WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

セキュリティーを使用可能にした後のアクセス問題

この情報は、セキュリティーを使用可能にした後でアクセス問題が発生した場合に使用します。

どのようなエラーが発生しましたか?

セキュリティーを使用可能にした後、 管理コンソールの全部または一部にアクセスできない。あるいは、wsadmin ツールが使用できない

  • 管理コンソールにアクセスできない場合、 または特定のオブジェクトを表示および更新できない場合は、 管理コンソール・ページをホスティングするアプリケーション・サーバーのログを調べて、 関連するエラー・メッセージを探してください。
    注: 次の 2 つの項目を完了するには、管理コンソールを使用する必要があります。 管理コンソールにアクセスするときに問題が発生する場合は、セキュリティーをオフにして、管理コンソールを 再始動する必要があります。 セキュリティーをオフにするには、システム・コマンド・プロンプトで以下のコマンドを入力します。
    wsadmin.sh -conntype NONE
    システム・コマンド・プロンプトが再表示されたら、以下を入力します。
    securityoff
    セキュリティーをオフにした後、デプロイメント・マネージャーを再始動します。
  • 管理用タスクを行えるように、ID が許可されていない可能性があります。 この問題は、以下のようなエラーで示されます。
    • [8/2/02 10:36:49:722 CDT] 4365c0d9 RoleBasedAuth A CWSCJ0305A: Role based authorization check failed for security name MyServer/myUserId, accessId MyServer/S-1-5-21-882015564-4266526380-2569651501-1005 while invoking method getProcessType on resource Server and module Server.
    • 例外メッセージ: 「CWWMN0022E: Access denied for the getProcessType operation on Server MBean」
    • When running the command: wsadmin -username j2ee -password j2ee: CWWAX7246E: Cannot establish "SOAP" connection to host "BIRKT20" because of an authentication failure. Ensure that user and password are correct on the command line or in a properties file.
    ID に管理権限を与えるには、管理コンソールから、 「System Administration」>「Console Users」の順にクリックし、 その ID がメンバーであることを確認します。 ID がメンバーでない場合は、少なくとも読み取り専用アクセスが可能な、モニター・アクセス権を持つ ID を追加します。
  • enable_trusted_application フラグが true に設定されているか確認します。 管理コンソールを使用して enable_trusted_application フラグの値を確認するには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。 「追加プロパティー」の下の「カスタム・プロパティー」>「EnableTrustedApplications」をクリックします。
要確認: Network Deployment 環境でセキュリティー設定を保管し、ノード・エージェントがダウンしているとき、同期問題が起こるかもしれません。

セキュリティーを使用可能にした後、Web ページにアクセスできない

セキュア・リソースにアクセスできない場合、以下のような原因が考えられます。
  • 認証エラー - WebSphere Application Server セキュリティーは、個人またはプロセスの ID を識別できません。認証エラーの症状としては、以下のようなものがあります。
    Netscape ブラウザーの場合:
    • ログインしようとすると、「Authorization failed. Retry?」というメッセージが表示される。
    • ログインの再試行は何度でもできるが、「キャンセル」をクリックして再試行を停止すると、 「Error 401」というメッセージが表示される。
    • 典型的なブラウザー・メッセージは、 「Error 401: Basic realm = 'Default Realm'」といったメッセージです。
    Internet Explorer ブラウザーの場合:
    • ログインの試行後に、ログイン・プロンプトが再度表示される。
    • ログインは 3 回再試行できる。
    • ログインに 3 回失敗すると、「Error 401」というメッセージが表示される。
  • 許可エラー - セキュリティー機能により、要求元の個人またはプロセスが、保護されたリソースへのアクセスを許可されていないと識別されました。以下のような許可エラーの症状があります。
    • Netscape ブラウザー:「Error 403: AuthorizationFailed」というメッセージが表示される。
    • Internet Explorer:
      • 「You are not authorized to view this page」というメッセージが表示される。
      • 「HTTP 403 Forbidden」というエラーも表示される。
  • SSL エラー - WebSphere Application Server セキュリティーは、内部で Secure Sockets Layer (SSL) テクノロジーを使用して、自らの通信を保護および暗号化しますが、内部 SSL 設定の構成が誤っていると、問題が発生する可能性があります。 また、ユーザー独自の Web アプリケーションまたは Enterprise Bean クライアントのトラフィック用の SSL 暗号化が使用可能となっている場合もあります。 構成に誤りがあると、WebSphere Application Server セキュリティーが使用可能にされているかどうかに関係なく、 問題が発生する可能性があります。
    • SSL 関連の問題は、たいていの場合、 「エラー: 初期コンテキストを取得できないか、開始コンテキストを検索できません。終了します。」といったステートメントを含むエラー・メッセージで示されます。 この後に、javax.net.ssl.SSLHandshakeException

セキュリティーを使用可能にした後、 クライアントがエンタープライズ Bean にアクセスできない

セキュリティーを使用可能にした後、クライアントがエンタープライズ Bean にアクセスできない場合は、以下のようにします。
  • リソースへのアクセス権を保護し、付与するためのステップを参照してください。
  • サーバーのログを参照して、エンタープライズ Bean のアクセスおよびセキュリティーに関連するエラーを探します。 メッセージ表でエラーを検索します。

    resource を起動中に /UNAUTHENTICATED に対する許可が失敗しました。securityName:/UNAUTHENTICATED;accessId:UNAUTHENTICATED not granted any of the required roles roles」のようなエラーは、以下のことを示しています。
    • 無保護のサーブレットまたは JavaServer Pages (JSP) ファイルが保護されたエンタープライズ Bean にアクセスした。 無保護サーブレットにアクセスすると、ユーザーには、ログインするためのプロンプトが出されないので、 サーブレットは UNAUTHENTICATED として実行されます。 サーブレットが保護されているエンタープライズ Bean を呼び出すと、そのサーブレットは失敗します。

