WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

セキュリティー・コンポーネントのトラブルシューティングのヒント

ここでは、WebSphere Application Server のセキュリティー関連の問題を診断するための 基本的なリソースとステップについて説明します。

WebSphere Application Server のセキュリティー関連の問題を診断するための 基本的なリソースとステップは、以下のとおりです。
セキュリティー関連の以下の問題については、 インフォメーション・センターの別の箇所で扱っています。

これらのステップで問題が解決されない場合は 、問題の診断および修正: 学習用リソースのリンクを使用して、問題が特定され、文書化されているかどうかを確認してください。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] Secure Authentication Services for z/OS (z/SAS) などの WebSphere Application Server セキュリティー・コンポーネントの概要とその動作については、セキュリティー入門を参照してください。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。

SDSF の使用

セキュリティー・コンポーネントのトラブルシューティングを行う場合は、システム表示/検索機能 (SDSF) を使用して、アクセスしようとしているリソースをホストするサーバーのログを参照します。 以下は、セキュリティー・サービスが正常に開始したサーバーから表示されるメッセージのサンプルです。

セキュリティー関連の問題をトラブルシューティングするための一般的な方法

セキュリティー関連の問題をトラブルシューティングする際は、以下の質問が非常に役立ちます。
問題は、セキュリティーを使用不可にしたときに発生するか。
この質問は、問題がセキュリティーに関連しているかどうかを判別するのに適切な質問です。 ただし、問題がセキュリティーを使用可能にしたときに発生するということだけでは、必ずしもセキュリティーに問題があるとは限りません。 問題が本当にセキュリティーに関連していることを確認するために、さらにトラブルシューティングが必要です。
セキュリティーは正しく初期化されているか。
初期化中には、多くのセキュリティー・コードが使用されます。 そのため、問題が構成に関連しているものであれば、通常はまず初期化の時点で問題が発生します。
SASRas        A CWWSA0001I: Security configuration initialized.
SASRas        A CWWSA0002I: Authentication protocol: CSIV2/IBM 
SASRas        A CWWSA0003I: Authentication mechanism: SWAM 
SASRas        A CWWSA0004I: Principal name: BIRKT20/pbirk 
SASRas        A CWWSA0005I: SecurityCurrent registered. 
SASRas        A CWWSA0006I: Security connection interceptor initialized. 
SASRas        A CWWSA0007I: Client request interceptor registered. 
SASRas        A CWWSA0008I: Server request interceptor registered. 
SASRas        A CWWSA0009I: IOR interceptor registered. 
NameServerImp I CWNMS0720I: Do Security service listener registration. 
SecurityCompo A CWSCJ0242A: Security service is starting 
UserRegistryI A CWSCJ0136I: Custom Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl has been initialized 
SecurityCompo A CWSCJ0202A: Admin application initialized successfully 
SecurityCompo A CWSCJ0203A: Naming application initialized successfully 
SecurityCompo A CWSCJ0204A: Rolebased authorizer initialized successfully 
SecurityCompo A CWSCJ0205A: Security Admin mBean registered successfully 
SecurityCompo A CWSCJ0243A: Security service started successfully 

