Tipps zur Fehlerbehebung beim Sicherheitsberechtigungsprovider
Dieser Artikel beschreibt Probleme, die bei der Verwendung des JACC-Berechtigungsproviders (Java™ Authorization Contract for Containers) auftreten können. Tivoli Access Manager ist im Produktpaket für WebSphere Application Server als Berechtigungsprovider enthalten. Sie können jedoch Ihren eigenen Berechtigungsprovider einbinden.
Tivoli Access Manager als JACC-Berechtigungsprovider
- Die JACC-Konfiguration kann scheitern.
- Nach dem Konfigurieren von JACC kann der Server möglicherweise nicht gestartet werden.
- Die Implementierung der Anwendung verläuft unter Umständen nicht ordnungsgemäß.
- Der Befehl startServer kann scheitern, nachdem Sie Tivoli Access Manager konfiguriert haben, oder nach der Dekonfiguration von JACC wird keine saubere Deinstallation durchgeführt.
- Es kann der Fehler HPDIA0202w An unknown user name was presented to Access Manager angezeigt werden.
- Es kann der Fehler HPDAC0778E The specified user's account is set to invalid angezeigt werden.
- Es kann der Fehler "WASX7017E: Beim Ausführen der Datei InsuranceServicesSingle.jacl ist eine Ausnahme eingetreten" angezeigt werden.
- Ausnahmen des Typs "Zugriff verweigert" beim Zugriff auf Anwendungen mit JACC
- Es kann ein Fehler HPDBA0219E: An error occurred reading data from an SSL connection angezeigt werden.
Die Fehlernachricht Es sind keine Ports in der Portgruppe verfügbar kann angezeigt werden
Externe Provider für JACC-Berechtigungsprovider
Die JACC-Konfiguration kann scheitern.
Überprüfen Sie Folgendes, wenn Probleme bei der Konfiguration von JACC auftreten:
- Vergewissern Sie sich, dass die Parameter stimmen. Beispiel: Sie möchten, dass hinter TAM_Policy_server_hostname:7135 keine Nummer angegeben wird, aber hinter TAM_Authorization_server_hostname:7136 (z. B. TAM_Authorization_server_hostname:7136:1).
- Wenn eine Nachricht angezeigt wird, die angibt, dass "keine Verbindung zum Server" hergestellt werden kann, ist es möglich, dass die Hostnamen oder Portnummern der Tivoli Access Manager-Server ungültig sind oder dass die Tivoli Access Manager-Server nicht gestartet wurden.
- Stellen Sie sicher, dass das Kennwort für den Benutzer sec_master korrekt ist.
- Überprüfen Sie die Datei SystemOut.log und suchen Sie die Zeichenfolge AMAS, um festzustellen, ob Fehler ausgegeben wurden.
Nach dem Konfigurieren von JACC kann der Server möglicherweise nicht gestartet werden.
Wenn der Server nach der Konfiguration von JACC nicht gestartet wird, überprüfen Sie Folgendes:
- Stellen Sie sicher, dass WebSphere Application Server und Tivoli Access Manager denselben LDAP-Server (Lightweight Directory Access Protocol) verwenden.
- Wenn die Nachricht "Policy Director Authentication failed" angezeigt wird, müssen Sie Folgendes sicherstellen:
- Die LDAP-Server-ID von WebSphere Application Server entspricht dem "Administrator" in der JACC-Konfigurationsanzeige von Tivoli Access Manager.
- Vergewissern Sie sich, dass der Administrator-DN von Tivoli Access Manager richtig ist.
- Das Kennwort des Administrators von Tivoli Access Manager ist nicht verfallen und ist gültig.
- Vergewissern Sie sich, dass der Account für den Administrator von Tivoli Access Manager gültig ist.
- Wenn eine Nachricht wie socket
can't be opened for xxxx
(xxxx ist eine Nummer) angezeigt wird,
führen Sie die folgenden Aktionen aus:
- Wechseln Sie in das Verzeichnis Profilstammverzeichnis/etc/tam.
- Ändern Sie xxxx in der Datei amwas.commomconfig.properties und in der Datei amwas*Zellenname_dmgr.properties in eine verfügbare Portnummer, wenn der Deployment Manager nicht gestartet wird. Wenn der Knoten nicht gestartet werden kann, ändern Sie xxx in der Datei amwas*Zellenname_Knotenname.properties. Wenn der Anwendungsserver nicht gestartet wird, ändern Sie xxxx in der Datei amwas*Zellenname_Knotenname_Servername.properties.
Die Implementierung der Anwendung verläuft unter Umständen nicht ordnungsgemäß.
Wenn Sie auf Speichern klicken, werden die Informationen zur Richtlinie und zur Rolle an die Tivoli Access Manager-Richtlinie weitergegeben. Dieser Prozess kann einige Zeit dauern. Falls der Speichervorgang scheitert, müssen Sie die Anwendung deinstallieren und dann erneut installieren.
