Sugerencias para la resolución de problemas de la configuración del inicio de sesión único para seguridad

Pueden producirse varios problemas comunes cuando configura el inicio de sesión único (SSO) entre un servidor WebSphere Application Server y un servidor Domino. Algunos de estos problemas son: no se puede guardar la configuración SSO Web de Domino, errores de autenticación cuando se accede a un recurso protegido y anomalías SSO cuando se accede a un recurso protegido. Puede realizar varias acciones para corregir estas situaciones de error y restaurar SSO.

  • Se produce un error al guardar el documento de configuración Web de SSO de Domino

    El cliente debe encontrar los documentos de Domino Server de los servidores SSO de Domino participantes. El documento de configuración Web de SSO se cifra para los servidores que se especifican. El servidor local indicado por el registro de ubicación de cliente debe apuntar a un servidor en el dominio de Domino donde residen los servidores participantes. Este puntero garantiza que las búsquedas encuentren las claves públicas de los servidores.

    Si recibe un mensaje que indica que no se pueden encontrar uno o más de los servidores Domino participantes, entonces esos servidores no podrán descifrar el documento de configuración Web de SSO ni llevar a cabo el SSO.

    Cuando se guarda el documento de configuración Web de SSO, la barra de estado indica cuántas claves públicas se utilizan para cifrar el documento mediante la búsqueda de los servidores, autores y administradores que se enumeran en el documento.

  • Se produce un error cuando la consola del servidor Domino carga el documento de configuración Web de SSO durante el arranque del servidor HTTP de Domino

    Durante la configuración de SSO, el documento server configura para Multi-Server en el campo Server Authentication. El servidor HTTP de Domino intenta encontrar y cargar un documento de configuración Web de SSO durante el arranque. La consola del servidor Domino proporciona la siguiente información, si se encuentra y descifra un documento válido: HTTP: Successfully loaded Web SSO Configuration.

    Si un servidor no puede cargar el documento de configuración Web de SSO, SSO no funciona. En este caso, un servidor envía el mensaje siguiente: HTTP: Se ha producido un error al cargar la configuración web de SSO. Volver a la autenticación de la sesión de servidor único.

    Asegúrese de que sólo hay un documento de configuración Web de SSO en la vista Configuraciones web del directorio Domino y en la vista oculta $WebSSOConfigs. No puede crear más de un documento, pero puede insertar documentos adicionales durante la réplica.

    Si sólo puede verificar un documento de configuración Web de SSO, tenga en cuenta otra condición. Cuando la clave pública del documento de servidor no coincida con la clave pública del archivo de ID, puede aparecer este mismo mensaje de error. En este caso, se intenta descifrar el error del documento de configuración Web de SSO y se genera el mensaje de error.

    Se puede dar esta situación cuando se crea el archivo ID muchas veces pero no se actualiza correctamente el documento Server. Normalmente, se visualiza un mensaje de error en la consola del servidor Domino que indica que la clave pública no coincide con el ID de servidor. Si se produce esta situación, SSO no funciona porque el documento está cifrado con una clave pública para la que el servidor no dispone de la clave privada correspondiente.

    Para corregir este problema de falta de coincidencia entre las claves:
    1. Copie la clave pública del archivo ID de servidor y péguela en el documento Server.
    2. Cree el documento de configuración Web de SSO de nuevo.
  • Se produce un error de autenticación cuando se accede a un recurso protegido.

    Si a un usuario web se le pide continuamente un ID de usuario y una contraseña, SSO no funciona correctamente porque el servidor de seguridad de Domino o de WebSphere Application Server no puede autenticar al usuario con el servidor LDAP (Lightweight Directory Access Protocol). Compruebe las siguientes posibilidades:

    • Verifique que se puede acceder al servidor LDAP desde la máquina del servidor Domino. Utilice el programa de utilidad TCP/IP ping para verificar la conectividad TCP/IP y que la máquina del host está en ejecución.
    • Verifique que el usuario LDAP está definido en el directorio LDAP. Utilice el programa de utilidad idsldapsearch para confirmar que el ID de usuario exista y que la contraseña es la correcta. Por ejemplo, el siguiente mandato, que se ha entrado en una única línea:

      [AIX Solaris HP-UX Linux Windows][IBM i]Puede utilizar el Qshell de OS/400, un shell de UNIX o un indicador de DOS de Windows:

