SIB-Sicherheit: Fehlerbehebungstipps

Verwenden Sie die folgenden spezifische Tipps für die Fehlerbehebung bei einem sicheren Service Integration Bus.

[z/OS]Verwenden Sie zum Identifizieren und Beheben SIB-relevanter Probleme die Trace- und Protokollierungsfunktionen von WebSphere Application Server gemäß der Beschreibung im Artikel Komponententrace (CTRACE) konfigurieren.

Wenn ein Fehler auftritt, den Sie für einen Fehler in der SIB-Sicherheit halten, können Sie in der Administrationskonsole von WebSphere Application Server und in der Datei SystemOut.log des Anwendungsservers prüfen, ob Fehlernachrichten vorhanden sind. Sie können auch den Debug-Trace des Anwendungsservers aktivieren, um einen ausführlichen Ausnahmespeicherauszug zu erhalten.
Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.

Systemnachrichten von WebSphere Application Server werden von vielen Quellen, einschließlich Komponenten und Anwendungen des Anwendungsservers, protokolliert. Nachrichten, die von Komponenten des Anwendungsservers sowie zugeordneten IBM Produkten protokolliert werden, beginnen mit einer eindeutigen Nachrichten-ID, die die Komponente oder Anwendung anzeigt, welche die Nachricht ausgegeben hat. Das Präfix für die Sicherheitskomponente des Service Integration Bus ist CWSII.

Der Artikel Referenz zur Fehlerbehebung: Nachrichten enthält Informationen zu allen Nachrichten von WebSphere Application Server, die nach Nachrichtenpräfix indexiert sind. Zu jeder Nachricht finden Sie eine Beschreibung des Problems und Details zu Maßnahmen zur Behebung des Problems.

Anwendungsserver der Version 5.1 auf WebSphere Application Server Version 7.0 oder höher migrieren

Vor der Migration des Anwendungsservers der Version 5.1 war weder eine Benutzer-ID noch ein Kennwort für die MQ-Series-Zielwarteschlange erforderlich. Nach der Migration des Anwendungsservers auf Version 7.0 oder höher und Verwendung des Standard-Messaging-Providers (Service Integration Bus) schlagen Clientanforderungen fehl, weil die Basisauthentifizierung jetzt aktiviert ist. Der Fehler wird als Protokollnachricht aufgezeichnet:
SibMessage    W   [:] CWSIT0009W: Der Versuch eines Clients, eine Verbindung zum Bus <Busname>
herzustellen, ist im Bootstrap-Server mit dem Endpunkt <Endpunktname> fehlgeschlagen. Ursache: CWSIT0016E:
Die Benutzer-ID null konnte in Bus Ihr_Bus nicht authentifiziert werden. 

Wenn Sie in WebSphere Application Server Version 7.0 oder höher einen Service Integration Bus verwenden und die Sicherheit von WebSphere Application Server für den Server oder die Zelle aktiviert ist, übernimmt das Warteschlangenziel des Service Integration Bus standardmäßig die Sicherheitsmerkmale des Servers oder der Zelle. Sollte im Server bzw. in der Zelle also die Basisauthentifizierung aktiviert sein, schlägt die Clientanforderung fehl.

Für die Behebung dieses Problems stehen Ihnen drei Optionen zur Auswahl. Diese Optionen sind im Folgenden in aufsteigender Reihenfolge bezüglich des Sicherheitsgrades aufgeführt:
  • Inaktivieren Sie die Sicherheit.
  • Um eine äquivalente Sicherheitsstufe wie in der Konfiguration der Version 5.1 zu erreichen, müssen Sie die Einstellungen für den Service Integration Bus mit dem Warteschlangenziel so ändern, dass die Bussicherheit inaktiviert ist und der Bus somit keine Sicherheitseigenschaften des Servers bzw. der Zelle übernimmt.
  • Wenn Sie eine höhere Sicherheitsstufe als in der Konfiguration der Version 5.1 verwenden möchten, müssen Sie die Basisauthentifizierung in jedem Client konfigurieren, der den Service verwendet.

Informationen zum Inaktivieren der Sicherheit von WebSphere Application Server finden Sie im Artikel Sicherheit mit Scripting aktivieren und inaktivieren oder im Artikel Einstellungen für globale Sicherheit.

Führen Sie zum Inaktivieren der Bussicherheit in der Administrationskonsole die folgenden Schritte aus:
  1. Navigieren Sie zu Serviceintegration -> Busse -> Busname.
  2. Wählen Sie das Kontrollkästchen Sicher ab.
  3. Speichern Sie die Änderungen.
Verwenden Sie zum Konfigurieren der Basisauthentifizierung in jedem Client die Administrationskonsole oder das Tool wsadmin. Wenn Sie die Task mit dem Tool wsadmin ausführen möchten, verwenden Sie den Artikel Portinformationen für Web-Services-Clients mit wsadmin-Scripting konfigurieren und die wsadmin-Taskoption WebServicesClientBindPortInfo. Führen Sie die folgenden Schritte aus, um die Task über die Administrationskonsole auszuführen:
  1. Navigieren Sie zu Anwendungen -> Anwendungstypen -> WebSphere-Unternehmensanwendungen -> Anwendungsname -> Webmodule oder EJB-Module > Modulname > Web-Services: Clientsicherheitsbindungen.
  2. Klicken Sie auf HTTP-Basisauthentifizierung, um auf die Anzeige "HTTP-Basisauthentifizierung mit der Administrationskonsole konfigurieren" zuzugreifen.
  3. Geben Sie in dieser Anzeige die Werte ein.
  4. Speichern Sie Ihre Änderungen in der Masterkonfiguration.

Beim Herstellen einer Verbindung mit einer Benutzer-ID in einer berechtigten Gruppe wird der Zugriff verweigert, wenn LDAP verwendet wird

Eine der möglichen Fehlerursachen ist der Gruppenname, wenn Sie eine LDAP-Registry (Lightweight Directory Access Protocol) verwenden. Wenn Sie die Gruppenberechtigungen angeben, muss der definierte Name (DN) als Gruppenname verwendet werden. Wenn Sie einen allgemeinen Namen (CN) als Gruppennamen angeben, können Benutzer in dieser Gruppe nicht berechtigt werden.

Die Schritte zum Ändern des Gruppennamens von einem CN in einen DN richten sich danach, wo das Problem aufgetreten ist.
  • Wenn Sie Probleme mit der Verbindungsherstellung zu einem Service Integration Bus (SIB) haben, entfernen Sie unter Verwendung der Anleitungen im Artikel Rolle "Bus-Connector" verwalten alle Gruppen mit CN-Gruppennamen, und ersetzen Sie sie durch DN-Gruppennamen.
  • Wenn Sie Probleme mit dem Senden einer Nachricht an ein Ziel haben, entfernen Sie unter Verwendung der Anleitungen im Artikel Rollen für Ziele verwalten alle Gruppen mit CN-Gruppennamen, und ersetzen Sie sie durch DN-Gruppennamen.
  • Wenn Sie Probleme mit dem Senden von Topics an einen Topicbereich haben, entfernen Sie unter Verwendung der Anleitungen im Artikel Rollen für das Stammverzeichnis eines Topicbereichs verwalten alle Gruppen mit CN-Gruppennamen, und ersetzen Sie sie durch DN-Gruppennamen.
  • Informationen zum Ändern des Gruppennamens bei anderen Problemen finden Sie im entsprechenden Abschnitt im Artikel Berechtigungen verwalten.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
Dateiname:rjr_prob0.html