WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

シングル・サインオン構成のトラブルシューティングのヒント

WebSphere Application Server と Domino サーバー間の シングル・サインオン (SSO) 構成中に、いくつかの共通問題が発生する場合があります。 このような問題には以下があります: Domino Web SSO 構成の保管の失敗、 保護リソースへのアクセス中の認証障害、および保護リソースへのアクセス中の SSO 障害。 なんらかのアクションを行って、これらのエラー状態を訂正して SSO を復元することができます。

  • Lotus Domino Web SSO 構成文書の保管に失敗します

    クライアントは、 接続している SSO Lotus Domino Server の Lotus Domino Server 文書を 検出できなければなりません。Web SSO 構成文書は、ユーザーが指定するサーバーに対して暗号化されています。 クライアントのロケーション・レコードによって示されているホーム・サーバーは、 接続しているサーバーのある Lotus Domino ドメイン内のサーバーを指している必要があります。 このポインターにより、ルックアップでサーバーの公開鍵が確実に検出されます。

    接続している Lotus Domino Server を 1 つ以上検出できませんという メッセージを受信する場合、それらのサーバーは、Web SSO 構成文書を暗号化解除できず、SSO も実行できません。

    Web SSO 構成文書が保管される際、ステータス・バーは、文書にリストされたサーバー、 作成者、および管理者を検出することによって、文書の暗号化に使用された公開鍵の数を示します。

  • Lotus Domino Server コンソールが Lotus Domino HTTP Server の始動時に Web SSO 構成文書のロードに失敗します

    SSO の構成時に、サーバー文書は、「Session Authentication」フィールド でマルチサーバーに対して構成されます。Lotus Domino HTTP Server は、 始動時に Web SSO 構成文書の検索とロードを試行します。 有効な文書が検出され、暗号化解除された場合、Lotus Domino Server コンソールは、 以下の情報を報告します: HTTP: Successfully loaded Web SSO Configuration

    サーバーが Web SSO 構成文書をロードできない場合は、SSO は機能しません。 この場合、サーバーは、次のメッセージを報告します。HTTP: Error Loading Web SSO configuration.Reverting to single-server session authentication.

    Lotus Domino ディレクトリーの「Web Configurations」ビュー および「$WebSSOConfigs」隠しビューに、Web SSO 構成文書が 1 つしか存在しないことを確認してください。 資料を複数作成することはできませんが、複製時に追加の資料を挿入することはできます。

    Web SSO 構成文書を 1 つしか検証できない場合は、別の条件を検討してください。 サーバー文書の公開鍵が ID ファイル内の公開鍵と一致しない場合は、同じエラー・メッセージが表示されます。 この場合、Web SSO 構成文書を暗号化解除しようとすると失敗し、エラー・メッセージが生成されます。

    この状態は、ID ファイルが複数回作成されたものの、Server 資料が正常に更新されていない場合に発生することがあります。 通常は、公開鍵がサーバー ID と一致しないという エラー・メッセージが Lotus Domino Server コンソール上に表示されます。 この状態が発生した場合、SSO は機能しません。これは、文書が公開鍵で暗号化されており、 サーバーはその公開鍵に対応する秘密鍵を持っていないためです。

    鍵の不一致の問題を修正するには、以下のようにします。
    1. 公開鍵をサーバー ID ファイルからコピーし、それを Server 資料に貼 り付けます。
    2. Web SSO 構成文書を再度作成します。

  • 保護リソースへのアクセス時に認証が失敗します

    Web ユーザーに対し、 ユーザー ID とパスワードを求めるプロンプトが何度も表示される場合は、SSO が機能していません。 これは、Lotus Domino または WebSphere Application Server のセキュリティー・サーバーの どちらかが、Lightweight Directory Access Protocol (LDAP) サーバーのユーザーを認証できないためです。 以下の点をチェックしてください。

    • LDAP サーバーが Lotus Domino Server マシンからアクセス可能であることを検査します。 TCP/IP ping ユーティリティーを使用して TCP/IP 接続を検査し、 ホスト・マシンが稼働していることを確認します。
    • LDAP ユーザーが LDAP ディレクトリー内で定義されていることを検査します。 idsldapsearch ユーティリティーを使用して、 ユーザー ID が存在していること、およびパスワードが正しいことを確認します。例えば、 以下のコマンドを単一の行に入力して実行できます。

