Tipps zur Fehlerbehebung bei Sicherheitskomponenten

In diesem Dokument werden die Basisressourcen und Schritte zur Diagnose von Sicherheitsproblemen in WebSphere Application Server erläutert.

Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.
In diesem Dokument werden die Basisressourcen und Schritte zur Diagnose von Sicherheitsproblemen in WebSphere Application Server erläutert. Folgende Themen werden behandelt:
Die folgenden sicherheitsspezifischen Fehler werden an anderer Stelle in diesem Information Center behandelt:

Wenn Sie den Fehler mit keinem dieser Schritte beheben können, prüfen Sie, ob der Fehler bekannt ist und dokumentiert wurde. Verwenden Sie dazu die Links im Abschnitt "Fehlerdiagnose und -behebung: Lernmaterial".

[AIX Solaris HP-UX Linux Windows][IBM i]Falls Sie kein Problem finden, das Ihrem Problem gleicht, oder falls Sie das Problem mit bereitgestellten Informationen nicht beheben können, suchen Sie in der Hilfe zur Fehlerbehebung von IBM nach weiteren unterstützenden Informationen.

[AIX Solaris HP-UX Linux Windows][IBM i]Eine Übersicht über die Sicherheitskomponenten von WebSphere Application Server wie SAS (Secure Authentication Services) und deren Funktionsweise finden Sie im Artikel Einführung in die Sicherheit.
Wichtig: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
[z/OS]Eine Übersicht über die Sicherheitskomponenten von WebSphere Application Server wie Secure Authentication Services for z/OS (z/SAS) und deren Funktionsweise finden Sie im Artikel Einführung in die Sicherheit.
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
[AIX Solaris HP-UX Linux Windows][IBM i]

Protokolldateien

Für die Fehlerbehebung bei den Sicherheitskomponenten suchen Sie in den JVM-Protokollen nach Einträgen für den Server mit der Ressource, auf die Sie versuchen zuzugreifen. Es folgt ein Beispiel für Nachrichten, die normalerweise von einem Server, dessen Sicherheitsservice gestartet wurde, angezeigt werden:
SASRas        A CWWSA0001I: Die Sicherheitskonfiguration wurde initialisiert.
SASRas        A CWWSA0002I: Authentifizierungsprotokoll: CSIV2/IBM
SASRas        A CWWSA0003I: Authentifizierungsverfahren: SWAM
SASRas        A CWWSA0004I: Principal-Name: MYHOSTNAME/aServerID
SASRas        A CWWSA0005I: SecurityCurrent wurde registriert.
SASRas        A CWWSA0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
SASRas        A CWWSA0007I: Interceptor für die Clientanforderungen wurde registriert.
SASRas        A CWWSA0008I: Interceptor für die Serveranforderungen wurde registriert.
SASRas        A CWWSA0009I: IOR-Interceptor wurde registriert.
NameServerImp I CWNMS0720I: Listener für Sicherheitsservice registrieren.
SecurityCompo A CWSCJ0242A: Der Sicherheitsservice wird gestartet.
UserRegistryI A CWSCJ0136I: Angepasste Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl wurde initialisiert.
SecurityCompo A CWSCJ0202A: Die Admin-Anwendung wurde erfolgreich initialisiert.
SecurityCompo A CWSCJ0203A: Die Naming-Anwendung wurde initialisiert.
SecurityCompo A CWSCJ0204A: Das rollenbasierte Berechtigungsprogramm wurde initialisiert.
SecurityCompo A CWSCJ0205A: Die MBean für die Sicherheitsverwaltung wurde registriert.
SecurityCompo A CWSCJ0243A: Der Sicherheitsservice wurde gestartet.
SecurityCompo A CWSCJ0210A: Die Sicherheit wurde aktiviert.
Es folgt ein Beispiel für Nachrichten eines Servers, der den Sicherheitsservice nicht starten kann. In diesem Fall liegt das daran, dass die Benutzer-ID und das Kennwort des Administrators, die bzw. das für die Kommunikation mit der Benutzerregistry angegeben wurde, falsch ist. Möglicherweise ist auch die Benutzerregistry inaktiv oder falsch konfiguriert.
SASRas        A CWWSA0001I: Die Sicherheitskonfiguration wurde initialisiert.
SASRas        A CWWSA0002I: Authentifizierungsprotokoll: CSIV2/IBM
SASRas        A CWWSA0003I: Authentifizierungsverfahren: SWAM
SASRas        A CWWSA0004I: Principal-Name: MYHOSTNAME/aServerID
SASRas        A CWWSA0005I: SecurityCurrent wurde registriert.
SASRas        A CWWSA0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
SASRas        A CWWSA0007I: Interceptor für die Clientanforderungen wurde registriert.
SASRas        A CWWSA0008I: Interceptor für die Serveranforderungen wurde registriert.
SASRas        A CWWSA0009I: IOR-Interceptor wurde registriert.
NameServerImp I CWNMS0720I: Listener für Sicherheitsservice registrieren.

SecurityCompo A CWSCJ0242A: Der Sicherheitsservice wird gestartet.
UserRegistryI A CWSCJ0136I: Angepasste Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl wurde initialisiert.
Authenticatio E CWSCJ4001E: Login failed for badID/<null> 
javax.security.auth.login.LoginException: authentication failed: bad user/password 
Es folgt ein Beispiel für Nachrichten eines Servers, für den LDAP als Sicherheitsverfahren angegeben wurde, die LDAP-Schlüssel jedoch nicht ordnungsgemäß konfiguriert wurden.
SASRas        A CWWSA0001I: Die Sicherheitskonfiguration wurde initialisiert.
SASRas        A CWWSA0002I: Authentifizierungsprotokoll: CSIV2/IBM
SASRas        A CWWSA0003I: Authentifizierungsverfahren: LTPA
SASRas        A CWWSA0004I: Principal-Name: MYHOSTNAME/anID
SASRas        A CWWSA0005I: SecurityCurrent wurde registriert.
SASRas        A CWWSA0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
SASRas        A CWWSA0007I: Interceptor für die Clientanforderungen wurde registriert.
SASRas        A CWWSA0008I: Interceptor für die Serveranforderungen wurde registriert.
SASRas        A CWWSA0009I: IOR-Interceptor wurde registriert.
NameServerImp I CWNMS0720I: Listener für Sicherheitsservice registrieren.
SecurityCompo A CWSCJ0242A: Der Sicherheitsservice wird gestartet.
UserRegistryI A CWSCJ0136I: Angepasste Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl wurde initialisiert.
SecurityServe E CWSCJ0237E: Mindestens eines der elementaren
LTPAServerObject-Konfigurationsattribute ist leer oder nicht verfügbar. Die Attribute und Werte sind Kennwort :
LTPA-Kennwort vorhanden, Verfallszeit 30, privater Schlüssel <null>, öffentlicher Schlüssel <null>
und gemeinsamer Schlüssel <null>.
Ein Fehler in der SSL-Konfiguration kann dazu führen, dass folgende Nachricht angezeigt wird. Vergewissern Sie sich, dass das Verzeichnis und die Kennwörter für den Keystore gültig sind. Prüfen Sie auch, ob der Keystore ein gültiges Zertifikat besitzt und der öffentliche Schlüssel des persönlichen Zertifikats bzw. die CA-Stammzertifikat extrahiert und in den Truststore gestellt wurde.
SASRas        A CWWSA0001I: Die Sicherheitskonfiguration wurde initialisiert.
SASRas        A CWWSA0002I: Authentifizierungsprotokoll: CSIV2/IBM
SASRas        A CWWSA0003I: Authentifizierungsverfahren: SWAM
SASRas        A CWWSA0004I: Principal-Name: MYHOSTNAME/aServerId
SASRas        A CWWSA0005I: SecurityCurrent wurde registriert.
SASRas        A CWWSA0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
SASRas        A CWWSA0007I: Interceptor für die Clientanforderungen wurde registriert.
SASRas        A CWWSA0008I: Interceptor für die Serveranforderungen wurde registriert.
SASRas        A CWWSA0009I: IOR-Interceptor wurde registriert.
SASRas E CWWSA0026E: [SecurityTaggedComponentAssistorImpl.register]
Beim Herstellen der Verbindung zwischen Objekt und ORB ist eine Ausnahme eingetreten. Vergewissern Sie sich,
dass die SSL-Eigenschaften "keyStore" und "trustStore" in der SSL-Konfiguration ordnungsgemäß definiert sind. Sollte
der Fehler weiterhin auftreten, wenden Sie sich an die Unterstützungsfunktion. org.omg.CORBA.OBJ_ADAPTER: ORB_CONNECT_ERROR (5) -
couldn't get Server Subcontract  minor code: 4942FB8F  completed: No