Nach der Installation müssen Sie mit dem Zugriff auf die Anwendung standardmäßig 30 Sekunden warten.
Der Befehl startServer kann scheitern.
Der Befehl startServer schlägt nach der Konfiguration von Tivoli Access Manager fehl, oder nach der Dekonfiguration von JACC kann keine saubere Deinstallation durchgeführt werden
- Entfernen Sie die Eigenschaftendateien für
Tivoli Access Manager aus
WebSphere Application Server. Für jeden Anwendungsserver in
einer Umgebung von WebSphere Application Server Network Deployment mit
N definierten Servern (z. B. server1, server2)
Es müssen die folgenden Dateien entfernt werden:
install_root/tivoli/tam/PdPerm.properties Installationsstammverzeichnis/tivoli/tam/PdPerm.ks Profilstammverzeichnis/etc/tam/*
Es müssen die folgenden Dateien entfernt werden:
Profilstammverzeichnis/etc/pd/PolicyDirector/PDPerm.properties Profilstammverzeichnis/etc/pd/PolicyDirector/PdPerm.ks Profilstammverzeichnis/etc/tam/*
- Verwenden Sie ein Dienstprogramm, um die Sicherheitskonfiguration zu löschen und das System in den Zustand zurückzuversetzen, den es vor der Konfiguration des
JACC-Providers für Tivoli Access Manager hatte.
Das Dienstprogramm entfernt alle PDLoginModuleWrapper-Einträge und den TAM-Eintrag in der Berechtigungstabelle
in der Datei security.xml. Damit wird der JACC-Provider für
Tivoli Access Manager entfernt. Sichern Sie die Datei
security.xml, bevor Sie dieses Dienstprogramm ausführen.
Geben Sie die folgenden Befehle ein:
install_root/java/jre/bin/java -classpath "Installationsstammverzeichnis/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML vollständig_qualifizierter_Pfad/security.xml
Geben Sie die folgenden Befehle ein:
java -Djava.version=1.5 -classpath "Stammverzeichnis_des_Anwendungsservers/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML vollständig_qualifizierter_Pfad/security.xml
"HPDIA0202w: An unknown user name was presented to Access Manager"
AWXJR0008E Beim Versuch, einen PDPrincipal für principal mgr1 zu erstellen, ist ein Fehler im Tivoli Access Manager aufgetreten:
AWXJR0007E Es ist ein Fehler in Tivoli Access Manager aufgetreten. Details:
"HPDIA0202W An unknown user name was presented to Access Manager."
Dieser Fehler kann auftreten, wenn der Hostname
die vordefinierten Grenzwerte für Tivoli Access Manager mit MS Active Directory überschreitet. In
WebSphere Application Server darf der Hostname die maximal
zulässige Länge von 46 Zeichen nicht überschreiten. Vergewissern Sie sich, dass der Hostname nicht vollständig qualifiziert ist. Konfigurieren Sie die Maschine so, dass der Hostname die Hostdomäne nicht enthält.
- Geben Sie in der Befehlszeile Folgendes ein, um eine Tivoli Access Manager-Eingabeaufforderung aufzurufen:
Daraufhin erscheint die Eingabeaufforderung "pdadmin Administratorname". Beispiel:pdadmin -a Administratorname -p Administratorkennwort
pdadmin -a administrator1 -p passw0rd
- Importieren Sie an der pdadmin-Eingabeaufforderung den Benutzer von der LDAP-Benutzerregistry in
Tivoli Access Manager. Geben Sie dazu Folgendes ein:
Beispiel:user import Benutzername cn=Benutzername,o=Organisationsname,c=Land
user import jstar cn=jstar,o=ibm,c=us
user modify Benutzername account-valid yes
Beispiel:user modify jstar account-valid yes
Informationen zum Importieren einer Gruppe von LDAP in Tivoli Access Manager finden Sie in der Dokumentation zu Tivoli Access Manager.
"HPDAC0778E: The specified user's account is set to invalid"
AWXJR0008E Beim Versuch, einen PDPrincipal für principal mgr1 zu erstellen, ist ein Fehler im Tivoli Access Manager aufgetreten:
AWXJR0007E Es ist ein Fehler in Tivoli Access Manager aufgetreten. Details: "HPDAC0778E The specified user's account is set to invalid."
user modify Benutzername account-valid yes
Beispiel:user modify jstar account-valid yes
"HPDJA0506E: Invalid argument: Null or zero-length user name field for the ACL entry"
AWXJR0035E An error occurred while attempting to add member,
cn=agent3,o=ibm,c=us, to role AgentRole
HPDJA0506E Invalid argument: Null or zero-length user name field for
the ACL entry
Zur Behebung dieses Fehlers erstellen oder importieren Sie den Benutzer, der der Sicherheitsrolle zugeordnet ist, in Tivoli Access Manager. Weitere Informationen zur Weitergabe der Informationen der Sicherheitsrichtlinie finden Sie in der Dokumentation zu Ihrem Berechtigungsprovider.