SecurityCompo A CWSCJ0210A: Security enabled true 
SDSF アクティブ・ログ内に生成される以下の一連のメッセージは、 アプリケーション・サーバーの通常のコード初期化を示しています。 セキュリティー以外のメッセージは、 その後に続くシーケンスから除去されています。 このシーケンスは構成によって異なりますが、 メッセージは似たものになります。
 Trace: 2005/05/06 17:27:31.539 01 t=8E96E0 c=UNK key=P8 (13007002)
   ThreadId: 0000000a   
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge 
   Category: AUDIT
   ExtendedMessage: BBOJ0077I java.security.policy = /WebSphere/V6R1M0/AppServer/profiles/default/pr
Trace: 2005/05/06 17:27:31.779 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge 
   Category: AUDIT
   ExtendedMessage: BBOJ0077I java.security.auth.login.config = /WebSphere/V6R1M0/AppServer/profiles/default/pr
Trace: 2005/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.SecurityDM
   SourceId: com.ibm.ws.security.core.SecurityDM
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0231I: The Security component's FFDC Diagnostic Module com.ibm.ws.security.core.Secur
red successfully: true. 
 Trace: 2005/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0231I: The Security component's FFDC Diagnostic Module com.ibm.ws.security.core.Securit
d successfully: true. 
 Trace: 2005/05/06 17:27:41.054 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.audit.AuditServiceImpl 
   SourceId: com.ibm.ws.security.audit.AuditServiceImpl 
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ6004I: Security Auditing is disabled. 
 Trace: 2005/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0309I: Java 2 Security is disabled.  
 Trace: 2005/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0309I: Java 2 Security is disabled.   
 Trace: 2005/05/06 17:27:42.239 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.auth.login.Configuration
   SourceId: com.ibm.ws.security.auth.login.Configuration
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0215I: Successfully set JAAS login provider configuration class to com.ibm.ws.securit
Configuration.  
 Trace: 2005/05/06 17:27:42.253 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0212I: WCCM JAAS configuration information successfully pushed to login provider clas
Trace: 2005/05/06 17:27:42.254 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0212I: WCCM JAAS configuration information
           successfully pushed to login provider class.
 Trace: 2005/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0240I: Security service initialization
          completed successfully
 Trace: 2005/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0240I: Security service initialization
           completed successfully
 Trace: 2005/05/06 17:27:42.952 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.objectpool.ObjectPoolService  
   SourceId: com.ibm.ws.objectpool.ObjectPoolService   
   Category: INFO
   ExtendedMessage: BBOO0222I: OBPL0007I: Object Pool Manager service is disabled.  
Trace: 2005/05/06 17:27:53.512 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.registry.UserRegistryImpl
   SourceId: com.ibm.ws.security.registry.UserRegistryImpl
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0136I: Custom Registry:com.ibm.ws.security.registry.zOS.SAFRegistryImpl has been init
Trace: 2005/05/06 17:27:55.229 01 t=8E96E0 c=UNK key=P8 (13007002)   
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.role.PluggableAuthorizationTableProxy 
   SourceId: com.ibm.ws.security.role.PluggableAuthorizationTableProxy  
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0157I: Loaded Vendor AuthorizationTable: com.ibm.ws.security.core.SAFAuthorizationTab
Trace: 2005/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0243I: Security service started successfully   
 Trace: 2005/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0243I: Security service started successfully  
 Trace: 2005/05/06 17:27:56.482 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0210I: Security enabled true  
 Trace: 2005/05/06 17:27:56.483 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0210I: Security enabled true  
スタック・トレースまたは例外がシステム・ログ・ファイルに出力されているか。
単一のスタック・トレースで問題について多くのことがわかります。失敗したコードを開始したのはどのコードか。失敗したコンポーネントはどれか。 失敗が実際にどのクラスで発生したか。問題の解決に必要なものがスタック・トレースだけであり、スタック・トレースで根本原因を特定できる場合もあります。または、スタック・トレースが手掛かりにしかならない場合や、実際には誤った方向に導く場合もあります。 サポート部門でスタック・トレースを分析する際、問題が何であるか明確でないときには追加のトレースが要求される場合があります。 問題がセキュリティー関連であると判断され、 スタック・トレースまたは問題の説明から解決法を決定できない場合は、 関連するすべてのプロセスから SASRas=all=enabled:com.ibm.ws.security.*=all=enabledトレース仕様を収集するように求められます。
分散セキュリティー問題か、ローカル・セキュリティー問題か。
  • 問題がローカルである場合、つまり関係するコードがリモート・メソッド呼び出しを行わない場合は、トラブルシューティングは単一のプロセスに切り分けられます。 コンポーネントの中でも、特にオブジェクト・リクエスト・ブローカー (ORB) の振る舞いはローカルと分散のいずれであるかによって異なるため、問題がどちらであるかを知ることは重要です。 リモート・メソッド呼び出しが行われると、完全に異なるセキュリティー・コード・パスに入ります。
  • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 複数のサーバーが問題に関係していることがわかっている場合は、トラブルシューティングの手法は異なります。関係するすべてのサーバーを同時にトレースし、問題に関するクライアント・サイドおよびサーバー・サイドの情報がトレースに示されるようにする必要があります。 2 つの異なるプロセスから要求と応答の対を見つけることができるように、すべてのマシンのタイム・スタンプをできるだけ一致させるようにします。 トレース仕様 SASRas=all=enabled:com.ibm.ws.security.*=all=enabled を使用して、Secure Authentication Service (SAS) または z/SAS と、セキュリティー・トレースの両方を使用可能にします。

