この項目では Java Authorization Contract for Containers (JACC) 許可プロバイダーを使用する際に遭遇する 可能性のある問題を説明します。Tivoli Access Manager は、許可プロバイダーとして WebSphere Application Server にバンドルされています。 しかし、ユーザーが独自の許可プロバイダーをプラグインすることもできます。
JACC の構成で問題がある場合は、以下の項目を確認してください。
JACC が構成された後にサーバーが始動しない場合は、以下の項目をチェックしてください。
「保管」をクリックすると、ポリシーと役割の情報が Tivoli Access Manager ポリシーに伝搬されます。このプロセスは、終了までに若干の時間がかかる場合があります。 保管に失敗した場合、アプリケーションをアンインストールして、それから再インストールする必要があります。
アプリケーションをインストールした後アクセスするには、保管してから アプリケーションの始動にデフォルトで 30 秒待つ必要があります。
profile_root/etc/pd/PolicyDirector/PDPerm.properties profile_root/etc/pd/PolicyDirector/PdPerm.ks profile_root/etc/tam/*
java -Djava.version=1.5 -classpath "app_server_root/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: AWXJR0007E A Tivoli Access Manager exception was caught. Details are: 「HPDIA0202W An unknown user name was presented to Access Manager.」ホスト名が MS アクティブ・ ディレクトリーに対して構成されている場合、Tivoli Access Manager の定義済みの制限を超えたときに、 この問題が生じる可能性があります。 WebSphere Application Server では、ホスト名の最大長は 46 文字を超えることができません。
ホスト名が完全修飾されていないことを確認します。 ホスト名にホスト・ドメインが含まれないよう、マシンを構成します。
pdadmin -a administrator_name -p administrator_passwordpdadmin administrator_name プロンプトが表示されます。以下に例を示します。
pdadmin -a administrator1 -p passw0rd
user import user_name cn=user_name,o=organization_name,c=country以下に例を示します。
user import jstar cn=jstar,o=ibm,c=us
user modify user_name account-valid yes以下に例を示します。
user modify jstar account-valid yes
LDAP から Tivoli Access Manager へグループをインポートする方法については、Tivoli Access Manager の資料を参照してください。
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: AWXJR0007E A Tivoli Access Manager exception was caught. 詳細:「HPDAC0778E The specified user's account is set to invalid」
user modify user_name account-valid yes以下に例を示します。
user modify jstar account-valid yes
AWXJR0035E An error occurred while attempting to add member, cn=agent3,o=ibm,c=us, to role AgentRole HPDJA0506E Invalid argument: Null or zero-length user name field for the ACL entry
このエラーを訂正するには、Tivoli Access Manager のセキュリティー役割にマップされるユーザーを作成またはインポートします。 セキュリティー・ポリシー情報の伝搬に関する情報について詳しくは、ご使用の許可プロバイダーの資料を参照してください。
WASX7017E: Exception received while running file "InsuranceServicesSingle.jacl"; exception information: com.ibm.ws.scripting.ScriptingException: WASX7111E: Cannot find a match for supplied option: "[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers
$AdminApp MapRolesToUsers タスク・オプションは、Tivoli Access Manager が許可サーバーとして使用された場合に無効になります。 このエラーを訂正するには、MapRolesToUsers を TAMMapRolesToUsers に変更します。
AWXJR0044E: The access decision for Permission, {0}, was denied because either the PolicyConfiguration or RoleConfiguration objects did not get created successfully at application installation time. RoleConfiguration exists = {false}, PolicyConfiguration exists = {false}."
アクセス拒否例外がアプリケーションに予期されていない場合、SystemOut.log ファイルを確認し、セキュリティー・ポリシー情報が正しくプロバイダーに伝搬されたかを確認してください。
アプリケーションのセキュリティー・ポリシー情報が正常にプロバイダーへ伝搬されている場合、メッセージ・キー SECJ0415I の監査ステートメントが表示されます。 しかし、 セキュリティー・ポリシー情報のプロバイダーへの伝搬に問題があった場合 (例えば、 ネットワークの問題、JACC プロバイダーが使用できないなど)、SystemOut.log ファイルには、 メッセージ・キー SECJ0396E (インストール時) または SECJ0398E (変更時) のエラー・メッセージが 記録されます。アプリケーションのインストールは、 セキュリティー・ポリシーの JACC プロバイダーへの伝搬の失敗によって停止されません。 また、失敗した場合、保管操作中に、例外またはエラー・メッセージは表示されません。 この失敗の原因である問題が 修正されたら、propagatePolicyToJaccProvider ツールを実行して、セキュリティー・ポリシー情報をプロバイダーに伝搬してください。 その際、アプリケーションは再インストールしないでください。
アプリケーションを WebSphere Application Server for Network Deployment (ND) にインストールし、Tivoli Access Manager を備えた 管理対象ノードを使用可能にすると、エラー・メッセージ (HPDBA0219E) が dmgr SystemOut.log に表示される可能性があります。
エラーが発生すると、最近デプロイされたアプリケーションのセキュリティー・ポリシー・データは、 直ちに使用不可になる場合があります。 ポリシー・データは、Tivoli Access Manager のサーバー複製時間に基づいて使用可能です。デフォルトは、 すべての更新が完了してから 30 秒です。 最新のポリシー・データが使用可能であることを確認するには、pdadmin コンソールにログオンし、server replicate を入力します。