SDSF verwenden

Für die Fehlerbehebung bei den Sicherheitskomponenten können Sie mit SDSF (System Display and Search Facility) die Protokolle des Servers anzeigen, der die Ressource enthält, auf die Sie versuchen zuzugreifen. Es folgt ein Beispiel für Nachrichten, die normalerweise von einem Server, dessen Sicherheitsservice erfolgreich gestartet wurde, angezeigt werden:

[AIX Solaris HP-UX Linux Windows][IBM i]
+BBOM0001I com_ibm_authMechanisms_type_OID: No OID for this mechanism.
 +BBOM0001I com_ibm_security_SAF_unauthenticated: WSGUEST.
 +BBOM0001I com_ibm_security_SAF_EJBROLE_Audit_Messages_Suppress: 0.
 +BBOM0001I com_ibm_ws_logging_zos_errorlog_format_cbe: NOT SET, 280
 DEFAULT=0.
 +BBOM0001I com_ibm_CSI_performClientAuthenticationRequired: 0.
 +BBOM0001I com_ibm_CSI_performClientAuthenticationSupported: 1.
 +BBOM0001I com_ibm_CSI_performTransportAssocSSLTLSRequired: 0.
 +BBOM0001I com_ibm_CSI_performTransportAssocSSLTLSSupported: 1.
 +BBOM0001I com_ibm_CSI_rmiInboundPropagationEnabled: 1.
 +BBOM0001I com_ibm_CSI_rmiOutboundLoginEnabled: 0.
 +BBOM0001I com_ibm_CSI_rmiOutboundPropagationEnabled: 1.
 +BBOM0001I security_assertedID_IBM_accepted: 0.
 +BBOM0001I security_assertedID_IBM_sent: 0.
 +BBOM0001I security_disable_daemon_ssl: NOT SET, DEFAULT=0.
 +BBOM0001I security_sslClientCerts_allowed: 0.
 +BBOM0001I security_sslKeyring: NOT SET. 
 +BBOM0001I security_zOS_domainName: NOT SET.
 +BBOM0001I security_zOS_domainType: 0.
 +BBOM0001I security_zSAS_ssl_repertoire: SY1/DefaultIIOPSSL.
 +BBOM0001I security_EnableRunAsIdentity: 0.
 +BBOM0001I security_EnableSyncToOSThread: 0.
 +BBOM0001I server_configured_system_name: SY1.
 +BBOM0001I server_generic_short_name: BBOC001.
 +BBOM0001I server_generic_uuid:  457
 *** Nachrichten, die mit BBOO0222I beginnen, beziehen sich auf Java in der Sicherheit von ***
 *** WebSphere Application Server ***
 +BBOO0222I: SECJ6004I: Security Auditing ist inaktiviert.
 +BBOO0222I: SECJ0215I: Die Konfigurationsklasse des JAAS-Anmeldungsprovider wurde
 auf com.ibm.ws.security.auth.login.Configuration gesetzt.
 +BBOO0222I: SECJ0136I: Die angepasste Registry com.ibm.ws.security.registry.zOS.SAFRegistryImpl
 wurde initialisiert.
 +BBOO0222I: SECJ0157I: Die Berechtigungstabelle für den Lieferanten wurde geladen:
 com.ibm.ws.security.core.SAFAuthorizationTableImpl
[z/OS]
 BBOM0001I security_zOS_domainName: NOT SET.
 BBOM0001I security_zOS_domainType: 0.
 BBOM0001I security_SMF_record_first_auth_user: NOT SET, DEFAULT=1.
 BBOJ0077I:     java.security.policy = /WebSphere/V8R5/AppServer/profil
 BBOJ0077I:                            es/default/properties/server.pol
 BBOJ0077I:                            icy
 BBOJ0077I: java.security.auth.login.config = /WebSphere/V8R5/AppServer
 BBOJ0077I:                            /profiles/default/properties/wsj
 BBOJ0077I:                            aas.conf
 BBOO0222I: SECJ6004I: Security Auditing ist inaktiviert.
 BBOO0222I: SECJ0215I: Die Konfigurationsklasse des JAAS-Anmeldungsprovider wurde
 auf com.ibm.ws.security.auth.login.Configuration gesetzt.
 BBOO0222I: JSAS0001I: Die Sicherheitskonfiguration wurde initialisiert.
 BBOO0222I: JSAS0003I: Authentifizierungsverfahren: LTPA
 BBOO0222I: JSAS0004I: Principal-Name: DEFAULT/CBSYMSR1
 BBOO0222I: JSAS0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
 BBOO0222I: JSAS0009I: IOR-Interceptor wurde registriert.
 BBOO0222I: SECJ0136I: Die angepasste Registry
 com.ibm.ws.security.registry.zOS.SAFRegistryImpl wurde initialisiert.
 BBOO0222I: SECJ6214I: Die SAF-Berechtigung ist aktiviert.
 BBOO0222I: ACWA0002I: WorkArea service not enabled on server1.
 BBOO0222I: SECJ6216I: Die SAF-Delegierung ist aktiviert.
 BBOO0222I: SECJ6216I: Die SAF-Delegierung ist aktiviert.
 BBOO0222I: SECJ6216I: Die SAF-Delegierung ist aktiviert.
 BBOO0222I: SRVE0169I: Das Webmodul wird geladen: WIM.
 BBOO0222I: CHFW0019I: Der Transportkanalservice hat die Kette WCInboundAdmin gestartet.
 BBOO0222I: CHFW0019I: Der Transportkanalservice hat die Kette WCInboundDefault gestartet.
 BBOO0222I: CHFW0019I: Der Transportkanalservice hat die Kette WCInboundAdminSecure gestartet.
 BBOO0222I: CHFW0019I: Der Transportkanalservice hat die Kette WCInboundDefaultSecure gestartet.
 BBOO0222I: WSVR0001I: Der Server SERVANT PROCESS server1 ist für e-business bereit.
 BBOO0020I INITIALIZATION COMPLETE FOR WEBSPHERE FOR Z/OS SERVANT
 PROCESS BBOS001.
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0231I: Das FFDC-Diagnosemodul com.ibm.ws.security.core.SecurityDM der Sicherheitskomponente
wurde registriert: true.  BossLog: { 0013} 2013/07/12 16:46:00.104 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0309I: Java-2-Sicherheit ist inaktiviert.
 BossLog: { 0014} 2013/07/12 16:46:00.143 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0212I: Die WCCM-JAAS-Konfigurationsdaten wurden in die Klasse des Anmeldungsprovider übernommen.
 BossLog: { 0015} 2013/07/12 16:46:00.258 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0240I: Die Initialisierung des Sicherheitsservice ist abgeschlossen.
 BossLog: { 0016} 2013/07/12 16:46:00.448 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... FFDC0009I: FFDC hat die Datenstromdatei /WebSphere/V8R5/AppServer/profiles/default/logs/ffdc/S
 Y1_SY1_server1_STC
 00042_BBOS001S_06.07.12_16.46.00_0.txt geöffnet.
 BossLog: { 0017} 2013/07/12 16:46:00.532 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... FFDC0010I: FFDC hat die Datenstromdatei /WebSphere/V8R5/AppServer/profiles/default/logs/ffdc/S
 Y1_SY1_server1_STC
 00042_BBOS001S_06.07.12_16.46.00_0.txt geschlossen.
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0243I: Der Sicherheitsservice wurde gestartet
 BossLog: { 0035} 2013/07/12 16:46:24.670 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0210I: Die Sicherheit wurde aktiviert.
 BossLog: { 0036} 2013/07/12 16:46:24.795 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK

Allgemeine Vorgehensweise für die Behebung von Sicherheitsfehlern

Bei der Behebung von Sicherheitsfehlern sind die folgenden Fragen sehr hilfreich:
Tritt der Fehler auf, wenn die Sicherheitskomponente inaktiviert wird?
Auf diese Weise kann man gut testen, ob ein Fehler auf die Sicherheitskomponente zurückzuführen ist. Allerdings kann man nicht allgemein davon ausgehen, dass ein Fehler, weil er beim Aktivieren der Sicherheitskomponente auftritt, zwangsläufig ein Sicherheitsfehler ist. Wenn Sie zweifelsfrei feststellen möchten, ob ein Fehler auf die Sicherheitskomponente zurückzuführen ist, müssen Sie weitere Maßnahmen zur Fehlerbehebung durchführen.
Wurde die Sicherheitskomponente ordnungsgemäß initialisiert?
Während der Initialisierung wird auf viele Teile des Sicherheitscodes zugegriffen. Ist ein Konfigurationsfehler aufgetreten, können Sie diesen Fehler zuerst im Code sehen.