    トレースの使用可能化について詳しくは、 トレースの使用可能化を参照してください。

    トレースの使用可能化について詳しくは、トレースの操作を参照してください。

問題は認証または許可に関連しているか。
ほとんどのセキュリティー問題は、これらの 2 つのカテゴリーのいずれかに分類されます。 認証は、呼び出し元を確認するプロセスです。 許可は、要求されたメソッドを呼び出すための適切な権限が呼び出し元にあるかどうかを検証するプロセスです。 認証が失敗した場合、通常は、認証プロトコル、認証メカニズムまたはユーザー・レジストリーのいずれかが関連しています。 許可が失敗した場合、通常は、アセンブリーおよびデプロイメントからのアプリケーション・バインディング、およびメソッドにアクセスしている呼び出し元の ID と、メソッドに必要な役割が関連しています。
Web 要求か EJB 要求か。

Web 要求と Enterprise JavaBeans (EJB) 要求はコード・パスが完全に異なります。 Web 要求には EJB 要求とは異なるセキュリティー・フィーチャーがあり、解決に必要な知識の内容はまったく異なります。 例えば、Lightweight Third Party Authentication (LTPA) 認証メカニズムを使用する場合、Web 要求にはシングル・サインオン (SSO) フィーチャーを使用できますが、EJB 要求には使用できません。 プロトコルの違いにより、Web 要求には EJB 要求に必要のない HTTP ヘッダー情報が含まれています。 また、プロセス全体に Web コンテナーまたはサーブレット・エンジンが関係しています。 これらのコンポーネントのいずれもが問題に関係する可能性があるため、要求のタイプおよび失敗が発生した箇所に基づいて、トラブルシューティング時にはすべてを考慮する必要があります。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] セキュア EJB 要求は、コントローラーからサーバントに渡されます。 Web 要求は、コントローラーによってほとんど無視されます。 その結果、EJB 要求は、最初にセキュリティーの z/SAS または Common Security Interoperability バージョン 2 (CSIv2) レイヤーによって処理され、 認証されます。 許可はサーバントによって行われます。 認証障害が発生した場合、 z/SAS タイプのレベルのトレースをオンにして、問題を診断する必要があります。 その他の問題は、WebSphere Application Server コンポーネント・トレース (CTRACE) 機能を使用して診断することができます。

問題は Secure Sockets Layer (SSL) に関連していると考えられるか?