WASX7017E: Beim Ausführen der Datei "InsuranceServicesSingle.jacl" ist eine Ausnahme eingetreten
WASX7017E: Beim Ausführen der Datei InsuranceServicesSingle.jacl
ist eine Ausnahme eingetreten;
Informationen zur Ausnahme: com.ibm.ws.scripting.ScriptingException: WASX7111E:
Es wurde keine Übereinstimmung für die angegebene Option
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers"
Die Taskoption "$AdminApp MapRolesToUsers" ist nicht gültig, wenn Tivoli Access Manager als Berechtigungsserver verwendet wird. Beheben Sie den Fehler, indem Sie MapRolesToUsers durch TAMMapRolesToUsers ersetzen.
Ausnahmen des Typs "Zugriff verweigert" beim Zugriff auf Anwendungen mit JACC
AWXJR0044E: Die Zugriffsentscheidung für die Berechtigung {0} wurde abgewiesen, weil die
PolicyConfiguration- bzw. RoleConfiguration-Objekte während der Anwendungsinstallation nicht
ordnungsgemäß erstellt wurden.
RoleConfiguration exists = {false}, PolicyConfiguration
exists = {"false"}.
Wenn die Ausnahmen vom Typ "Zugriff verweigert" für die Anwendung nicht erwartet werden, stellen Sie anhand der Informationen in den Dateien SystemOut.log fest, ob die Sicherheitsrichtlinie ordnungsgemäß an den Provider weitergegeben wurde.
Falls die Sicherheitsrichtlinie für die Anwendung ordnungsgemäß an den Provider weitergegeben wurde, sind in den Dateien Prüfanweisungen mit dem Nachrichtenschlüssel SECJ0415I enthalten. Sollten bei der Weitergabe der Sicherheitsrichtlinie an den Provider Fehler aufgetreten sein (z. B. Netzfehler, JACC-Provider nicht verfügbar), enthalten die Dateien SystemOut.log Fehlernachrichten mit den Nachrichtenschlüsseln SECJ0396E (Installation) und SECJ0398E (Änderung). Die Installation der Anwendung wird wegen eines Fehlers bei der Weitergabe der Sicherheitsrichtlinie an den JACC-Provider nicht gestoppt. Es werden auch keine Ausnahme- oder Fehlernachrichten während der Speicheroperation aufgezeichnet. Führen Sie nach der Behebung dieses Fehlers das Tool propagatePolicyToJaccProvider aus, um die Sicherheitsrichtlinie an den Provider weiterzugeben, ohne die Anwendung erneut zu installieren.
"HPDBA0219E: An error occurred reading data from an SSL connection"
Es kann eine Fehlernachricht (HPDBA0219E) in der Deployment-Manager-Datei SystemOut.log protokolliert werden, wenn Sie eine Anwendung in WebSphere Application Server Network Deployment(ND) installieren und ein verwalteter Knoten mit Tivoli Access Manager aktiviert ist.
Wenn dieser Fehler auftritt, sind die Daten der Sicherheitsrichtlinie der zuletzt implementierten Anwendungen möglicherweise nicht sofort verfügbar. Die Verfügbarkeit der Richtliniendaten richtet sich nach der Replikationszeit für Server in Tivoli Access Manager. Standardmäßig werden Server 30 Sekunden nach Abschluss aller Aktualisierungen repliziert. Um sicherzustellen, dass die aktuellen Richtliniendaten verfügbar sind, melden Sie sich an der pdadmin-Konsole an, und geben Sie server replicate ein.
![[z/OS]](../images/ngzos.gif)
Es kann ein Fehler "Es sind keine Ports in der Portgruppe verfügbar" kann angezeigt werden
Wenn Sie Tivoli Access Manager als JACC-Provider verwenden und WebSphere Application Server über die Administrationskonsole oder das Script wsadmin stoppen, wird ein Bereinigungsprozess für Tivoli Access Manager ausgeführt. WebSphere Application Server kann diesen Bereinigungsprozess nicht ausführen.
WebSphere Application Server verwendet für jeden neuen Prozess eine andere Portnummer. Schließlich kommt es zu dem Punkt, dass der Anwendungsserver keine Portnummern mehr zur Verfügung hat, um die Verbindung zum TAM-Server herzustellen. In diesem Fall wird der Fehler "Es sind keine Ports in der Portgruppe verfügbar" angezeigt.
Wenn dieser Fehler auftritt, müssen Sie die Ports, die für die Prozesse von WebSphere Application Server verfügbar sind, manuell bereinigen.