[AIX Solaris HP-UX Linux Windows][IBM i]Die folgenden Nachrichten, die in der Datei SystemOut.log generiert werden, zeigen die normale Codeinitialisierung eines Anwendungsservers an. Die Nachrichtenfolge variiert je nach Konfiguration geringfügig:

SASRas        A CWWSA0001I: Die Sicherheitskonfiguration wurde initialisiert.
SASRas        A CWWSA0002I: Authentifizierungsprotokoll: CSIV2/IBM
SASRas        A CWWSA0003I: Authentifizierungsverfahren: SWAM
SASRas        A CWWSA0004I: Principal-Name: BIRKT20/pbirk
SASRas        A CWWSA0005I: SecurityCurrent wurde registriert.
SASRas        A CWWSA0006I: Interceptor für die Sicherheitsverbindung wurde initialisiert.
SASRas        A CWWSA0007I: Interceptor für die Clientanforderungen wurde registriert.
SASRas        A CWWSA0008I: Interceptor für die Serveranforderungen wurde registriert.
SASRas        A CWWSA0009I: IOR-Interceptor wurde registriert.
NameServerImp I CWNMS0720I: Listener für Sicherheitsservice registrieren.
SecurityCompo A CWSCJ0242A: Der Sicherheitsservice wird gestartet.
UserRegistryI A CWSCJ0136I: Angepasste Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl wurde initialisiert.
SecurityCompo A CWSCJ0202A: Die Admin-Anwendung wurde erfolgreich initialisiert.
SecurityCompo A CWSCJ0203A: Die Naming-Anwendung wurde initialisiert.
SecurityCompo A CWSCJ0204A: Das rollenbasierte Berechtigungsprogramm wurde initialisiert.
SecurityCompo A CWSCJ0205A: Die MBean für die Sicherheitsverwaltung wurde registriert.
SecurityCompo A CWSCJ0243A: Der Sicherheitsservice wurde gestartet.

SecurityCompo A CWSCJ0210A: Die Sicherheit wurde aktiviert.
Die folgenden Nachrichten, die im aktiven SDSF-Protokoll generiert werden, zeigen die normale Codeinitialisierung eines Anwendungsservers an. Nachrichten, die sich nicht auf die Sicherheit beziehen, wurden aus der folgenden Nachrichtenfolge entfernt. Die Nachrichtenfolge variiert je nach Konfiguration geringfügig:
 Trace: 2013/05/06 17:27:31.539 01 t=8E96E0 c=UNK key=P8 (13007002)
   ThreadId: 0000000a   
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge 
   Category: AUDIT
   ExtendedMessage: BBOJ0077I java.security.policy = 
          /WebSphere/V8R5M0/AppServer/profiles/default/pr
 Trace: 2013/05/06 17:27:31.779 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge 
   Category: AUDIT
   ExtendedMessage: BBOJ0077I java.security.auth.login.config = 
          /WebSphere/V8R5M0/AppServer/profiles/default/pr
 Trace: 2013/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.SecurityDM
   SourceId: com.ibm.ws.security.core.SecurityDM
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0231I: Das FFDC-Diagnosemodul com.ibm.ws.security.core.SecurityDM der Sicherheitskomponente
   wurde registriert: true.
 Trace: 2013/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0231I: Das FFDC-Diagnosemodul com.ibm.ws.security.core.SecurityDM der Sicherheitskomponente
   wurde registriert: true.
 Trace: 2013/05/06 17:27:41.054 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.audit.AuditServiceImpl 
   SourceId: com.ibm.ws.security.audit.AuditServiceImpl 
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ6004I: Security Auditing ist inaktiviert.
 Trace: 2013/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0309I: Java-2-Sicherheit ist inaktiviert.
 Trace: 2013/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0309I: Java-2-Sicherheit ist inaktiviert. Trace: 2013/05/06 17:27:42.239 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.auth.login.Configuration
   SourceId: com.ibm.ws.security.auth.login.Configuration
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0215I: Die Konfigurationsklasse des JAAS-Anmeldungsprovider wurde
   auf to com.ibm.ws.security.auth.login.Configuration gesetzt.
 Trace: 2013/05/06 17:27:42.253 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0212I: Die WCCM-JAAS-Konfigurationsdaten wurden in die Klasse des Anmeldungsprovider übernommen.
 Trace: 2013/05/06 17:27:42.254 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0212I: Die WCCM-JAAS-Konfigurationsdaten wurden in die Klasse des Anmeldungsprovider übernommen.
 Trace: 2013/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0240I: Die Initialisierung des Sicherheitsservice ist abgeschlossen.
 Trace: 2013/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0240I: Die Initialisierung des Sicherheitsservice ist abgeschlossen.
 Trace: 2013/05/06 17:27:42.952 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.objectpool.ObjectPoolService  
   SourceId: com.ibm.ws.objectpool.ObjectPoolService   
   Category: INFO
   ExtendedMessage: BBOO0222I: OBPL0007I: Der Object Pool Manager Service ist inaktiviert.
 Trace: 2013/05/06 17:27:53.512 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.registry.UserRegistryImpl
   SourceId: com.ibm.ws.security.registry.UserRegistryImpl
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0136I: Die angepasste Registry com.ibm.ws.security.registry.zOS.SAFRegistryImpl wurde initialisiert.
 Trace: 2013/05/06 17:27:55.229 01 t=8E96E0 c=UNK key=P8 (13007002)   
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.role.PluggableAuthorizationTableProxy 
   SourceId: com.ibm.ws.security.role.PluggableAuthorizationTableProxy  
   Category: AUDIT
   ExtendedMessage: BBOO0222I: SECJ0157I: Die Berechtigungstabelle für den Lieferanten wurde geladen: com.ibm.ws.security.core.SAFAuthorizationTab
 Trace: 2013/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0243I: Der Sicherheitsservice wurde gestartet.
 Trace: 2013/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0243I: Der Sicherheitsservice wurde gestartet.
 Trace: 2013/05/06 17:27:56.482 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0210I: Die Sicherheit wurde aktiviert: true
 Trace: 2013/05/06 17:27:56.483 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error
   from filename: ./bborjtr.cpp
   at line: 932   
   error message: BBOO0222I: SECJ0210I: Die Sicherheit wurde aktiviert:
Ist im Systemprotokoll ein Stack-Trace oder eine Ausnahmebedingung angegeben?
Ein einzelner Stack-Trace sagt viel über den Fehler aus. Welcher Code hat den fehlerhaften Code initialisiert? Welche Komponente ist fehlerhaft? Welche Klasse ist der Ausgangspunkt des Fehlers? In manchen Fällen reicht der Stack-Trace zur Fehlerbehebung aus, wenn er die Fehlerursache genau angibt. In anderen Fällen enthält der Trace nur einen Hinweis und kann sogar irreführend sein. Wenn die Unterstützungsfunktion einen Stack-Trace analysiert und die Fehlerursache unklar ist, werden möglicherweise weitere Traceinformationen benötigt. Wenn es den Anschein hat, dass der Fehler auf die Sicherheitskomponente zurückzuführen ist und nicht mit dem Stack-Trace oder anhand der Fehlerbeschreibung behoben werden kann, werden Sie aufgefordert, die folgende Tracespezifikation für alle beteiligten Prozesse zu erfassen: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.
Ist das ein Fehler in der verteilten oder der lokalen Sicherheit?
  • Ist der Fehler im lokalen System aufgetreten, d. h., führt der entsprechende Code keinen fernen Methodenaufruf durch, wird die Fehlerbehebung auf einen einzelnen Prozess isoliert. Es ist wichtig, zu wissen, ob ein Fehler lokal oder verteilt auftritt, denn der ORB und andere Komponenten verhalten sich in beiden Fällen jeweils unterschiedlich. Wenn ein ferner Methodenaufruf durchgeführt wird, wird auf einen vollkommen anderen Codepfad der Sicherheitskomponente zugegriffen.
  • Betrifft der Fehler zwei oder mehr Server, müssen andere Verfahren zur Fehlerbehebung durchgeführt werden. Sie müssen für alle betroffenen Server gleichzeitig ein Tracing durchführen, damit der Trace die client- und die serverseitigen Aspekte des Fehlers anzeigt. Stellen Sie sicher, dass die Zeitmarken auf allen Maschinen so nah wie möglich zusammenliegen, damit Sie die Anforderungs-/Antwortpaare der zwei verschiedenen Prozesse ermitteln können. Aktivieren Sie Secure Authentication Services (SAS) bzw. z/SAS und den Sicherheitstrace mit der Tracespezifikation SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.