      % ldapsearch -D "cn=John Doe, ou=Rochester, o=IBM, c=US" -w mypassword
      -h myhost.mycompany.com -p 389 -b "ou=Rochester, o=IBM, c=US" (objectclass=*)
      El símbolo de porcentaje (%) indica que el indicador no forma parte del mandato. Se espera una lista de entradas de directorio. Las posibles condiciones y causas de error aparecen en la siguiente lista:
      • No existe el objeto: este error indica que la entrada de directorio a la que hace referencia el valor DN (nombre distinguido) del usuario, que se especifica después de la opción -D, o el valor DN base, que se especifica después de la opción -b, no existe.
      • Credenciales no válidas: Este error indica que la contraseña no es válida.
      • No se puede contactar con el servidor LDAP: Este error significa que el nombre del host o el puerto especificado para el servidor no es válido o que el servidor LDAP no está en ejecución.
      • Una lista vacía significa que el directorio base especificado por la opción -b no contiene ninguna entrada de directorio.
    • Si utiliza el nombre abreviado del usuario o el ID de usuario en vez del nombre distinguido, asegúrese de que la entrada de directorio se ha configurado con el nombre abreviado. Para un directorio de Domino, verifique el campo Abreviatura/ID de usuario del documento Person. Para otros directorios LDAP, verifique la propiedad ID de usuario de la entrada de directorio.
    • Si se produce un error en la autenticación de Domino cuando utiliza un directorio LDAP que no sea un directorio Domino, compruebe los valores de configuración del servidor LDAP en el documento Directory Assistance en la base de datos Directory Assistance. Verifique también que el documento Server hace referencia al documento Directory Assistance adecuado. Los siguientes valores LDAP especificados en el documento Directory Assistance deben coincidir con los valores especificados para el registro de usuario en el dominio administrativo de WebSphere Application Server:
      • Nombre de dominio
      • Nombre del host de LDAP
      • Puerto de LDAP
      • Nombre distinguido (DN) base
      Además, las normas definidas en el documento Directory Assistance deben hacer referencia al nombre distinguido (DN) base del directorio que contiene las entradas de directorio de los usuarios.

      Puede realizar el rastreo de las solicitudes del servidor Domino al servidor LDAP añadiendo la siguiente línea al archivo notes.ini del servidor:

      webauth_verbose_trace=1
      Después de reiniciar el servidor Domino, se visualizan los mensajes de rastreo en la consola del servidor Domino a medida que los usuarios Web intentan autenticar el servidor Domino.

  • Se produce un error de autorización al acceder a un recurso protegido.

    Si después de realizar una autenticación satisfactoria, se muestra un mensaje de error de autenticación, es que no se ha configurado correctamente la seguridad. Compruebe las siguientes posibilidades:

    • Para bases de datos de Domino, verifique que el usuario está definido en los valores de control de acceso de la base de datos. Consulte la documentación de administración de Domino para obtener la manera correcta de especificar el nombre distinguido (DN) del usuario. Por ejemplo, para el nombre distinguido (DN) cn=John Doe, ou=Rochester, o=IBM, c=US, el valor en la lista de control de acceso debe estar establecido como John Doe/Rochester/IBM/US.
    • Para los recursos protegidos por WebSphere Application Server, verifique que los permisos de seguridad están establecidos correctamente.
      • Si se otorgan permisos para grupos seleccionados, asegúrese de que el usuario que intenta acceder al recurso es un miembro del grupo. Por ejemplo, puede verificar los miembros de los grupos utilizando el siguiente sitio web para visualizar el contenido de directorio: Ldap://myhost.mycompany.com:389/ou=Rochester, o=IBM, c=US??sub
      • Si ha modificado la información acerca de la configuración de LDAP (host, puerto y DN base) de un dominio administrativo de WebSphere Application Server desde que se establecieron los permisos, es posible que los permisos existentes no sean válidos y se tengan que volver a crear.

  • Se produce un error de SSO al acceder a recursos protegidos.

    Si se pide a un usuario web que se autentique ante cada recurso, es que SSO no se ha configurado correctamente. Compruebe las siguientes posibilidades:

