interstage\F3FMsso\ssoatzag\pub\template (注3)
バックアップ用ディレクトリ:/backup/FJSVssoaz
cpコマンドを使用して、コピーします。
cp -p /backup/FJSVssoaz/ssoatzag.conf /etc/opt/FJSVssoaz/conf cp -p /backup/FJSVssoaz/domainsid /etc/opt/FJSVssoaz/conf (注1) cp -p /backup/FJSVssoaz/ssoacsctl /etc/opt/FJSVssoaz/conf (注2) cp -rp /backup/FJSVssoaz/template /etc/opt/FJSVssoaz/pub (注3)
注1) サービスIDファイルは必ず上記にリストアし、業務サーバ定義ファイルの「ServiceIDPath」定義に設定してください。
注2) アクセス制御情報ファイルは必ず上記にリストアし、業務サーバ定義ファイルの「AccessCtl」定義に設定してください。
注3) V6からの移行時のみ必要な作業です。
業務サーバ定義ファイルをリストア後、定義ファイルに以下の定義項目を追加、および変更してください。なお、1台のマシンに業務サーバが複数構築されている場合は、業務サーバ定義ファイルに設定されている業務サーバごとに定義を追加してください。
ポイント
業務サーバ定義ファイル内の業務サーバの定義は、ServerPort定義が先頭に定義されています。以下の各定義は、該当する業務サーバのServerPort定義の後に設定してください。
business-system-name
web-server-name
business-system-name
web-server-name
web-user-name
定義項目 | 追加/変更 | 説明 |
|---|---|---|
business-system-name | 追加 | 業務システム名(業務システムの名称)を設定します。
|
web-server-name | 追加 | 業務サーバが動作しているWebサーバの種類を設定します。以下のいずれかの値を設定します。
|
| 追加 | Webサーバが動作する実効ユーザ名を設定します。設定するユーザ名については以下を参照してください。
|
FQDN | 変更 | 業務システムが利用者に公開するURLとして、プロトコル(スキーム)およびポート番号を必ず以下の形式(太字部分を追加)で設定してください。
なお、業務システムが利用者に公開するURLは、ロードバランサなど、他の装置、製品との組み合わせにより設定方法が異なります。設定方法の詳細については、「シングル・サインオン運用ガイド」の「概要」-「URLの決定」-「業務システムの公開URLについて」を参照してください。 |
accesslog-filename | 変更 | アクセスログの出力先ファイル名を以下のように設定してください。
ファイル名についている「443」には、業務サーバのポート番号を設定します。マルチポート運用の場合は、すでに存在するファイル名と重複しないよう注意してください。 |
また、リストアした業務サーバ定義ファイルに以下の定義項目が、異なる内容で設定されている場合には、設定内容を「変更前の設定」から「変更後の設定」に変更してください。
定義項目
CredentialDN
CredentialUID
CredentialROLELIST
CredentialROLECOUNT
CredentialIPADDRESS
CredentialAUTHMETHOD
CredentialFIRSTACCESS
CredentialEXPIRATION
CredentialDOMAIN
設定内容
各定義項目の変更前の設定 | 各定義項目の変更後の設定 |
|---|---|
すべて「YES」の場合 | 変更する必要はありません。 |
すべて「NO」の場合 | 変更する必要はありません。 |
「YES」と「NO」が混在している場合 | すべて「YES」に変更してください。 |
「YES」と省略値(注)が混在している場合 | すべて「YES」に変更してください。 |
「NO」と省略値(注)が混在している場合 | すべて「NO」に変更してください。 |
上記の定義項目のうち、設定されていない定義項目が存在する場合 | 設定されていない定義項目を追加してください。
|
注) 省略値:設定値がない、または「YES」や「NO」以外が設定されている
例
業務サーバ定義ファイルの編集例
以下は、業務システム名に「Business001」、使用しているWebサーバに「IHS」を設定しています。
また、V6.0/V5.1の業務サーバをSSL(https)通信で運用し、業務サーバのFQDNが「www.fujitsu.com」、ポート番号に「443」を使用している場合を例にしています。CredentialDN、CredentialUID、CredentialROLELIST、CredentialROLECOUNT、CredentialIPADDRESS、CredentialAUTHMETHOD、CredentialFIRSTACCESS、CredentialEXPIRATION、CredentialDOMAINについてはすべて「YES」に変更しています。