    Weitere Informationen zum Aktivieren der Traceerstellung finden Sie im Artikel zur Konfiguration der Traceerstellung und der Protokollierung.

    Weitere Informationen zum Aktivieren der Traceerstellung finden Sie im Artikel Mit Traces arbeiten.

Bezieht sich der Fehler auf die Authentifizierung oder die Berechtigung?
Die meisten Sicherheitsfehler fallen unter eine dieser beiden Kategorien. Beim Prozess der Authentifizierung wird die Identität des aufrufenden Prozess (Caller) festgestellt. Beim Prozess der Berechtigung wird überprüft, ob der aufrufende Prozess die richtige Berechtigung zum Aufrufen der angeforderten Methode besitzt. Wenn die Authentifizierung fehlschlägt, bezieht sich der Fehler normalerweise auf das Authentifizierungsprotokoll, das Authentifizierungsverfahren oder die Benutzerregistry. Wenn die Berechtigung fehlschlägt, ist das normalerweise auf die Anwendungsbindungen für die Assemblierung und die Implementierung sowie die Identität des aufrufenden Prozesses, der auf die Methode und die von der Methode erforderten Rollen zugreift, zurückzuführen.
Handelt es sich um eine Webanforderung oder eine EJB-Anforderung?

Webanforderungen verwenden einen vollkommen anderen Pfad als EJB-Anforderungen (Enterprise JavaBeans). Außerdem unterscheiden sich die Sicherheitskomponenten für Webanforderungen und für EJB-Anforderungen, da sie vollkommen unterschiedliche Daten auflösen. Wenn Sie z. B. die LTPA-Authentifizierung verwenden, ist die SSO-Funktion (Single Sign-On) für Webanforderungen, jedoch nicht für EJB-Anforderungen verfügbar. Webanforderungen beinhalten HTTP-Headerdaten, die von EJB-Anforderungen aufgrund von Protokollunterschieden nicht benötigt werden. Außerdem ist der Web-Container bzw. die Servletmaschine am gesamten Prozess beteiligt. Alle diese Komponenten können von dem Fehler betroffen sein und müssen in die Fehlerbehebung einbezogen werden. Dabei muss berücksichtigt werden, welcher Anforderungstyp verwendet wird und wo der Fehler auftritt.

[AIX Solaris HP-UX Linux Windows][IBM i]Bei sicheren EJB-Anforderungen sind ORB- und die Naming-Komponente stark betroffen, da die Anforderungen über das RMI/IIOP-Protokoll durchgeführt werden. Wenn Workload Manager (WLM) aktiviert ist, können noch weitere Funktionsänderungen im Code beobachtet werden. Alle diese Komponenten interagieren in hohem Maße, um ein reibungsloses Funktionieren der Sicherheitskomponente in dieser Umgebung zu gewährleisten. In manchen Fällen muss ein Tracing für einige bzw. alle Komponenten ein Tracing durchgeführt werden, um Fehler in diesem Bereich beheben zu können.

[AIX Solaris HP-UX Linux Windows][IBM i]Die Tracespezifikation, mit der begonnen werden muss, ist SASRas=all=enabled:com.ibm.ws.security.*=all=enabled. Der ORB-Trace ist ebenfalls sehr nützlich, wenn der Fehler mit SAS und dem Sicherheitstrace nicht bestimmt werden kann.

[z/OS]Sichern Sie die EJB-Anforderungen, die vom Controller an den Servant übergeben werden. Webanforderungen werden vom Controller meistens ignoriert. Deshalb werden EJB-Anforderungen zuerst von den zSAS- oder CSIv2-Sicherheitsschichten (Common Security Interoperability Version 2) verarbeitet und authentifiziert. Die Berechtigung wird vom Servant durchgeführt. Sollte ein Berechtigungsfehler auftreten, muss zur Diagnose des Fehlers der zSAS-Trace aktiviert werden. Andere Fehler können mit dem Tool WebSphere Application Server Component Tracing (CTRACE) diagnostiziert werden.

Steht der Fehler in Zusammenhang mit SSL (Secure Sockets Layer)?

Secure Sockets Layer (SSL) ist eine vollständig gesonderte Sicherheitsschicht. Die Behebung von SSL-Fehlern ist gewöhnlich von der Behebung von Authentifizierungs- und Berechtigungsfehlern losgelöst. Außerdem müssen zahlreiche Punkte beachtet werden. Normalerweise treten SSL-Fehler auf, wenn eine Konfiguration, die komplex sein kann, erstmalig durchgeführt wird. Jeder Client muss das signierte Zertifikat des Servers enthalten. Bei der gegenseitigen Authentifizierung muss jeder Server das signierte Zertifikat des Clients enthalten. Möglicherweise werden verschiedene Protokolle (SSLv3 bzw. TLS) verwendet. Es können auch Fehler aufgrund veralteter IORs (Interoperable Object References) eines Servers, die den Port vor dem Neustart des Servers enthalten, auftreten.

[z/OS]In z/OS werden zwei Varianten von SSL verwendet. Zur Bestimmung eines SSL-Fehlers unter z/OS müssen Sie wissen, welches Protokoll verwendet wird.
  • System-SSL wird von den Protokollen IIOP und HTTPS verwendet.
  • JSSE (Java Secure Socket Extension) wird von allen anderen Protokollen, z. B. SOAP, verwendet.
  • System-SSL-Anforderungen werden im Controller verarbeitet und von der z/SAS und CSIv2-Sicherheit verwendet.
  • SJSSE wird vorrangig vom Servant verwendet, aber in manchen Fällen wird JSSE zusätzlich im Controller verwendet.
Bei SSL-Problemen werden Sie manchmal aufgefordert, einen SSL-Trace zu erstellen, um festzustellen, was beim SSL-Handshake passiert ist. Der SSL-Handshake findet statt, wenn ein Client einen Socket zu einem Server öffnet. Wenn beim Austausch der Schlüssel, der Chiffierwerte uws. ein Problem auftritt, schlägt der Handshake fehl, und der Socket ist nicht gültig. Das Erstellen eines Trace für JSSE (der SSL-Implementierung, die in WebSphere Application Server verwendet wird) umfasst die folgenden Schritte:
  • Setzen Sie die folgende Systemeigenschaft für die Client- und Serverprozesse: -Djavax.net.debug=true. Für den Server müssen Sie die Systemeigenschaft auf die Eigenschaft Generische JVM-Argumente auf der Seite mit den JVM-Einstellungen setzen.
  • [AIX Solaris HP-UX Linux Windows][IBM i]Aktivieren Sie auch den ORB-Trace.
  • Reproduzieren Sie den Fehler.
    [AIX Solaris HP-UX Linux Windows][IBM i]Die Datei SystemOut.log beider Prozesse enthält den JSSE-Trace. Der Trace gleicht dem folgenden Beispiel:
    SSLConnection: install <com.ibm.sslite.e@3ae78375> 
    >> handleHandshakeV2 <com.ibm.sslite.e@3ae78375> 
    >> handshakeV2 type = 1 
    >> clientHello: SSLv2. 
    SSL client version: 3.0 
    ... 
    ... 
    ... 
    JSSEContext: handleSession[Socket[addr=null,port=0,localport=0]] 
    