      OS/400 Qshell、UNIX シェル、 または Windows DOS プロンプトを使用することができます。

      % ldapsearch -D "cn=John Doe, ou=Rochester, o=IBM, c=US" -w mypassword
      -h myhost.mycompany.com -p 389 -b "ou=Rochester, o=IBM, c=US" (objectclass=*)
      パーセント文字 (%) は、プロンプトを表しています。コマンドの一部ではありません。 ディレクトリー・エントリーのリストが表示されます。 発生する可能性があるエラー状態および原因は、以下のリストのとおりです。
      • 「No such object」: このエラーは、-D オプションに続いて指定された ユーザーの識別名 (DN) 値、または -b オプションに続いて指定された 基本 DN 値のいずれかによって参照されたディレクトリー・エントリーが 存在しないことを示します。
      • 「Credentials that are not valid」: このエラーは、パスワードが有効でないことを示します。 is not valid.
      • 「Cannot contact the LDAP server」: このエラーは、 サーバーに対して指定されたホスト名またはポートが有効でないか、 あるいは LDAP サーバーが稼働していないことを示します。
      • 空のリストは、-b オプションで指定した基本ディレクトリーがディレクトリー・エントリーを含んでいないことを意味します。
    • 識別名の代わりにユーザーのショート・ネームまたはユーザー ID を使用している場合は、 ディレクトリー・エントリーがショート・ネームで構成されていることを確認します。 Lotus Domino ディレクトリーの場合、Person 文書の「Short name/UserID」フィールドを検査します。 他の LDAP ディレクトリーの場合、ディレクトリー・エントリーのユーザー ID プロパティーを検査します。
    • Lotus Domino ディレクトリー以外の LDAP ディレクトリーを 使用しているときに、Lotus Domino 認証が失敗する場合は、Directory アシスタンス・ データベース内にある Directory アシスタンス文書の LDAP サーバーの構成設定値を確認します。 また、Server 文書が、正しい Directory アシスタンス文書を参照しているかどうかについても検査します。 以下に示す、Directory Assistance 文書内で指定された LDAP 値は、WebSphere Application Server 管理可能ドメイン内のユーザー・レジストリーに対して指定された値と一致しなければなりません。
      • ドメイン・ネーム
      • LDAP ホスト名
      • LDAP ポート
      • 基本 DN
      さらに、Directory アシスタンス文書で定義されたルールは、 ユーザーのディレクトリー・エントリーを含んだディレクトリーの基本識別名 (DN) を参照する必要があります。

      以下の行をサーバーの notes.ini ファイルに追加することによって、LDAP サーバーに 対する Lotus Domino Server の要求をトレースすることができます。

      webauth_verbose_trace=1
      
      Lotus Domino Server を再始動した後は、Web ユーザーが Lotus Domino Server に対して 認証を試行するときに、トレース・メッセージが Lotus Domino Server のコンソールに表示されます。

  • 保護リソースへのアクセス時に許可が失敗します

    正常に認証された後に、許可エラー・メッセージが表示される場合は、 セキュリティーが正しく構成されていません。 以下の点をチェックしてください。

    • Lotus Domino データベースの場合、ユーザーがデータベースのアクセス制御の設定で定義されていることを検査します。 ユーザーの DN を指定する正しい方法については、Lotus Domino 管理資料を参照してください。 例えば、DN cn=John Doe, ou=Rochester, o=IBM, c=US の場合、 アクセス制御リストの値は John Doe/Rochester/IBM/US に設定されていなければなりません。
    • WebSphere Application Server によって保護されているリソースの場合、 セキュリティー許可が正しく設定されていることを検査します。
      • 選択されたグループに許可を与えている場合は、 リソースにアクセスしようとしているユーザーがそのグループのメンバーであることを確認してください。 例えば、ディレクトリーの内容を表示する以下の Web サイトを使用して、グループのメンバーを検査できます。 Ldap://myhost.mycompany.com:389/ou=Rochester, o=IBM, c=US??sub
      • 許可の設定以降に、WebSphere Application Server 管理ドメイン内で LDAP 構成情報 (ホスト、ポート、 および基本 DN) を変更した場合は、既存の許可はおそらく有効でないため、 再作成の必要があります。

