この情報は、セキュリティーを使用可能にした後でアクセス問題が発生した場合に使用します。
セキュリティーを使用可能にした後、
管理コンソールの全部または一部にアクセスできない。あるいは、wsadmin ツールが使用できない
- 管理コンソールにアクセスできない場合、
または特定のオブジェクトを表示および更新できない場合は、
管理コンソール・ページをホスティングするアプリケーション・サーバーのログを調べて、
関連するエラー・メッセージを探してください。
注: 次の 2 つの項目を完了するには、管理コンソールを使用する必要があります。
管理コンソールにアクセスするときに問題が発生する場合は、セキュリティーをオフにして、管理コンソールを
再始動する必要があります。
セキュリティーをオフにするには、システム・コマンド・プロンプトで以下のコマンドを入力します。
wsadmin.sh -conntype NONE
システム・コマンド・プロンプトが再表示されたら、以下を入力します。
securityoff
セキュリティーをオフにした後、デプロイメント・マネージャーを再始動します。
- 管理用タスクを行えるように、ID が許可されていない可能性があります。
この問題は、以下のようなエラーで示されます。
- [8/2/02 10:36:49:722 CDT] 4365c0d9 RoleBasedAuth A CWSCJ0305A:
Role based authorization check failed for security name MyServer/myUserId,
accessId MyServer/S-1-5-21-882015564-4266526380-2569651501-1005 while invoking
method getProcessType on resource Server and module Server.
- 例外メッセージ: 「CWWMN0022E: Access denied for the getProcessType operation on Server MBean」
- When running the command: wsadmin -username j2ee -password j2ee:
CWWAX7246E: Cannot establish "SOAP" connection to host "BIRKT20" because
of an authentication failure. Ensure that user and password are correct on
the command line or in a properties file.
ID に管理権限を与えるには、管理コンソールから、
「System Administration」>「Console Users」の順にクリックし、
その ID がメンバーであることを確認します。
ID がメンバーでない場合は、少なくとも読み取り専用アクセスが可能な、モニター・アクセス権を持つ ID を追加します。
- enable_trusted_application フラグが true に設定されているか確認します。
管理コンソールを使用して enable_trusted_application フラグの値を確認するには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
「追加プロパティー」の下の「カスタム・プロパティー」>「EnableTrustedApplications」をクリックします。
要確認: Network Deployment 環境でセキュリティー設定を保管し、ノード・エージェントがダウンしているとき、同期問題が起こるかもしれません。
セキュリティーを使用可能にした後、Web ページにアクセスできない
セキュア・リソースにアクセスできない場合、以下のような原因が考えられます。
- 認証エラー - WebSphere Application Server セキュリティーは、個人またはプロセスの ID を識別できません。認証エラーの症状としては、以下のようなものがあります。
Netscape ブラウザーの場合:
- ログインしようとすると、「Authorization failed. Retry?」というメッセージが表示される。
- ログインの再試行は何度でもできるが、「キャンセル」をクリックして再試行を停止すると、
「Error 401」というメッセージが表示される。
- 典型的なブラウザー・メッセージは、
「Error 401: Basic realm = 'Default Realm'」といったメッセージです。
Internet Explorer ブラウザーの場合:
- ログインの試行後に、ログイン・プロンプトが再度表示される。
- ログインは 3 回再試行できる。
- ログインに 3 回失敗すると、「Error 401」というメッセージが表示される。
- 許可エラー - セキュリティー機能により、要求元の個人またはプロセスが、保護されたリソースへのアクセスを許可されていないと識別されました。以下のような許可エラーの症状があります。
- Netscape ブラウザー:「Error 403: AuthorizationFailed」というメッセージが表示される。
- Internet Explorer:
- 「You are not authorized to view this page」というメッセージが表示される。