    << sendServerHello.
    SSL version: 3.0 
    SSL_RSA_WITH_RC4_128_MD5 HelloRandom 
    ... 
    ... 
    ... 
    << sendCertificate. 
    << sendServerHelloDone. 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleHandshake <com.ibm.sslite.e@3ae78375> 
    >> handshakeV3 type = 16 
    
    >> clientKeyExchange. 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleChangeCipherSpec <com.ibm.sslite.e@3ae78375> 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleHandshake <com.ibm.sslite.e@3ae78375> 
    >> handshakeV3 type = 20 
    >> finished. 
    << sendChangeCipherSpec. 
    << sendFinished. 
    [z/OS]Die SYSOUT-Datei für die gestartete Task der Region enthält den JSSE-Trace. Wenn Sie SDSF verwenden, gleicht dieser Trace dem folgenden Beispiel:
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2139,localport=8878]]
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2140,localport=8878]]
     TrustManagerFactoryImpl: trustStore is :
     /WebSphere/V8R50M0/AppServer/etc/DummyServerTrustFile.jks
     TrustManagerFactoryImpl: trustStore type is : JKS
     TrustManagerFactoryImpl: init truststore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2142,localport=8878]]
     KeyManagerFactoryImpl: keyStore is : 
    /WebSphere/V8R5M0/AppServer/etc/DummyServerKeyFile.jks
     KeyManagerFactoryImpl: keyStore type is : JKS
     KeyManagerFactoryImpl: init keystore
     KeyManagerFactoryImpl: init keystore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2143,localport=8878]]
     JSSEContext: handleSession[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,localport=2145]]
     JSSEContext:  confirmPeerCertificate
    [Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,
      localport=2145]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     10094996692239509074796828756118539107568369566313889955538950668
    6622953008589748001058216362638201577071902071311277365773252660799
     128781182947273802312699983556527878615792292244995317112436562491
    489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2014]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1009499669223950907479682875611853910756836956631388995553895066866
    22953008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2144,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2145]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2146]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2147]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2148]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2149]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2150]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2151]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2152]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2153]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2154]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2155]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2156]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2157]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2158]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2159]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2160]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2161]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2162]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2163]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2164]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2165]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2166]]
     
     JSSEContext: handleSession[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext:  confirmPeerCertificate[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS z/OS Deployment Manager, O=IBM
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     12840948267119651469312486548020957441946413494498370439558603901582589
    8755033448419534105183133064366466828741516428176579440511007
     6258795528749232737808897160958348495006972731464152299032614592135114
    19361539962555997136085140591098259345625853617389396340664766
     649957749527841107121590352429348634287031501
     public exponent:
     65537
    0  Validity: [From: Fri Jun 25 05:00:00 GMT 2013,
                    To: Mon Jun 26 04:59:59 GMT 2015]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [    02]
    0Certificate Extensions: 3
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 05 6A CD 7F AE AF 89 78   99 A8 F1 5B 64 8B 9F AF  .j.....x...[d...
     0010: 73 1B 58 65                                        s.Xe
     ]
     ]
    0[3]: ObjectId: 2.5.29.35 Criticality=false
     AuthorityKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
    0]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 73 0D FC E1 8A B3 42 E1   04 73 72 B1 C6 C9 87 54  s.....B..sr....T
     0010: 87 57 02 FA 41 32 D8 B0   39 09 86 CB 6B 03 B6 F9  .W..A2..9...k...
     0020: 62 8D 95 36 56 0E D4 D2   F7 7A 8D 4B FB 0B FD 91  b..6V....z.K....
     0030: 89 A8 08 41 30 E2 27 DC   15 5F 2C F4 CD 2F 6B 8E  ...A0.'.._,../k.
     0040: 21 2A 88 53 46 27 68 9B   55 14 38 8E 1F 50 95 BC  !*.SF'h.U.8..P..
     0050: A8 46 F6 68 97 9E 7B 65   9E E8 A7 34 B2 C8 63 CF  .F.h...e...4..c.
     0060: 73 C8 4E 25 0A EF C5 8F   04 A4 EB 8C CC 33 84 26  s.N%.........3.&
     0070: 5D FD 7C AD 7B 02 13 5A   86 A1 89 93 1E A4 93 63  ]......Z.......c
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS CertAuth, C=US
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1167408593733331602218385578183389496484587418638676352829560040529918
    40558681208199977833401609895748222369066230329785148883251144
     2382911186804921983976695395381692334250582278359056431484427844566504
    41491799952592864895242987037929408453455627552772317382077015
     828713585220212502839546496071839496308430393
     public exponent:
     65537
    0  Validity: [From: Fri Jun 25 05:00:00 GMT 2013,
                    To: Sat Jun 24 04:59:59 GMT 2015]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [  0  ]
    0Certificate Extensions: 4
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
     ]
    0[3]: ObjectId: 2.5.29.15 Criticality=true
     KeyUsage [
       Key_CertSign
       Crl_Sign
     ]
    0[4]: ObjectId: 2.5.29.19 Criticality=true
     BasicConstraints:[
     CA:true
     PathLen:2147483647
     ]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 43 88 AB 19 5D 00 54 57   5E 96 FA 85 CE 88 4A BF  C...].TW^.....J.
     0010: 6E CB 89 4C 56 BE EF E6   8D 2D 74 B5 83 1A EF 9C  n..LV....-t.....
     0020: B3 82 F2 16 84 FA 5C 50   53 2A B4 FD EB 27 98 5D  ......\PS*...'.]
     0030: 43 48 D3 74 85 21 D1 E1   F2 63 9E FB 58 2A F3 6A  CH.t.!...c..X*.j
     0040: 44 D2 F5 7D B2 55 B9 5E   32 11 78 B6 34 8E 4B 1D  D....U.^2.x.4.K.
     0050: F3 82 1D C1 5F 7B 3F AD   C9 29 FA FF D1 D1 13 2C  ...._.?..).....,
     0060: 57 F7 7B 51 02 99 6F ED   54 E1 51 34 B8 51 BE 97  W..Q..o.T.Q4.Q..
     0070: 30 AC 4F 89 AB AA 8A B2   E1 40 89 2E 18 C7 0E 15  0.O......@......
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2168]]
     
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2235,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2236]]
     JSSEContext: handleSession[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     JSSEContext:  confirmPeerCertificate[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
    
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506686622953
    008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506
    686622953008589748001058216362638201577071902071311277365773252660799
     12878118294727380231269998355652787861579229224499531711243656249
    1489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2238]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2239]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2240]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2241]]

