Pasos de configuración especiales al usar sólo identidad y LDAP

Acerca de esta tarea

Cuando utilice sólo identidad en combinación con WebSphere Application Server para z/OS y LDAP puede que tenga que realizar pasos adicionales de configuración manual; es decir, independientemente de si la configuración se realiza a través de la consola administrativa de WebSphere para z/OS Application Server o el destino configure. Con esta combinación, puede encontrar que WebSphere Application Server para z/OS no se puede iniciar correctamente y esto es debido a la necesidad de añadir un nombre de usuario generado por WebSphere Application Server para z/OS a la propiedad de la lista de exclusión del módulo de inicio de sesión (exclude_usernames) que se describe en el apartado Añadir el módulo de inicio de sesión. En este caso, en el que no se puede iniciarWebSphere Application Server para z/OS, habrá un mensaje de error SECJ0270E en el archivo SystemOut.log antes de la anomalía.

Estos son los pasos necesarios para resolver este error:

Procedimiento

  1. Identifique el nombre de usuario que está provocando que no se inicie WebSphere Application Server para z/OS. Configure el rastreo de módulo de inicio de sesión como se describe en el apartado Registro del proceso de autenticación (en relación con la meta configure ) o Añadir el módulo de inicio de sesión (en relación con la configuración a través de la consola administrativa) y reinicie WebSphere Application Server para z/OS. Con el módulo de inicio de rastreo en ejecución, antes del error de SECJ0270E en el archivo SystemOut.log, los datos de rastreo identificarán el nombre de usuario que falla con un registro como el siguiente: 
    SystemOut     O Username: server:MyNodeCell_MyNode_CuramServer

    Donde "MyNode" es el nombre de nodo, "MyNodeCell" es el nombre de celda y "CuramServer" es el nombre de servidor de WebSphere Application Server para z/OS. Después de los datos de rastreo de módulo de inicio de sesión estará el error, que será similar al siguiente: 

    SECJ0270E: No se han podido obtener las credenciales reales.
   La excepción es javax.security.auth.login.LoginException:
   Contexto: MyNodeCell/nodes/MyNode/servers/CuramServer,
   Nombre: curamejb/LoginHome:
   No se ha encontrado el primer componente en el nombre curamejb/LoginHome.
  2. Especifique el nombre de usuario erróneo en la propiedad exclude_usernames del módulo de inicio de sesión en la configuración de WebSphere Application Server para z/OS. Puesto que WebSphere Application Server para z/OS no consigue iniciarse, puede realizar este cambio a través de la consola administrativa y debe editar el archivo de configuración de WebSphere Application Server z/OS directamente. En el sistema de archivos de configuración de WebSphere Application Server para z/OS edite config\cells\MyNodeCell\security.xml, que tendrá tres apariciones de la propiedad exclude_usernames (uno para cada alias); por ejemplo: 
    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin"
   required="false"/>

    Debe modificar las tres apariciones para que incluyan el nombre de usuario recién identificado a partir de la entrada de rastreo anterior; por ejemplo: 

    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin,server:MyNodeCell_MyNode_CuramServer"
   required="false"/>

    Tenga en cuenta que en las apariciones de exclude_usernames el atributo id variará según la configuración del sistema y el separador por comas en el atributo de valor de ejemplo representa el valor curam.security.usernames.delimiter predeterminado, que puede ser diferente en su caso.

  3. Reinicie WebSphere Application Server para z/OS.
Tema principal: Configuración de la seguridad