- 「HTTP 403 Forbidden」というエラーも表示される。
- SSL エラー - WebSphere Application Server セキュリティーは、内部で Secure Sockets Layer (SSL) テクノロジーを使用して、自らの通信を保護および暗号化しますが、内部 SSL 設定の構成が誤っていると、問題が発生する可能性があります。
また、ユーザー独自の Web アプリケーションまたは Enterprise Bean クライアントのトラフィック用の SSL 暗号化が使用可能となっている場合もあります。
構成に誤りがあると、WebSphere Application Server セキュリティーが使用可能にされているかどうかに関係なく、
問題が発生する可能性があります。
- SSL 関連の問題は、たいていの場合、
「エラー: 初期コンテキストを取得できないか、開始コンテキストを検索できません。終了します。」といったステートメントを含むエラー・メッセージで示されます。
この後に、javax.net.ssl.SSLHandshakeException
セキュリティーを使用可能にした後、
クライアントがエンタープライズ Bean にアクセスできない
セキュリティーを使用可能にした後、クライアントがエンタープライズ Bean にアクセスできない場合は、以下のようにします。
セキュア・エンタープライズ Bean にアクセスする際に、クライアント・プログラムにプロンプトが出されない
セキュリティーが使用可能になっていて、エンタープライズ Bean が保護されているようであっても、クライアントがプロンプトを出さずにリモート・メソッドを実行する場合があります。
リモート・メソッドが保護されている場合は、許可を得ることはできません。
そうでない場合は、非認証ユーザーとしてメソッドを実行します。
この問題の原因としては、
以下のことが考えられます。
- 通信相手のサーバーのセキュリティーが使用可能になっていません。
WebSphere Application Server 管理者に連絡して、サーバーのセキュリティーが使用可能になっていることを確認してください。管理コンソールの「セキュリティー」セクションから、セキュリティー設定にアクセスしてください。
- クライアントの sas.client.props ファイルで、
セキュリティーが使用可能になっていません。
sas.client.props ファイルを編集して、プロパティー com.ibm.CORBA.securityEnabled を true に設定してください。
- クライアントの ConfigURL が指定されていません。プロパティー
com.ibm.CORBA.ConfigURL が、Java クライアントのコマンド行で -D パラメーターを使用して指定されていることを確認してください。
- 指定した ConfigURL の URL 構文が無効であるか、
あるいはその URL が指す sas.client.props が見つかりません。
com.ibm.CORBA.ConfigURL プロパティーが有効であるかどうかを確認してください。
URL 形式の規則については、
Java の資料を調べてください。
また、ファイルが指定したパスに存在することも確認してください。
セキュリティーを使用可能にした後、アプリケーション・サーバー、ノード・マネージャー、またはノードを停止できない
コマンド行ユーティリティーを使用して WebSphere Application Server プロセスを停止する場合は、
認証および許可の情報を提供するために、セキュリティーを使用可能にした後で追加のパラメーターを適用します。
シングル・サインオン (SSO) を使用可能にした後、管理コンソールにログオンできない
この問題は、シングル・サインオン (SSO) を使用可能にし、サーバーのショート・ネーム
(例えば、http://myserver:port_number/ibm/console)
を使用して管理コンソールにアクセスしようとした場合に発生します。
サーバーはユーザー ID とパスワードを受け入れますが、
管理コンソールではなくログオン・ページが表示されます。
この問題を解決するには、
サーバーの完全修飾ホスト名 (例えば http://myserver.mynetwork.mycompany.com:9060/ibm/console) を使用します。
サーバーを始動してセキュリティーを使用可能にした後で SystemOut.log ファイルに「SECJ0306E: スレッド上に受信済みまたは呼び出しクレデンシャルがありません。」という例外が表示される
以下のメッセージは、セル内の 1 つ以上のノードが、構成時に同期されなかった場合に表示されます。
SECJ0306E: スレッド上に受信済みまたは呼び出しクレデンシャルがありません。ロール・ベースの許可検査は、検査するための呼び出し元のアクセス ID を持ちません。パラメーターは、次のとおりです。リソース FileTransferServer およびモジュール FileTransferServer 上のアクセス・チェック・メソッド getServerConfig。スタック・トレースは java.lang.Exception: Invocation and received credentials are both null です。