Tracesicherheit

Die Sicherheit von WebSphere Application Server wird von den folgenden Klassen implementiert:
  • com.ibm.ws.security.*
  • com.ibm.websphere.security.*
  • com.ibm.WebSphereSecurityImpl.*
  • [AIX Solaris HP-UX Linux Windows][IBM i]SASRas
  • com.ibm.ws.wim.* (für den Trace des VMM-Repository (Virtual Member Manager))
[AIX Solaris HP-UX Linux Windows][IBM i]Ausführliche Informationen zum Laufzeitverhalten der Sicherheitskomponente erhalten Sie, wenn Sie für die folgenden Komponenten den Trace aktivieren und die Ausgabe prüfen:
  • com.ibm.ws.security.*=all=enabled:com.ibm.WebSphereSecurityImpl.*= all=enabled:com.ibm.websphere.security.*=all=enabled. Diese Traceanweisung erfasst den Trace für die Laufzeitsicherheit:
  • com.ibm.ws.console.security.*=all=enabled. Diese Traceanweisung erfasst den Trace für die Administrationskonsole der Sicherheitszentrale:
  • SASRas=all=enabled. Diese Traceanweisung erfasst den Trace für SAS (grundlegende Authentifizierungslogik).
  • com.ibm.ws.wim.*=all=enabled:com.ibm.websphere.wim.*=all=enabled. Diese Traceanweisung erfasst den Trace für VMM.
[AIX Solaris HP-UX Linux Windows]Feinabstimmung der SAS-Traces
[AIX Solaris HP-UX Linux Windows]Wenn für einen Teil der Klassen für die SAS/CSIv2-Komponente ein Trace durchgeführt werden muss, können die Klassen in Form einer Liste, in der die Einträge durch Kommas getrennt werden, mit der Systemeigenschaft com.ibm.CORBA.securityTraceFilter=SecurityConnectionInterceptorImpl, VaultImpl, ... angegeben werden.
Feinabstimmung der Sicherheitstraces
Muss ein Tracing für eine Untergruppe von Paketen durchgeführt werden, geben Sie eine Tracespezifikation an, die ausführlicher ist als com.ibm.ws.security.*=all=enabled. Wenn Sie z. B. für den Code der dynamischen Richtlinie einen Trace durchführen möchten, können Sie com.ibm.ws.security.policy.*=all=enabled angeben. Zum Inaktivieren der Traceerstellung für die dynamische Richtlinie können Sie com.ibm.ws.security.policy.*=all=disabled angeben.
[z/OS]Einstellungen für den CSIv2- oder z/SAS-Trace konfigurieren
[z/OS]Es können Situationen eintreten, in denen der Trace für die Authentifizierungsprotokolle CSIv2 und z/SAS helfen kann, schwierige Probleme zu lösen. Dieser Abschnitt beschreibt, wie Sie den Trace für CSIv2 und z/SAS aktivieren. [z/OS]
Trace für CSIv2 und z/SAS auf Clientseite aktivieren
Gehen Sie wie folgt vor, um den Trace für CSIv2 und z/SAS in einem reinen Client zu aktivieren:
  • Editieren Sie die Datei TraceSettings.properties im Verzeichnis /WebSphere/AppServer/properties.
  • Ändern Sie in dieser Datei traceFileName= so, dass der Eintrag auf den Pfad zeigt, in den die Ausgabedatei gestellt werden soll. Geben Sie zwischen den einzelnen Unterverzeichnissen einen doppelten Backslash (\\) ein. Beispiel: traceFileName=c:\\WebSphere\\AppServer\\logs\\sas_client.log
  • Fügen Sie die Zeichenfolge der Tracespezifikation der Datei hinzu: SASRas=all=enabled. Alle weiteren Tracezeichenfolgen können in weiteren Zeilen hinzugefügt werden.
  • Zeigen Sie aus der Clientanwendung auf diese Datei. Fügen Sie in der Java-Befehlszeile, über die Sie den Client starten, die folgende Systemeigenschaft hinzu: -DtraceSettingsFile=TraceSettings.properties.
    Anmerkung: Geben Sie in der Datei TraceSettings.properties nicht den vollständig qualifizierten Pfad an. Vergewissern Sie sich, dass die Datei TraceSettings.properties im Klassenpfad angegeben ist.
[z/OS]Trace für CSIv2 und z/SAS auf Serverseite aktivieren
[z/OS]Geben Sie wie folgt vor, um den Trace für z/SAS in einem Anwendungsserver zu aktivieren:
  • Fügen Sie die Tracespezifikation SASRas=all=enabled der Datei server.xml hinzu. Sie können die Tracespezifikation auch den Traceeinstellungen in der Administrationskonsole hinzufügen.
  • In der Regel empfiehlt es sich, zusätzlich zum Trace für die Laufzeitumgebung des Traceprotokolls auch einen Trace für die Laufzeitumgebung der Berechtigungssicherheit durchzuführen. Verwenden Sie dazu die zwei folgenden Tracespezifikationen in kombinierter Form: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.
  • Wenn Sie einen Verbindungstypfehler beheben möchten, empfiehlt es sich, einen Trace für CSIv2 und SAS bzw. CSIv2 und z/SAS und für den ORB durchzuführen. Verwenden Sie dazu die drei folgenden Tracespezifikationen: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled:ORBRas=all=enabled.
  • Zusätzlich zu diesen Tracespezifikationen gibt es für den ORB-Trace eine Reihe von Systemeigenschaften, die ebenfalls gesetzt werden müssen. Zum Definieren dieser Eigenschaften klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername > Container-Services > ORB-Service. Wählen Sie die Option ORB-Tracing aus. Diese Option setzt zwei Eigenschaften, die im vorherigen Release manuell gesetzt werden mussten. Weitere Informationen finden Sie im Artikel "Einstellungen des ORB-Service".
[AIX Solaris HP-UX Linux Windows][IBM i]Einstellungen für den CSIv2- oder SAS-Trace konfigurieren
[AIX Solaris HP-UX Linux Windows][IBM i]Es können Situationen eintreten, in denen der Trace für die Authentifizierungsprotokolle CSIv2 und SAS helfen kann, schwierige Probleme zu lösen. Dieser Abschnitt beschreibt, wie Sie den Trace für CSIv2 und SAS aktivieren.
[AIX Solaris HP-UX Linux Windows]Trace für CSIv2 und SAS auf Clientseite aktivieren
[AIX Solaris HP-UX Linux Windows]Gehen Sie wie folgt vor, um den Trace für CSIv2 und SAS in einem reinen Client zu aktivieren:
  • Editieren Sie die Datei TraceSettings.properties im Verzeichnis /WebSphere/AppServer/properties.
  • Ändern Sie in dieser Datei traceFileName= so, dass der Eintrag auf den Pfad zeigt, in den die Ausgabedatei gestellt werden soll. Geben Sie zwischen den einzelnen Unterverzeichnissen einen doppelten Backslash (\\) ein. Beispiel: traceFileName=c:\\WebSphere\\AppServer\\logs\\sas_client.log
  • Fügen Sie die Zeichenfolge der Tracespezifikation der Datei hinzu: SASRas=all=enabled. Alle weiteren Tracezeichenfolgen können in weiteren Zeilen hinzugefügt werden.
  • Zeigen Sie aus der Clientanwendung auf diese Datei. Fügen Sie in der Java-Befehlszeile, über die Sie den Client starten, die folgende Systemeigenschaft hinzu: -DtraceSettingsFile=TraceSettings.properties.
    Anmerkung: Geben Sie in der Datei TraceSettings.properties nicht den vollständig qualifizierten Pfad an. Vergewissern Sie sich, dass die Datei TraceSettings.properties im Klassenpfad angegeben ist.
[IBM i]Trace für CSIv2 und SAS auf Clientseite aktivieren
[IBM i]Gehen Sie wie folgt vor, um den Trace für CSIv2 und SAS in einem reinen Client zu aktivieren:
  • Editieren Sie die Datei TraceSettings.properties im Verzeichnis /WebSphere/AppServer/properties. Editieren Sie beispielsweise die Datei Profilstammverzeichnis/properties/TraceSettings.properties.
  • Ändern Sie in dieser Datei die Anweisung traceFileName= so, dass sie auf den Pfad zeigt, in dem die Ausgabedatei erstellt werden soll. Beispiel: traceFileName=Profilstammverzeichnis/logs/sas_client.
  • Fügen Sie in dieser Datei die folgende Tracespezifikationszeichenfolge hinzu: SASRas=all=enabled. Alle weiteren Tracezeichenfolgen können in weiteren Zeilen hinzugefügt werden.
  • Zeigen Sie aus der Clientanwendung auf diese Datei. Fügen Sie in der Java-Befehlszeile, über die Sie den Client starten, die folgende Systemeigenschaft hinzu: -DtraceSettingsFile=TraceSettings.properties.
    Anmerkung: Geben Sie in der Datei TraceSettings.properties nicht den vollständig qualifizierten Pfad an. Vergewissern Sie sich, dass die Datei TraceSettings.properties im Klassenpfad angegeben ist.
Trace für CSIv2 und SAS auf Serverseite aktivieren
Geben Sie wie folgt vor, um den Trace für SAS in einem Anwendungsserver zu aktivieren:
  • Fügen Sie die Tracespezifikation SASRas=all=enabled der Datei server.xml hinzu. Sie können die Tracespezifikation auch den Traceeinstellungen in der GUI der Webkonsole hinzufügen.
  • In der Regel ist es am besten, einen Trace für die Laufzeit des Authentifizierungsprotokolls als auch für die Laufzeit der Berechtigungssicherheit durchzuführen. Verwenden Sie dazu die zwei folgenden Tracespezifikationen in kombinierter Form: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.
  • Wenn Sie einen Verbindungstypfehler beheben möchten, empfiehlt es sich, einen Trace für CSIv2 und SAS bzw. CSIv2 und z/SAS und für den ORB durchzuführen. Verwenden Sie dazu die drei folgenden Tracespezifikationen: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled:ORBRas=all=enabled.
  • Zusätzlich zu diesen Tracespezifikationen gibt es für den ORB-Trace eine Reihe von Systemeigenschaften, die ebenfalls gesetzt werden müssen. Rufen Sie die Anzeige mit den ORB-Einstellungen in der grafischen Benutzerschnittstelle auf, und fügen Sie die folgenden beiden Eigenschaften hinzu: com.ibm.CORBA.Debug=true und com.ibm.CORBA.CommTrace=true.
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

