Tipps zur Fehlerbehebung beim Sicherheitsberechtigungsprovider

Dieser Artikel beschreibt Probleme, die bei der Verwendung des JACC-Berechtigungsproviders (Java™ Authorization Contract for Containers) auftreten können. Tivoli Access Manager ist im Produktpaket für WebSphere Application Server als Berechtigungsprovider enthalten. Sie können jedoch Ihren eigenen Berechtigungsprovider einbinden.

Tivoli Access Manager als JACC-Berechtigungsprovider

Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.

Externe Provider für JACC-Berechtigungsprovider

Wenn Sie einen externen JACC-Berechtigungsprovider verwenden, können folgende Probleme auftreten:

Die JACC-Konfiguration kann scheitern.

Überprüfen Sie Folgendes, wenn Probleme bei der Konfiguration von JACC auftreten:

  • Vergewissern Sie sich, dass die Parameter stimmen. Beispiel: Sie möchten, dass hinter TAM_Policy_server_hostname:7135 keine Nummer angegeben wird, aber hinter TAM_Authorization_server_hostname:7136 (z. B. TAM_Authorization_server_hostname:7136:1).
  • Wenn eine Nachricht angezeigt wird, die angibt, dass "keine Verbindung zum Server" hergestellt werden kann, ist es möglich, dass die Hostnamen oder Portnummern der Tivoli Access Manager-Server ungültig sind oder dass die Tivoli Access Manager-Server nicht gestartet wurden.
  • Stellen Sie sicher, dass das Kennwort für den Benutzer sec_master korrekt ist.
  • Überprüfen Sie die Datei SystemOut.log und suchen Sie die Zeichenfolge AMAS, um festzustellen, ob Fehler ausgegeben wurden.

Nach dem Konfigurieren von JACC kann der Server möglicherweise nicht gestartet werden.

Wenn der Server nach der Konfiguration von JACC nicht gestartet wird, überprüfen Sie Folgendes:

  • Stellen Sie sicher, dass WebSphere Application Server und Tivoli Access Manager denselben LDAP-Server (Lightweight Directory Access Protocol) verwenden.
  • Wenn die Nachricht "Policy Director Authentication failed" angezeigt wird, müssen Sie Folgendes sicherstellen:
    • Die LDAP-Server-ID von WebSphere Application Server entspricht dem "Administrator" in der JACC-Konfigurationsanzeige von Tivoli Access Manager.
    • Vergewissern Sie sich, dass der Administrator-DN von Tivoli Access Manager richtig ist.
    • Das Kennwort des Administrators von Tivoli Access Manager ist nicht verfallen und ist gültig.
    • Vergewissern Sie sich, dass der Account für den Administrator von Tivoli Access Manager gültig ist.
  • Wenn eine Nachricht wie socket can't be opened for xxxx (xxxx ist eine Nummer) angezeigt wird, führen Sie die folgenden Aktionen aus:
    1. Wechseln Sie in das Verzeichnis Profilstammverzeichnis/etc/tam.
    2. Ändern Sie xxxx in der Datei amwas.commomconfig.properties und in der Datei amwas*Zellenname_dmgr.properties in eine verfügbare Portnummer, wenn der Deployment Manager nicht gestartet wird. Wenn der Knoten nicht gestartet werden kann, ändern Sie xxx in der Datei amwas*Zellenname_Knotenname.properties. Wenn der Anwendungsserver nicht gestartet wird, ändern Sie xxxx in der Datei amwas*Zellenname_Knotenname_Servername.properties.

Die Implementierung der Anwendung verläuft unter Umständen nicht ordnungsgemäß.

Wenn Sie auf Speichern klicken, werden die Informationen zur Richtlinie und zur Rolle an die Tivoli Access Manager-Richtlinie weitergegeben. Dieser Prozess kann einige Zeit dauern. Falls der Speichervorgang scheitert, müssen Sie die Anwendung deinstallieren und dann erneut installieren.

Nach der Installation müssen Sie mit dem Zugriff auf die Anwendung standardmäßig 30 Sekunden warten.

Der Befehl startServer kann scheitern.

Der Befehl startServer schlägt nach der Konfiguration von Tivoli Access Manager fehl, oder nach der Dekonfiguration von JACC kann keine saubere Deinstallation durchgeführt werden