SSL は、完全に独立した別個のセキュリティー・レイヤーです。 SSL の問題のトラブルシューティングは、認証および許可の問題のトラブルシューティングとは別のものであり、いくつもの考慮事項があります。 通常、SSL の問題は、構成の難しさによる初回セットアップの問題です。 各クライアントにはサーバーの署名者証明書が格納されている必要があります。 相互認証の際、各サーバーにクライアントの署名者証明書がなければなりません。 また、プロトコルの相違 (SSLv3 と Transport Layer Security (TLS))、および失効した相互運用オブジェクト参照 (IOR)、つまり、サーバー再始動前のポートを反映しているサーバーの IOR に関連したリスナー・ポート問題の可能性もあります。

z/OS では、 SSL の 2 つのバリエーションが使用されます。 z/OS における SSL の問題の原因を判別するには、 どのプロトコルが使用されているかを知る必要があります。
  • システム SSL は、Internet Inter-ORB Protocol (IIOP) および HTTPS プロトコルによって使用されます。
  • Java Secure Socket Extension (JSSE) は、 その他すべてのプロトコル (例えば、SOAP) によって使用されます。
  • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] システム SSL 要求は、コントローラーで処理され、z/SAS および CSIv2 セキュリティーによって使用されます。
  • JSSE は、主にサーバントによって使用されますが、コントローラーで使用される場合もあります。
SSL 問題については、SSL ハンドシェークで起こっていることを確認するために、SSL トレースが必要になる場合があります。 SSL ハンドシェークは、クライアントがサーバーとのソケットをオープンする際に発生するプロセスです。 鍵交換や暗号の交換などで問題が起きると、ハンドシェークは失敗し、ソケットは有効になりません。 JSSE (WebSphere Application Server で使用される SSL の実装) のトレースには以下のステップがあります。
  • クライアント・プロセスおよびサーバー・プロセスにシステム・プロパティー -Djavax.net.debug=true を設定する。 サーバーの場合は、 システム・プロパティーを Java 仮想マシン設定ページの「汎用 JVM 引数」プロパティーに追加します。
  • 問題を再現する。
    領域の開始済み タスクの SYSOUT データ・セットには、JSSE トレースが含まれています。 SDSF を使用しているため、このトレースは以下のようなものになります。
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2139,localport=8878]]
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2140,localport=8878]]
     TrustManagerFactoryImpl: trustStore is :
     /WebSphere/V6R10M0/AppServer/etc/DummyServerTrustFile.jks
     TrustManagerFactoryImpl: trustStore type is : JKS
     TrustManagerFactoryImpl: init truststore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2142,localport=8878]]
     KeyManagerFactoryImpl: keyStore is :
    /WebSphere/V6R1M0/AppServer/etc/DummyServerKeyFile.jks
     KeyManagerFactoryImpl: keyStore type is : JKS
     KeyManagerFactoryImpl: init keystore
     KeyManagerFactoryImpl: init keystore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2143,localport=8878]]
     JSSEContext: handleSession[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,localport=2145]]
     JSSEContext:  confirmPeerCertificate
    [Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,
      localport=2145]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     10094996692239509074796828756118539107568369566313889955538950668
    6622953008589748001058216362638201577071902071311277365773252660799
     128781182947273802312699983556527878615792292244995317112436562491
    489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2002,
                    To: Thu Mar 17 20:08:18 GMT 2005]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v¥.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1009499669223950907479682875611853910756836956631388995553895066866
    22953008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2002,
                    To: Thu Mar 17 20:08:18 GMT 2005]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v¥.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2144,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2145]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2146]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2147]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2148]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2149]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2150]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2151]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2152]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2153]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2154]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2155]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2156]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2157]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2158]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2159]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2160]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2161]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2162]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2163]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2164]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2165]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2166]]
     