CORBA-Nebencodes für CSIv2

Wenn im Sicherheitscode des Clients oder Servers Ausnahmen eintreten, wird die letztendliche Ausnahme zu einer CORBA-Ausnahme (Common Object Request Broker Architecture). Jede Ausnahme wird in eine CORBA-Ausnahme eingebettet, weil der Sicherheitsservice die CORBA-Architektur für die Kommunikation zwischen Prozessen verwendet. CORBA-Ausnahmen sind generisch und weisen auf ein Problem bei der Kommunikation zwischen zwei Komponenten hin. CORBA-Nebencodes sind spezifischer und weisen auf die eigentliche Ursache hin, warum Komponente eine Anforderung nicht ausführen konnte.

Im Folgenden werden die CORBA-Nebencodes beschrieben, die ein Client nach der Ausführung einer sicherheitsrelevanten Anforderungen (z. B. Authentifizierung) empfangen kann. Außerdem ist der Typ der CORBA-Ausnahme, in der der Nebencode erscheint, aufgeführt.

Die folgende Ausnahme ist ein Beispiel für eine CORBA-Ausnahme, in der der Nebencode 49424300 ist und auf einen Authentifizierungsfehler hinweist. Normalerweise wird mit der Ausnahme eine beschreibende Nachricht angezeigt, die bei der Fehlerbehebung hilfreich ist. Die detaillierte Nachricht lautet wie folgt: "Exception caught invoking authenticateBasicAuthData from SecurityServer for user jdoe. Reason: com.ibm.WebSphereSecurity.AuthenticationFailedException". Diese Nachricht gibt an, dass die Authentifizierung für Benutzer jdoe fehlgeschlagen ist.

Das Feld "completed" in der Ausnahme zeigt an, ob die Methode ausgeführt wurde. Im Fall von NO_PERMISSION wird die Nachricht nicht aufgerufen. Deshalb ist das Feld immer completed:No. Andere Ausnahmen, die auf Serverseite abgefangen werden, können den Abschlussstatus (completed) "Maybe" oder "Yes" haben.

org.omg.CORBA.NO_PERMISSION: Caught WSSecurityContextException in 
WSSecurityContext.acceptSecContext(), 
reason: Major Code[0] Minor Code[0] Message[Exception caught invoking 
authenticateBasicAuthData from SecurityServer for user jdoe.  Ursache:
com.ibm.WebSphereSecurity.AuthenticationFailedException]  minor code: 49424300 
completed: No
at com.ibm.ISecurityLocalObjectBaseL13Impl.PrincipalAuthFailReason.map_auth_fail_to_minor_code(PrincipalAuthFailReason.java:83) 
                at com.ibm.ISecurityLocalObjectBaseL13Impl.CSIServerRI.receive_request(CSIServerRI.java:1569) 
                at com.ibm.rmi.pi.InterceptorManager.iterateReceiveRequest(InterceptorManager.java:739) 
                at com.ibm.CORBA.iiop.ServerDelegate.dispatch(ServerDelegate.java:398) 
        at com.ibm.rmi.iiop.ORB.process(ORB.java:313) 
        at com.ibm.CORBA.iiop.ORB.process(ORB.java:1581) 
        at com.ibm.rmi.iiop.GIOPConnection.doWork(GIOPConnection.java:1827) 
        at com.ibm.rmi.iiop.WorkUnitImpl.doWork(WorkUnitImpl.java:81) 
        at com.ibm.ejs.oa.pool.PooledThread.run(ThreadPool.java:91) 
        at com.ibm.ws.util.CachedThread.run(ThreadPool.java:149) 
Tabelle 1. CORBA-Nebencodes nach der Ausführung einer sicherheitsrelevanten Anforderung wie Authentifizierung. Die folgende Tabelle enthält die CORBA-Nebencodes, die ein Client nach der Ausführung einer sicherheitsrelevanten Anforderungen (z. B. Authentifizierung) empfangen kann. Der Cient kann ein eigenständiger Client oder ein Server sein, der als Client auftritt. Außerdem ist der Typ der CORBA-Ausnahme, in der der Nebencode erscheint, aufgeführt.
Name des Nebencodes Wert des Nebencodes (hexadezimal) Ausnahmetyp (alle im Paket org.omg.CORBA.*) Beschreibung des Nebencodes Wiederholung durch eigenständigen Client (wenn authenticationRetryEnabled=true) Wiederholung durch Server, der als Client auftritt (wenn authenticationRetryEnabled=true)
AuthenticationFailed 49424300 NO_PERMISSION Dieser Code ist ein generischer Fehler, der bei einer gescheiterten Authentifizierung ausgegeben wird. Er enthält keine Details dazu, ob Benutzer-ID oder Kennwort gültig ist. Einige Benutzerregistrys verwenden diesen Typ von Fehlercode, andere verwenden einen der folgenden drei Typen, die spezifischer sind. Ja Ja
InterceptLocateException 494210B8 INTERNAL Dieser Fehler weist auf ein Problem bei der Verarbeitung einer eingehenden Suchanforderung hin. Nein Nein
InvalidUserid 49424301 NO_PERMISSION Dieser Code wird ausgegeben, wenn die Registry eine ungültige Benutzer-ID zurückgibt. Ja Nein
InvalidPassword 49424302 NO_PERMISSION Dieser Code wird ausgegeben, wenn die Registry ein ungültiges Kennwort zurückgibt. Ja Nein
InvalidSecurityCredentials 49424303 NO_PERMISSION Dies ist ein generischer Fehler, der anzeigt, dass die Berechtigungsnachweise aus irgendeinem Grund ungültig sind. Möglicherweise sind die richtigen Attribute nicht festgelegt. Ja, wenn Client BasicAuth-Berechtigung besitzt (tokenbasierte Berechtigung wurde zuerst zurückgewiesen). Ja
InvalidRealm 49424304 NO_PERMISSION Dieser Code wird ausgegeben, wenn der REALM in dem vom Client empfangenen Token nicht mit dem aktuellen Realm des Servers übereinstimmt. Nein Nein
ValidationFailed 49424305 NO_PERMISSION Ein Validierungsfehler tritt auf, wenn ein Token vom Client oder Server an einen Zielserver gesendet wird, aber das Tokenformat oder die Verfallszeit nicht gültig ist. Ja, wenn Client BasicAuth-Berechtigung besitzt (tokenbasierte Berechtigung wurde zuerst zurückgewiesen). Ja
CredentialTokenExpired 49424306 NO_PERMISSION Dieser Code ist spezifischer in Bezug auf den Grund für das Scheitern der Validierung. In diesem Fall hat das Token eine absolute Lebensdauer, die abgelaufen ist. Daher ist das Token nicht mehr gültig und kann nicht verwendet werden. Ja, wenn Client BasicAuth-Berechtigung besitzt (tokenbasierte Berechtigung wurde zuerst zurückgewiesen). Ja
InvalidCredentialToken 49424307 NO_PERMISSION Diese Fehlermeldung ist spezifischer hinsichtlich des Grundes für das Fehlschlagen der Validierung. In diesem Fall kann das Token nicht entschlüsselt werden, oder die Daten im Token sind nicht lesbar. Ja, wenn Client BasicAuth-Berechtigung besitzt (tokenbasierte Berechtigung wurde zuerst zurückgewiesen). Nein
SessionDoesNotExist 49424308 NO_PERMISSION Diese Fehlermeldung zeigt an, dass die CSIv2-Sitzung auf dem Server nicht vorhanden ist. Gewöhnlich erfolgt die Wiederholung automatisch, und es wird erfolgreich eine neue Sitzung erstellt. Ja Ja
SessionConflictingEvidence 49424309 NO_PERMISSION Dieser Fehler zeigt an, dass bereits eine Sitzung auf dem Server vorhanden ist, die der vom Client gesendeten Kontext-ID entspricht. Die vom Client für diese EstablishContext-Nachricht bereitgestellten Informationen weichen jedoch von den Informationen ab, die ursprünglich zum Herstellen der Sitzung angegeben wurden. Ja Ja
SessionRejected 4942430A NO_PERMISSION Diese Fehlermeldung zeigt an, dass die vom Client referenzierte Sitzung zuvor vom Server zurückgewiesen wurde. Ja Ja
SecurityServerNotAvailable 4942430B NO_PERMISSION Dieser Fehler tritt auf, wenn der Server keine Verbindung zum lokalen oder fernen Sicherheitsserver herstellen kann, um die Authentifizierung oder Validierung durchzuführen. Nein Nein
InvalidIdentityToken 4942430C NO_PERMISSION Dieser Fehler zeigt an, dass die Identität nicht vom Identitätstoken abgerufen werden kann, wenn die Identitätszusicherung aktiviert ist. Nein Nein
IdentityServerNotTrusted 4942430D NO_PERMISSION Dieser Fehler zeigt an, dass die Server-ID des sendenden Servers nicht in der Liste der anerkannten Principals des Zielservers enthalten ist.