Wenn die Bereinigung nach der Dekonfiguration von JACC oder der Serverstart nach der Konfiguration von JACC scheitert, führen Sie die folgenden Aktionen aus:
  • Entfernen Sie die Eigenschaftendateien für Tivoli Access Manager aus WebSphere Application Server. Für jeden Anwendungsserver in einer Umgebung von WebSphere Application Server Network Deployment mit N definierten Servern (z. B. server1, server2)
    [AIX Solaris HP-UX Linux Windows][z/OS]Es müssen die folgenden Dateien entfernt werden:
    install_root/tivoli/tam/PdPerm.properties 
    Installationsstammverzeichnis/tivoli/tam/PdPerm.ks
    Profilstammverzeichnis/etc/tam/*
    [IBM i]Es müssen die folgenden Dateien entfernt werden:
    Profilstammverzeichnis/etc/pd/PolicyDirector/PDPerm.properties
    Profilstammverzeichnis/etc/pd/PolicyDirector/PdPerm.ks
    Profilstammverzeichnis/etc/tam/*
  • Verwenden Sie ein Dienstprogramm, um die Sicherheitskonfiguration zu löschen und das System in den Zustand zurückzuversetzen, den es vor der Konfiguration des JACC-Providers für Tivoli Access Manager hatte. Das Dienstprogramm entfernt alle PDLoginModuleWrapper-Einträge und den TAM-Eintrag in der Berechtigungstabelle in der Datei security.xml. Damit wird der JACC-Provider für Tivoli Access Manager entfernt. Sichern Sie die Datei security.xml, bevor Sie dieses Dienstprogramm ausführen.
    [AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie die folgenden Befehle ein:
    install_root/java/jre/bin/java -classpath 
    "Installationsstammverzeichnis/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML vollständig_qualifizierter_Pfad/security.xml
    [IBM i]Geben Sie die folgenden Befehle ein:
    java -Djava.version=1.5 -classpath 
    "Stammverzeichnis_des_Anwendungsservers/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML vollständig_qualifizierter_Pfad/security.xml

"HPDIA0202w: An unknown user name was presented to Access Manager"

Die folgende Fehlernachricht kann angezeigt werden, wenn Sie versuchen, einen vorhandenen Benutzer in einer LDAP-Benutzerregistry für Tivoli Access Manager zu verwenden:
AWXJR0008E   Beim Versuch, einen PDPrincipal für principal mgr1 zu erstellen, ist ein Fehler im Tivoli Access Manager aufgetreten:
AWXJR0007E   Es ist ein Fehler in Tivoli Access Manager aufgetreten. Details:
"HPDIA0202W  An unknown user name was presented to Access Manager."
Dieser Fehler kann auftreten, wenn der Hostname die vordefinierten Grenzwerte für Tivoli Access Manager mit MS Active Directory überschreitet. In WebSphere Application Server darf der Hostname die maximal zulässige Länge von 46 Zeichen nicht überschreiten.

Vergewissern Sie sich, dass der Hostname nicht vollständig qualifiziert ist. Konfigurieren Sie die Maschine so, dass der Hostname die Hostdomäne nicht enthält.

Sie können den Fehler wie folgt beheben:
  1. Geben Sie in der Befehlszeile Folgendes ein, um eine Tivoli Access Manager-Eingabeaufforderung aufzurufen:
    pdadmin -a Administratorname -p Administratorkennwort
    Daraufhin erscheint die Eingabeaufforderung "pdadmin Administratorname". Beispiel:
    pdadmin -a administrator1 -p passw0rd
  2. Importieren Sie an der pdadmin-Eingabeaufforderung den Benutzer von der LDAP-Benutzerregistry in Tivoli Access Manager. Geben Sie dazu Folgendes ein:
    user import Benutzername cn=Benutzername,o=Organisationsname,c=Land
    Beispiel:
    user import jstar cn=jstar,o=ibm,c=us
Nachdem Sie den Benutzer in Tivoli Access Manager importiert haben, müssen Sie den Befehl user modify verwenden, um den Benutzeraccount auf valid (gültig) zu setzen. Syntax für diesen Befehl:
user modify Benutzername account-valid yes
Beispiel:
user modify jstar account-valid yes

Informationen zum Importieren einer Gruppe von LDAP in Tivoli Access Manager finden Sie in der Dokumentation zu Tivoli Access Manager.

"HPDAC0778E: The specified user's account is set to invalid"

Nachdem Sie einen Benutzer in Tivoli Access Manager importiert und den Client neu gestartet haben, kann die folgende Fehlernachricht angezeigt werden:
AWXJR0008E   Beim Versuch, einen PDPrincipal für principal mgr1 zu erstellen, ist ein Fehler im Tivoli Access Manager aufgetreten:
AWXJR0007E   Es ist ein Fehler in Tivoli Access Manager aufgetreten. Details: "HPDAC0778E   The specified user's account is set to invalid."
Beheben Sie diesen Fehler, indem Sie den Benutzeraccount mit dem Befehl user modify als gültigen Account definieren. Syntax für diesen Befehl:
user modify Benutzername account-valid yes
Beispiel:
user modify jstar account-valid yes

"HPDJA0506E: Invalid argument: Null or zero-length user name field for the ACL entry"

Es kann eine Fehlernachricht wie die folgende angezeigt werden, wenn Sie die Informationen der Sicherheitsrichtlinie mit dem wsadmin-Befehl propagatePolicyToJACCProvider von der Anwendung an den Provider weitergeben:
AWXJR0035E   An error occurred while  attempting to add member, 
                cn=agent3,o=ibm,c=us, to role AgentRole
HPDJA0506E   Invalid argument: Null or zero-length user name field for 
                the ACL entry

Zur Behebung dieses Fehlers erstellen oder importieren Sie den Benutzer, der der Sicherheitsrolle zugeordnet ist, in Tivoli Access Manager. Weitere Informationen zur Weitergabe der Informationen der Sicherheitsrichtlinie finden Sie in der Dokumentation zu Ihrem Berechtigungsprovider.