     JSSEContext: handleSession[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext:  confirmPeerCertificate[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS z/OS Deployment Manager, O=IBM
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     12840948267119651469312486548020957441946413494498370439558603901582589
    8755033448419534105183133064366466828741516428176579440511007
     6258795528749232737808897160958348495006972731464152299032614592135114
    19361539962555997136085140591098259345625853617389396340664766
     649957749527841107121590352429348634287031501
     public exponent:
     65537
    0  Validity: [From: Fri Jul 25 05:00:00 GMT 2003,
                    To: Mon Jul 26 04:59:59 GMT 2004]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [    02]
    0Certificate Extensions: 3
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 05 6A CD 7F AE AF 89 78   99 A8 F1 5B 64 8B 9F AF  .j.....x...[d...
     0010: 73 1B 58 65                                        s.Xe
     ]
     ]
    0[3]: ObjectId: 2.5.29.35 Criticality=false
     AuthorityKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
    0]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 73 0D FC E1 8A B3 42 E1   04 73 72 B1 C6 C9 87 54  s.....B..sr....T
     0010: 87 57 02 FA 41 32 D8 B0   39 09 86 CB 6B 03 B6 F9  .W..A2..9...k...
     0020: 62 8D 95 36 56 0E D4 D2   F7 7A 8D 4B FB 0B FD 91  b..6V....z.K....
     0030: 89 A8 08 41 30 E2 27 DC   15 5F 2C F4 CD 2F 6B 8E  ...A0.'.._,../k.
     0040: 21 2A 88 53 46 27 68 9B   55 14 38 8E 1F 50 95 BC  !*.SF'h.U.8..P..
     0050: A8 46 F6 68 97 9E 7B 65   9E E8 A7 34 B2 C8 63 CF  .F.h...e...4..c.
     0060: 73 C8 4E 25 0A EF C5 8F   04 A4 EB 8C CC 33 84 26  s.N%.........3.&
     0070: 5D FD 7C AD 7B 02 13 5A   86 A1 89 93 1E A4 93 63  ]......Z.......c
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS CertAuth, C=US
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1167408593733331602218385578183389496484587418638676352829560040529918
    40558681208199977833401609895748222369066230329785148883251144
     2382911186804921983976695395381692334250582278359056431484427844566504
    41491799952592864895242987037929408453455627552772317382077015
     828713585220212502839546496071839496308430393
     public exponent:
     65537
    0  Validity: [From: Fri Jul 25 05:00:00 GMT 2003,
                    To: Sat Jul 24 04:59:59 GMT 2010]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [  0  ]
    0Certificate Extensions: 4
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
     ]
    0[3]: ObjectId: 2.5.29.15 Criticality=true
     KeyUsage [
       Key_CertSign
       Crl_Sign
     ]
    0[4]: ObjectId: 2.5.29.19 Criticality=true
     BasicConstraints:[
     CA:true
     PathLen:2147483647
     ]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 43 88 AB 19 5D 00 54 57   5E 96 FA 85 CE 88 4A BF  C...].TW^.....J.
     0010: 6E CB 89 4C 56 BE EF E6   8D 2D 74 B5 83 1A EF 9C  n..LV....-t.....
     0020: B3 82 F2 16 84 FA 5C 50   53 2A B4 FD EB 27 98 5D  ......¥PS*...'.]
     0030: 43 48 D3 74 85 21 D1 E1   F2 63 9E FB 58 2A F3 6A  CH.t.!...c..X*.j
     0040: 44 D2 F5 7D B2 55 B9 5E   32 11 78 B6 34 8E 4B 1D  D....U.^2.x.4.K.
     0050: F3 82 1D C1 5F 7B 3F AD   C9 29 FA FF D1 D1 13 2C  ...._.?..).....,
     0060: 57 F7 7B 51 02 99 6F ED   54 E1 51 34 B8 51 BE 97  W..Q..o.T.Q4.Q..
     0070: 30 AC 4F 89 AB AA 8A B2   E1 40 89 2E 18 C7 0E 15  0.O......@......
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2168]]
     
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2235,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2236]]
     JSSEContext: handleSession[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     JSSEContext:  confirmPeerCertificate[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
    
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506686622953
    008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2002,
                    To: Thu Mar 17 20:08:18 GMT 2005]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v¥.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506
    686622953008589748001058216362638201577071902071311277365773252660799
     12878118294727380231269998355652787861579229224499531711243656249
    1489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2002,
                    To: Thu Mar 17 20:08:18 GMT 2005]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v¥.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2238]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2239]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2240]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2241]]
    