[z/OS]Überprüfen Sie, ob die Server-ID des sendenden Servers für das CBIND-Profil zulässig ist.

Nein Nein
InvalidMessage 4942430E NO_PERMISSION Dieser Fehler zeigt an, dass das CSIv2-Nachrichtnformat für den empfangenden Server nicht gültig ist. Nein Nein
MappingFailed 4942430F NO_PERMISSION Weist auf einen Fehler bei der Zuordnung eines eingehenden Subjekts mit der Systemanmeldekonfiguration für eingehende RMI-Anforderungen hin. Nein Nein
RevokedSecurityName 49424310 NO_PERMISSION Zeigt an, dass die Benutzer-ID widerrufen wurde. Ja Nein
ExpiredPassword 49424311 NO_PERMISSION Zeigt an, dass das Kennwort abgelaufen ist. Ja Nein
AuthenticationNotSupported 49421090 NO_PERMISSION Dieser Fehler tritt auf, wenn ein Verfahren die Authentifizierung nicht unterstützt (sehr selten). Nein Nein
InvalidSecurityMechanism 49421091 NO_PERMISSION Diese Fehlermeldung wird angezeigt, wenn das angegebene Sicherheitsverfahren unbekannt ist. Nein Nein
CredentialNotAvailable 49421092 NO_PERMISSION Diese Fehlermeldung zeigt an, dass eine Berechtigung nicht verfügbar ist, wenn sie benötigt wird. Nein Nein
SecurityMechanismNotSupported 49421093 NO_PERMISSION Dieser Fehler tritt auf, wenn ein im CSIv2-Token angegebener Sicherheitsmechanismus nicht auf dem Server implementiert ist. Nein Nein
ValidationNotSupported 49421094 NO_PERMISSION Dieser Fehler tritt auf, wenn ein Mechanismus keine Validierung unterstützt, z. B. LocalOS. Der Fehler tritt nicht auf, weil der LocalOS-Berechtigungsnachweis nicht weiterleitbar ist. Deshalb muss auch keine Validierung für diesen Berechtigungsnachweis aufgerufen werden. Nein Nein
CredentialTokenNotSet 49421095 NO_PERMISSION Dieser Fehler zeigt an, dass das Token im Berechtigungsnachweis null ist. Nein Nein
InvalidEvidence 49421096 NO_PERMISSION Dieser Fehler zeigt an, dass die Clientauthentifizierung auf dem Server erforderlich ist. Die Authentifizierungsdaten sind jedoch in der vom Client abgesetgzten Methodenanforderung nicht enthalten. Nein Nein
UserRegistryMethod_Protected 49421098 NO_PERMISSION Dieser Fehler zeigt an, dass versucht wurde, fern auf eine geschützte UserRegistry-Methode zuzugreifen. Nein Nein
ServerConnectionFailed 494210A0 COMM_FAILURE Diese Fehlermeldung wird angezeigt, wenn eine Verbindung nicht hergestellt werden konnte. Ja (über ORB-Wiederholung) Ja (über ORB-Wiederholung)
CorbaSystemException 494210B0 INTERNAL Dieser Code ist eine generische CORBA-spezifische Ausnahme im Systemcode. Nein Nein
JavaException 494210B1 INTERNAL Dies ist ein generischer Fehler, der anzeigt, dass eine unerwartete Java-Ausnahme eingetreten ist. Nein Nein
ValueIsNull 494210B2 INTERNAL Dieser Code zeigt an, dass ein Nullwert oder ein Parameter mit Nullwert übergeben wurde. Nein Nein
EffectivePolicyNotPresent 494210B3 INTERNAL Diese Fehlermeldung zeigt an, dass kein wirksames Richtlinienobjekt für CSIv2 vorhanden ist. Dieses Objekt wird verwendet, um zu bestimmen, welche Sicherheitskonfigurationsfunktionen angegeben sind. Nein Nein
NullPointerException 494210B4 INTERNAL Dieser Code zeigt an, dass in der Laufzeitumgebung eine Ausnahme vom Typ NullPointerException abgefangen wurde. Nein Nein
ErrorGettingClassInstance 494210B5 INTERNAL Dieser Fehler zeigt an, das beim dynamischen Laden einer Klasse ein Fehler aufgetreten ist. Nein Nein
MalFormedParameters 494210B6 INTERNAL Diese Fehlermeldung zeigt an, dass ungültige Parameter angegeben wurden. Nein Nein
DuplicateSecurityAttributeType 494210B7 INTERNAL Dieser Code zeigt an, dass während der Operation set_attributes ein Berechtigungsnachweisattribut doppelt angegeben wurde. Nein Nein
MethodNotImplemented 494210C0 NO_IMPLEMENT Dieser Code zeigt an, dass eine aufgerufene Methode nicht implementiert ist. Nein Nein
GSSFormatError 494210C5 BAD_PARAM Dieser Code zeigt an, dass eine GSS-Codierungs- (Generic Security Services) oder Decodierungsmethode eine Ausnahme erzeugt hat. Nein Nein
TagComponentFormatError 494210C6 BAD_PARAM Dieser Code zeigt an, dass eine Tag-Komponente nicht ordnungsgemäß gelesen werden kann. Nein Nein
InvalidSecurityAttributeType 494210C7 BAD_PARAM Dieser Code zeigt an, dass ein während der Operation set_attributes angegener Attributtyp nicht gültig ist. Nein Nein
SecurityConfigError 494210CA INITIALIZE Dieser Code zeigt an, dass ein Problem zwischen Client- und Serverkonfiguration vorliegt. Nein Nein

Aktuelle Informationen des IBM Support zu bekannten Problemen und ihrer Behebung finden Sie auf der Webseite des IBM Support.

Der IBM Support besitzt Dokumente, mit denen Sie Zeit bei der Erfassung der für die Lösung des Problems erforderlichen Informationen einsparen können. Bevor Sie einen PMR öffnen, lesen Sie bitte die Informationen auf der Webseite der IBM Unterstützungsfunktion.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_securitycomp
Dateiname:rtrb_securitycomp.html