WASX7017E: Beim Ausführen der Datei "InsuranceServicesSingle.jacl" ist eine Ausnahme eingetreten

Wenn JACC-Provider und Tivoli Access Manager aktiviert sind und Sie versuchen, die Anwendung, in der Sicherheitsrollen konfiguriert sind, mit dem wsadmin-Befehl zu installieren, kann der folgende Fehler auftreten:
WASX7017E: Beim Ausführen der Datei InsuranceServicesSingle.jacl
ist eine Ausnahme eingetreten;
Informationen zur Ausnahme: com.ibm.ws.scripting.ScriptingException: WASX7111E:
Es wurde keine Übereinstimmung für die angegebene Option
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers"

Die Taskoption "$AdminApp MapRolesToUsers" ist nicht gültig, wenn Tivoli Access Manager als Berechtigungsserver verwendet wird. Beheben Sie den Fehler, indem Sie MapRolesToUsers durch TAMMapRolesToUsers ersetzen.

Ausnahmen des Typs "Zugriff verweigert" beim Zugriff auf Anwendungen mit JACC

Wenn Sie Tivoli Access Manager verwenden, kann die folgende Fehlernachricht angezeigt werden:
AWXJR0044E: Die Zugriffsentscheidung für die Berechtigung {0} wurde abgewiesen, weil die
PolicyConfiguration- bzw. RoleConfiguration-Objekte während der Anwendungsinstallation nicht
ordnungsgemäß erstellt wurden.
RoleConfiguration exists = {false}, PolicyConfiguration
exists = {"false"}.

Wenn die Ausnahmen vom Typ "Zugriff verweigert" für die Anwendung nicht erwartet werden, stellen Sie anhand der Informationen in den Dateien SystemOut.log fest, ob die Sicherheitsrichtlinie ordnungsgemäß an den Provider weitergegeben wurde.

Falls die Sicherheitsrichtlinie für die Anwendung ordnungsgemäß an den Provider weitergegeben wurde, sind in den Dateien Prüfanweisungen mit dem Nachrichtenschlüssel SECJ0415I enthalten. Sollten bei der Weitergabe der Sicherheitsrichtlinie an den Provider Fehler aufgetreten sein (z. B. Netzfehler, JACC-Provider nicht verfügbar), enthalten die Dateien SystemOut.log Fehlernachrichten mit den Nachrichtenschlüsseln SECJ0396E (Installation) und SECJ0398E (Änderung). Die Installation der Anwendung wird wegen eines Fehlers bei der Weitergabe der Sicherheitsrichtlinie an den JACC-Provider nicht gestoppt. Es werden auch keine Ausnahme- oder Fehlernachrichten während der Speicheroperation aufgezeichnet. Führen Sie nach der Behebung dieses Fehlers das Tool propagatePolicyToJaccProvider aus, um die Sicherheitsrichtlinie an den Provider weiterzugeben, ohne die Anwendung erneut zu installieren.

"HPDBA0219E: An error occurred reading data from an SSL connection"

Es kann eine Fehlernachricht (HPDBA0219E) in der Deployment-Manager-Datei SystemOut.log protokolliert werden, wenn Sie eine Anwendung in WebSphere Application Server Network Deployment(ND) installieren und ein verwalteter Knoten mit Tivoli Access Manager aktiviert ist.

Wenn dieser Fehler auftritt, sind die Daten der Sicherheitsrichtlinie der zuletzt implementierten Anwendungen möglicherweise nicht sofort verfügbar. Die Verfügbarkeit der Richtliniendaten richtet sich nach der Replikationszeit für Server in Tivoli Access Manager. Standardmäßig werden Server 30 Sekunden nach Abschluss aller Aktualisierungen repliziert. Um sicherzustellen, dass die aktuellen Richtliniendaten verfügbar sind, melden Sie sich an der pdadmin-Konsole an, und geben Sie server replicate ein.

[z/OS]

Es kann ein Fehler "Es sind keine Ports in der Portgruppe verfügbar" kann angezeigt werden

Wenn Sie Tivoli Access Manager als JACC-Provider verwenden und WebSphere Application Server über die Administrationskonsole oder das Script wsadmin stoppen, wird ein Bereinigungsprozess für Tivoli Access Manager ausgeführt. WebSphere Application Server kann diesen Bereinigungsprozess nicht ausführen.

WebSphere Application Server verwendet für jeden neuen Prozess eine andere Portnummer. Schließlich kommt es zu dem Punkt, dass der Anwendungsserver keine Portnummern mehr zur Verfügung hat, um die Verbindung zum TAM-Server herzustellen. In diesem Fall wird der Fehler "Es sind keine Ports in der Portgruppe verfügbar" angezeigt.

Wenn dieser Fehler auftritt, müssen Sie die Ports, die für die Prozesse von WebSphere Application Server verfügbar sind, manuell bereinigen.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jacctroubles
Dateiname:rsec_jacctroubles.html