  • 保護リソースへのアクセス時に SSO が失敗します

    Web ユーザーに対して、リソースごとに認証のプロンプトが表示される場合 は、SSO が正しく構成されていません。 以下の点をチェックしてください。

    1. WebSphere Application Server と Lotus Domino Server の両方が、 同じ LDAP ディレクトリーを使用するように構成します。SSO に使用される HTTP Cookie には、 ユーザーの完全 DN (cn=John Doe, ou=Rochester, o=IBM, c=US など) および ドメイン・ネーム・サービス (DNS) ドメインが保管されます。
    2. Lotus Domino Directory が使用されている場合、階層名に基づいて Web ユーザーを定義します。 例えば、Person 文書の「ユーザー名」フィールドを更新して、 この形式の名前を John Doe/Rochester/IBM/US のように最初の値として組み込みます。
    3. SSO 用に構成された Lotus Domino Server および WebSphere Application Server に対して 発行される Web サイトには、単にホスト名や TCP/IP アドレスを指定するのではなく、完全な DNS サーバー名を指定します。 ブラウザーがサーバーのグループに Cookies を送信するためには、DNS ドメインが Cookies に組み込まれていて、その Cookies 内の DNS ドメインが Web アドレスに一致する必要があります。 TCP/IP ドメイン間で Cookie を使用できないため、この要件があります。
    4. Lotus Domino と WebSphere Application Server の両方が、同じ DNS ドメイン を使用するように構成します。 DNS ドメイン値が、大文字化も含めて完全に同じであることを検査してください。 WebSphere Application Server が構成されている DNS ドメインの名前が必要です。 詳しくは、 シングル・サインオン を参照してください。
    5. クラスター化された Lotus Domino Server に、サーバー文書内の完全な DNS サーバー名が移植されたホスト名が 含まれていることを確認します。 Domino Internet Cluster Manager (ICM) は、完全な DNS サーバー名を使用して、SSO を使用する クラスター・メンバーにリダイレクトします。 このフィールドが移植されていない場合、デフォルトで ICM は、サーバーのホスト名のみを 使用して、Web アドレスをクラスター化された Web サーバーにリダイレクトします。 ICM は SSO Cookie を送信できません。これは、DNS ドメインが Web アドレスに組み込まれていないためです。 この問題を訂正するには、以下のようにします。
      1. Server 資料を編集します。
      2. Internet Protocols」>「HTTP」タブをクリックします。
      3. サーバーの完全 DNS 名を「ホスト名」フィールドに入力します。
    6. LDAP サーバーのポート値が WebSphere Application Server 管理可能ドメイン に対して指定される場合は、Lotus Domino Web SSO 構成文書を編集し、 円記号 (¥) を「LDAP Realm」フィールドの値のコロン記号 (:) の前に 挿入してください。例えば、myhost.mycompany.com:389myhost.mycompany.com¥:389 で置き換えます。

  • HTTP セッションのタイマーが期限切れになると、ユーザーがログアウトされません。

    WebSphere Application Server の ユーザーがアプリケーションにログオンし、指定された HTTP セッション・タイムアウト値を超えて アイドル状態を続けた場合、ユーザー情報は無効にならず、LTPA トークンがタイムアウトになるまで ユーザー・クレデンシャルはアクティブのままです。

    PK25740 の適用後、以下のステップを実行すると、HTTP セッションが期限切れとなった後にユーザーをアプリケーションからログアウトさせることができます。

    1. 管理コンソールで、「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護 」とクリックします。
    2. 「カスタム・プロパティー」で「新規」をクリックします。
    3. 「名前」フィールドに、com.ibm.ws.security.web.logoutOnHTTPSessionExpire と入力します。
    4. 「値」フィールドに true と入力します。
    5. 「適用」および「保管」をクリックして、構成の変更を保管します。
    6. サーバーを再同期して再始動します。



関連タスク
セキュリティー構成のトラブルシューティング
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/rsec_troublesso.html