トレースのセキュリティー

WebSphere Application Server セキュリティーを実装するクラスは次のとおりです。
  • com.ibm.ws.security.*
  • com.ibm.websphere.security.*
  • com.ibm.WebSphereSecurityImpl.*
  • Virtual Member Manager (VMM) リポジトリーでトレースするための com.ibm.ws.wim.*
[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]
セキュリティーのトレースの微調整:
パッケージのサブセットをトレースする必要がある場合は、com.ibm.ws.security.*=all=enabled よりも詳細なトレース仕様を指定します。 例えば、動的ポリシー・コードのみをトレースするには、com.ibm.ws.security.policy.*=all=enabled を指定します。 動的ポリシーのトレースを使用不可にするには、com.ibm.ws.security.policy.*=all=disabled を指定します。
CSIv2 または z/SAS トレース設定の構成
CSIv2 と z/SAS 認証プロトコルのトレースを調べると、難しい問題のトラブルシューティングに役立つ場合があります。 このセクションでは、CSIv2 と z/SAS トレースを使用可能にする方法について説明します。
クライアント・サイドの CSIv2 と z/SAS トレースの使用可能化
ピュア・クライアント上で CSIv2 と z/SAS トレースを使用可能にするには、以下のステップを実行する必要があります。
  • /WebSphere/AppServer/properties ディレクトリーの TraceSettings.properties ファイルを編集します。
  • このファイルで、traceFileName= が出力ファイルの作成先となるパスを指すように変更します。 それぞれのサブディレクトリーの間に二重の円記号 (¥¥) を入れるようにしてください。例えば、traceFileName=c:¥¥WebSphere¥¥AppServer¥¥logs¥¥sas_client.log のようになります。
  • このファイルに、トレース仕様ストリング SASRas=all=enabled を追加します。 追加のトレース・ストリングは、別々の行に追加できます。
  • クライアント・アプリケーション内から、このファイルを参照します。クライアントを立ち上げる Java コマンド行で、システム・プロパティー -DtraceSettingsFile=TraceSettings.properties を追加します。
    注: TraceSettings.properties ファイルには、完全修飾パスを指定しないでください。 クラスパスに TraceSettings.properties ファイルがあることを確認してください。
サーバー・サイドの CSIv2 と z/SAS トレースの使用可能化
アプリケーション・サーバーで z/SAS トレースを使用可能にするには、以下を実行します。
  • トレース仕様 SASRas=all=enabledserver.xml ファイルに追加するか、 管理コンソール内でトレース設定値に追加します。
  • 通常、これは、認証プロトコル・ランタイムに加えて、認証セキュリティー・ランタイムもトレースする最適な方法です。これを行うには、SASRas=all=enabled:com.ibm.ws.security.*=all=enabled の 2 つのトレース仕様を組み合わせて使用します。
  • 接続タイプ問題のトラブルシューティング時には、 CSIv2 と SAS または CSIv2 と z/SAS および ORB の両方をトレースすると役立 ちます。 これを行うには、SASRas=all=enabled:com.ibm.ws.security.*=all=enabled:ORBRas=all=enabled の 3 つのトレース仕様を使用します。
  • これらのトレース仕様に加えて、ORB トレースには、同様に設定が必要ないくつかのシステム・プロパティーがあります。 管理コンソールで ORB 設定に進み、com.ibm.CORBA.Debug=true および com.ibm.CORBA.CommTrace=true の 2 つのプロパティーを追加してください。

IBM サポートから入手可能な既知の問題およびその解決法に関する最新の情報については、IBM サポート・ページを参照してください。

IBM サポートの資料を利用すると、 この問題の解決に必要な情報収集の時間を節約できます。 PMR を開く前に、IBM サポート・ページを参照してください。




関連タスク
セキュリティー構成のトラブルシューティング
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rtrb_securitycomp.html