    1. Configure tanto WebSphere Application Server como el servidor Domino para que utilicen el mismo directorio LDAP. La cookie de HTTP utilizada para SSO almacena el DN completo del usuario, por ejemplo, cn=John Doe, ou=Rochester, o=IBM, c=US y el dominio DNS (servicio de nombres de dominio).
    2. Defina los usuarios web por nombres jerárquicos, si se utiliza el directorio Domino. Por ejemplo, actualice el campo Nombre de usuario del documento Person para que incluya los nombres de este formato como primer valor: John Doe/Rochester/IBM/US.
    3. Especifique el nombre de servidor DNS completo, no sólo el nombre del host o la dirección TCP/IP para los sitios web emitidos para los servidores Domino o WebSphere Application Server configurados para SSO. Para que los navegadores puedan enviar cookies a un grupo de servidores, el dominio DNS debe estar incluido en la cookie y el dominio DNS de la cookie debe coincidir con la dirección web. Por este requisito no se pueden utilizar cookies entre dominios TCP/IP.
    4. Configure Domino y WebSphere Application Server para que utilicen el mismo dominio DNS. Verifique que el valor de dominio DNS sea exactamente el mismo, incluidas las mayúsculas y las minúsculas. Necesita el nombre del dominio DNS en el que se configura WebSphere Application Server. Consulte Inicio de sesión único para la autenticación mediante cookies LTPA para obtener más información.
    5. Verifique que los servidores Domino en clúster tengan el nombre de host especificado con el nombre de servidor DNS completo del documento de servidor. Al utilizar el nombre de servidor DNS completo, ICM (Internet Cluster Manager) de Domino puede redirigir a los miembros del clúster que utilizan SSO. Si este campo no está especificado, por omisión, ICM redirecciona las direcciones web a servidores web agrupados utilizando sólo el nombre principal. ICM no puede enviar la cookie de SSO porque el dominio DNS no está incluido en la dirección web. Para corregir el problema:
      1. Edite el documento Server.
      2. Pulse Protocolos de Internet > pestaña HTTP.
      3. Entre el nombre DNS completo del servidor en el campo Nombres de hosts.
    6. Si se especifica un valor de puerto para un servidor LDAP para un dominio administrativo de WebSphere Application Server, edite el documento de configuración Web SSO de Domino Web e inserte un carácter de barra inclinada invertida (\) en el valor del campo Reino de LDAP antes de carácter de dos puntos (:). Por ejemplo, sustituya myhost.mycompany.com:389 con myhost.mycompany.com\:389.

  • Los usuarios no finalizan la sesión una vez que caduca el temporizador de sesión HTTP.

    Si los usuarios de WebSphere Application Server inician la sesión en una aplicación y se mantienen desocupados durante un período de tiempo mayor al valor de tiempo de espera de sesión HTTP especificado, la información de los usuarios no se invalida y las credenciales de usuario permanecen activas hasta que se produce un tiempo de espera excedido de la señal LTPA.

    Después de aplicar PK25740, efectúe los pasos siguientes para desconectar a los usuarios de la aplicación, después de que haya caducado la sesión HTTP.
    Atención: La propiedad com.ibm.ws.security.web.logoutOnHTTPSessionExpire sólo se aplica a las aplicaciones que utilizan el inicio de sesión de formulario.
    1. En la consola administrativa, pulse Seguridad > Seguridad global.
    2. En propiedades personalizadas, pulse Nuevo.
    3. En el campo Nombre, escriba com.ibm.ws.security.web.logoutOnHTTPSessionExpire.
    4. En el campo Valores, escriba true.
    5. Pulse Aplicar y guarde los cambios de la configuración.
    6. Vuelva a sincronizar y reinicie el servidor.
    Reautenticaciones inesperadas: Si establece la propiedad personalizada com.ibm.ws.security.web.logoutOnHTTPSessionExpire en true, es posible que se produzcan reautenticaciones inesperadas cuando trabaje con varias aplicaciones web. De forma predeterminada, cada aplicación web tiene su propia sesión HTTP única, pero el navegador tiene una cookie de sesión. Para corregir este problema, puede cambiar la configuración de la sesión HTTP asignando a cada aplicación un nombre de cookie de sesión o un valor de vía de acceso único. Como resultado, cada aplicación obtiene su propia cookie de sesión. De forma alternativa, puede configurar varias aplicaciones web con la misma aplicación empresarial para que compartan la misma sesión HTTP. Para obtener más información, consulte el tema Ensamblaje para poder compartir los datos de sesión.
  • Posibles problemas cuando SSO está habilitado y Firefox v3.6.11 está configurado para aceptar cookies de terceros.
    Si ha habilitado SSO, y cuando se utiliza Firefox v3.6.11 y se da una de las siguientes situaciones:
    • Está configurado para aceptar cookies de terceros que se mantienen hasta que caduquen o hasta que se cierre Firefox
    • Tiene una sesión abierta pero están cambiando a diferentes aplicaciones
    • Más de una sesión está abierta para diferentes aplicaciones que requieren la autorización de diferentes usuarios

    Es posible que vea el mensaje de error siguiente: Error 403: AuthorizationFailed.

    Para resolverlo, deseleccione las cookies de terceros antes de lanzar una nueva aplicación haciendo lo siguiente:
    1. Seleccione Herramientas de Firefox > Opciones > Privacidad.
    2. Asegúrese de que el historial esté establecido en Recordar historial.
    3. Pulse Eliminar cookies individuales para suprimir las cookies.

    También puede cerrar otras sesiones si Firefox está configurado para aceptar las cookies de terceros que se mantienen hasta que se cierra Firefox.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_troublesso
File name: rsec_troublesso.html