      この問題を解決するには、 保護されているエンタープライズ Bean にアクセスするサーブレットをセキュアにします。サーブレットの runAs プロパティーを、エンタープライズ Bean にアクセス可能な ID に設定するようにしてください。

    • 非認証 Java クライアント・プログラムが、保護されたエンタープライズ Bean リソースにアクセスしようとしている。 この状況は、クライアント・プログラムが使用する sas.client.props プロパティー・ファイルによって読み取られたファイルの securityEnabled フラグが、true に設定されていない場合に起こる可能性があります。

      この問題を解決するには、クライアント・サイドの sas.client.props ファイルの securityEnabled フラグを、true に設定してください。

    resource の呼び出し中に valid_user の許可が失敗しました。 securityName:/username;accessId:xxxxxx には必要な役割 roles が認可されていません」のようなエラーは、クライアントがセキュア・エンタープライズ Bean リソースへのアクセスを試み、 その際に入力されたユーザー ID がそのエンタープライズ Bean に対して必要な役割を割り当てられていないことを示しています。
    • アクセス先のエンタープライズ Bean リソースに必要な役割があることを確認する。 エンタープライズ Bean リソースに必要な役割を、Web リソースのデプロイメント記述子内で表示します。
    • 許可表をチェックして、ユーザーまたはユーザーが属するグループに、必要な役割のいずれかが割り当てられていることを確認する。エンタープライズ Bean リソースを含むアプリケーションの許可表を、 管理コンソールを使用して表示することができます。
  • ローカル OS および System Authorization Facility (SAF) 許可を使用している場合は、SAF EJBROLE のセットアップを確認してください。 具体的には、以下のことを確認します。
    • EJBROLE クラスが活動化されているか。
    • 役割が SAF に定義されているか。
    • 役割にユーザー ID が許可されているか。
    • 許可操作の後、クラスが更新されているか。

セキュア・エンタープライズ Bean にアクセスする際に、クライアント・プログラムにプロンプトが出されない

セキュリティーが使用可能になっていて、エンタープライズ Bean が保護されているようであっても、クライアントがプロンプトを出さずにリモート・メソッドを実行する場合があります。 リモート・メソッドが保護されている場合は、許可を得ることはできません。 そうでない場合は、非認証ユーザーとしてメソッドを実行します。

この問題の原因としては、 以下のことが考えられます。
  • 通信相手のサーバーのセキュリティーが使用可能になっていません。 WebSphere Application Server 管理者に連絡して、サーバーのセキュリティーが使用可能になっていることを確認してください。管理コンソールの「セキュリティー」セクションから、セキュリティー設定にアクセスしてください。
  • クライアントの sas.client.props ファイルで、 セキュリティーが使用可能になっていません。 sas.client.props ファイルを編集して、プロパティー com.ibm.CORBA.securityEnabled を true に設定してください。
  • クライアントの ConfigURL が指定されていません。プロパティー com.ibm.CORBA.ConfigURL が、Java クライアントのコマンド行で -D パラメーターを使用して指定されていることを確認してください。
  • 指定した ConfigURL の URL 構文が無効であるか、 あるいはその URL が指す sas.client.props が見つかりません。 com.ibm.CORBA.ConfigURL プロパティーが有効であるかどうかを確認してください。 URL 形式の規則については、 Java の資料を調べてください。 また、ファイルが指定したパスに存在することも確認してください。

セキュリティーを使用可能にした後、アプリケーション・サーバー、ノード・マネージャー、またはノードを停止できない

コマンド行ユーティリティーを使用して WebSphere Application Server プロセスを停止する場合は、 認証および許可の情報を提供するために、セキュリティーを使用可能にした後で追加のパラメーターを適用します。

シングル・サインオン (SSO) を使用可能にした後、管理コンソールにログオンできない

この問題は、シングル・サインオン (SSO) を使用可能にし、サーバーのショート・ネーム (例えば、http://myserver:port_number/ibm/console) を使用して管理コンソールにアクセスしようとした場合に発生します。 サーバーはユーザー ID とパスワードを受け入れますが、 管理コンソールではなくログオン・ページが表示されます。

この問題を解決するには、 サーバーの完全修飾ホスト名 (例えば http://myserver.mynetwork.mycompany.com:9060/ibm/console) を使用します。

サーバーを始動してセキュリティーを使用可能にした後で SystemOut.log ファイルに「SECJ0306E: スレッド上に受信済みまたは呼び出しクレデンシャルがありません。」という例外が表示される

以下のメッセージは、セル内の 1 つ以上のノードが、構成時に同期されなかった場合に表示されます。
SECJ0306E: スレッド上に受信済みまたは呼び出しクレデンシャルがありません。ロール・ベースの許可検査は、検査するための呼び出し元のアクセス ID を持ちません。パラメーターは、次のとおりです。リソース FileTransferServer およびモジュール FileTransferServer 上のアクセス・チェック・メソッド getServerConfig。スタック・トレースは java.lang.Exception: Invocation and received credentials are both null です。



関連概念
welc6toptroubleshooting.html
関連タスク
セキュリティー構成のトラブルシューティング
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rtrb_secprobs.html