太字部分は運用に合わせて変更してください。
アクセスログの出力先ファイル:C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log
business-system-name=Business001 web-server-name=IHS FQDN=https://www.fujitsu.com:443 accesslog-filename=C:\Interstage\F3FMsso\ssoatzag\log\ssoatzag443.log CredentialDN=YES CredentialUID=YES CredentialROLELIST=YES CredentialROLECOUNT=YES CredentialIPADDRESS=YES CredentialAUTHMETHOD=YES CredentialFIRSTACCESS=YES CredentialEXPIRATION=YES CredentialDOMAIN=YES
Webサーバが動作する実効ユーザ名:nobody
アクセスログの出力先ファイル:/var/opt/FJSVssoaz/log/ssoatzag443.log
business-system-name=Business001 web-server-name=IHS web-user-name=nobody FQDN=https://www.fujitsu.com:443 accesslog-filename=/var/opt/FJSVssoaz/log/ssoatzag443.log CredentialDN=YES CredentialUID=YES CredentialROLELIST=YES CredentialROLECOUNT=YES CredentialIPADDRESS=YES CredentialAUTHMETHOD=YES CredentialFIRSTACCESS=YES CredentialEXPIRATION=YES CredentialDOMAIN=YES
ポイント
V5.1からの移行において、業務サーバがアクセスする認証サーバの環境を、SSL通信を行うように変更した場合には、業務サーバの定義ファイル(ssoatzag.conf)の「AuthServerURL」の設定を「認証基盤のURL+「/ssoatcag」」の形式に変更してください。
なお、認証基盤のURLについては、アクセスする認証基盤をInterstage管理コンソールで環境定義している場合には、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択して、[リポジトリサーバ詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]を参照してください。
環境移行後、業務サーバの環境を移行したマシンのInterstage管理コンソールから以下の手順で環境を設定します。各項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[認証基盤の情報]の[リポジトリサーバのURL]にリポジトリサーバのURLを設定します。
[適用]ボタンをクリックします。
前項の「6. 業務サーバ定義ファイルの編集」で設定した値が正しく設定されているか確認してください。設定する各項目と環境定義ファイルの定義項目との対応表を以下に示します。
定義項目 | Interstage管理コンソールの設定 |
|---|---|
business-system-name | [詳細設定[表示]] > [業務システムの情報] > [業務システム名] |
web-server-name | [詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] |
| [詳細設定[表示]] > [Webサーバの設定] > [使用しているWebサーバ] > [実効ユーザ名] (注1) |
accesslog-filename | [アクセスログ] > [ファイル名] |
CredentialDN | [詳細設定[表示]] > [Webアプリケーションとの連携] > [ユーザ情報の通知] (注2) |
CredentialUID | |
CredentialROLELIST | |
CredentialROLECOUNT | |
CredentialIPADDRESS | |
CredentialAUTHMETHOD | |
CredentialFIRSTACCESS | |
CredentialEXPIRATION | |
CredentialDOMAIN |
注1) web-server-nameにOTHERを設定した場合のみ表示されます。
注2) 定義項目を「YES」と設定した場合には「通知する」、「NO」と設定した場合には「通知しない」と表示されます。
Interstage証明書環境が作成されていない場合は、Interstage証明書環境を作成してください。Interstage証明書環境の作成については「シングル・サインオン運用ガイド」の「SSL通信で運用するための準備」-「Interstage証明書環境の作成」を参照してください。
