Seguridad del bus de integración de servicios: consejos para la resolución de problemas

Utilice este conjunto de consejos específicos para facilitarle la resolución de problemas que pueden surgir con un bus de integración de servicios seguro.

[z/OS]Para ayudarle a identificar y resolver los problemas relacionados con la seguridad del bus de integración de servicios, utilice los recursos de rastreo y anotaciones cronológicas de WebSphere Application Server tal como se describe en Establecimiento del rastreo de componentes (CTRACE).

Si detecta un problema que considera que podría estar relacionado con la seguridad del bus de integración de servicios, puede comprobar los mensajes de error en la consola administrativa de WebSphere Application Server, y en el archivo SystemOut.log del servidor de aplicaciones. También puede habilitar el rastreo de depuración del servidor de aplicaciones para obtener un vuelco de excepciones detallado.
Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL para resolver problemas de aplicaciones para obtener más información sobre la utilización de HPEL.

Los mensajes del sistema WebSphere Application Server se anotan cronológicamente desde diferentes fuentes, incluidos los componentes y aplicaciones del servidor de aplicaciones. Los mensajes anotados cronológicamente por los componentes del servidor de aplicaciones y los productos IBM asociados comienzan por un identificador de mensaje exclusivo que indica qué componente o aplicación ha emitido el mensaje. El prefijo del componente de seguridad del bus de integración de servicios es CWSII.

En Consulta para la resolución de problemas: mensajes se incluye información sobre todos los mensajes WebSphere Application Server, indexados por el prefijo del mensaje. Para cada mensaje, existe una descripción del problema y los detalles de la acción que puede llevar a cabo para solucionar el problema.

Migración de un servidor de aplicaciones Versión 5.1 a WebSphere Application Server Versión 7.0 o posterior

Antes de migrar el servidor de aplicaciones Versión 5.1, no es necesario ningún ID de usuario ni contraseña en la cola MQ Series de destino. Después de migrar el servidor de aplicaciones a Versión 7.0 o posterior y utilizar el proveedor de mensajería predeterminado (el bus de integración de servicios), las solicitudes de cliente fallan porque la autenticación básica ahora está habilitada. El problema aparece como un mensaje de anotaciones cronológicas:
SibMessage    W   [:] CWSIT0009W: Una petición de cliente ha fallado en el servidor de aplicaciones 
con el punto final <nombre_puntofinal> en el bus bus_usuario con la razón: CWSIT0016E: 
El ID de usuario nulo no ha podido autenticarse en el bus bus_usuario.

En WebSphere Application Server Versión 7.0 o posterior, cuando se utiliza un bus de integración de servicios y la seguridad WebSphere Application Server está habilitada para el servidor o la célula, de forma predeterminada el destino de la cola del bus de integración de servicios hereda las características de seguridad del servidor o de la célula. Por tanto, si el servidor o la célula tiene habilitada la autenticación básica, la petición de cliente fallará.

Para resolver el problema, tiene tres opciones (por orden de seguridad, de la menos segura a la más segura):
  • Inhabilitar la seguridad.
  • Para un nivel de seguridad equivalente a la configuración en Versión 5.1, modifique los valores para el bus de integración de servicios que aloja el destino de la cola, de forma que la seguridad del bus está inhabilitada y, por lo tanto, el bus no hereda las características de seguridad del servidor o la célula.
  • Para obtener un mayor nivel de seguridad que la configuración en Versión 5.1, configure la autenticación básica en cada cliente que utiliza el servicio.

Para inhabilitar la seguridad de WebSphere Application Server, consulte Habilitación e inhabilitación de la seguridad utilizando scriptso Valores de seguridad global.

Para inhabilitar la seguridad de bus, utilice la consola administrativa para completar los pasos siguientes:
  1. Vaya a Integración de servicios -> Buses -> nombre_bus.
  2. Borre el recuadro de selección Seguro.
  3. Guarde los cambios.
Para configurar la autenticación básica en cada cliente, utilice la consola administrativa o la herramienta wsadmin. Para completar la tarea utilizando la herramienta wsadmin, consulte Configuración de información de puerto de cliente de servicios web mediante scripts wsadmin y utilice la opción de tarea de wsadmin WebServicesClientBindPortInfo. Para completar la tarea mediante la consola administrativa, efectúe los pasos siguientes:
  1. Vaya a Aplicaciones -> Tipos de aplicaciones -> Aplicaciones empresariales WebSphere -> nombre_aplicación -> Módulos Web o módulos EJB > nombre_módulo > Servicios Web: Enlaces de seguridad del cliente.
  2. Pulse Autenticación básica HTTP para acceder al panel "Configuración de la autenticación básica HTTP con la consola administrativa".
  3. Entre los valores en el panel.
  4. Guarde los cambios en la configuración maestra.

Al intentar realizar una conexión utilizando un ID de usuario en un grupo autorizado, el acceso es rechazado al usar LDAP

Una de las causas posibles es el nombre del grupo, si utiliza un registro del protocolo LDAP Lightweight Directory Access Protocol). Si especifica los permisos de autorización del grupo, debe utilizarse el nombre distinguido (DN) como nombre del grupo. Si especifica un nombre común (CN) para el nombre del grupo, no se podrá autorizar a los usuarios de dicho grupo.

El procedimiento para cambiar el nombre del grupo de un nombre CN a uno DN depende de donde se produjo el problema.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
File name: rjr_prob0.html