Sugerencias para la resolución de problemas del interceptor de asociación de confianza (TAI) de SPNEGO (obsoleto)

A continuación figura una lista de sugerencias prácticas para la resolución de problemas en el diagnóstico de problemas y excepciones del TAI del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation).

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat
Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL para resolver problemas de aplicaciones para obtener más información sobre la utilización de HPEL.
Los proveedores de IBM Java™ Generic Security Service (JGSS) e IBM SPNEGO (Simple and Protected GSS-API Negotiation) utilizan una propiedad personalizada de la JVM (máquina virtual Java) para controlar la información de rastreo. El SPNEGO TAI utiliza el recurso JRas para permitir a un administrador rastrear sólo las clases específicas. Deben utilizarse las siguientes e importantes especificaciones de rastreo o propiedades personalizadas de la JVM para depurar el TAI utilizando el rastreo.
Tabla 1. Especificaciones de rastreo del SPNEGO TAI.

En esta tabla se describen las especificaciones de rastreo del SPNEGO TAI.

Rastreo Uso
com.ibm.security.jgss.debug Establezca esta propiedad personalizada de JVM en all para rastrear el código JGSS. Los mensajes aparecen en el archivo trace.log y SystemOut.log.
com.ibm.security.krb5.Krb5Debug Establezca esta propiedad personalizada de JVM en all para rastrear el código JGSS específico de Kerberos5. Los mensajes aparecen en el archivo trace.log y SystemOut.log.
com.ibm.ws.security.spnego.* Active este rastreo seleccionando consola administrativa > resolución de problemas > Registro y rastreo > server1 > Cambiar los niveles de detalle del registro > com.ibm.ws.security.spnego.*. Los mensajes aparecen en el archivo trace.log.

Problema: WebSphere Application Server y el controlador de dominio de AD (Active Directory) no están sincronizados dentro de un rango de cinco minutos.

Síntoma Acción del usuario
[2/24/06 13:12:46:093 CST] 00000060 Context		2 com.ibm.ws
 .security.spnego.Context begin GSSContext accepted
[2/24/06 13:12:46:093 CST] 00000060 Context		E com.ibm.ws
 .security.spnego.Context begin
CWSPN0011E: An invalid SPNEGO token has been encountered
 while authenticating a HttpServletRequest:
0000:  60820160 06062b06 01050502 a1820154    `..` ..+. .... ...T
0010:  30820150 a0030a01 01a10b06 092a8648    0..P .... .... .*.H
0020:  82f71201 0202a282 013a0482 01366082    .... .... .:.. .6`.
0030:  01320609 2a864886 f7120102 0203007e    .2.. *.H. .... ...~
0040:  82012130 82011da0 03020105 a1030201    ..!0 .... .... ....
0050:  1ea41118 0f323030 36303232 34313931    .... .200 6022 4191
0060:  3234365a a5050203 016b48a6 03020125    246Z .... .kH. ...%
0070:  a9161b14 57535345 432e4155 5354494e    .... WSSE C.AU STIN
0080:  2e49424d 2e434f4d aa2d302b a0030201    .IBM .COM .-0+ ....
0090:  00a12430 221b0448 5454501b 1a773230    ..$0 "..H TTP. .w20
00a0:  30337365 63646576 2e617573 74696e2e    03se cdev .aus tin.
00b0:  69626d2e 636f6dab 81aa1b81 a76f7267    ibm. com. .... .org
00c0:  2e696574 662e6a67 73732e47 53534578    .iet f.jg ss.G SSEx
00d0:  63657074 696f6e2c 206d616a 6f722063    cept ion,  maj or c
00e0:  6f64653a 2031302c 206d696e 6f722063    ode:  10,  min or c
00f0:  6f64653a 2033370a 096d616a 6f722073    ode:  37. .maj or s
0100:  7472696e 673a2044 65666563 74697665    trin g: D efec tive
0110:  20746f6b 656e0a09 6d696e6f 72207374     tok en.. mino r st
0120:  72696e67 3a20436c 69656e74 2074696d    ring : Cl ient  tim
0130:  65204672 69646179 2c204665 62727561    e Fr iday , Fe brua
0140:  72792032 342c2032 30303620 61742031    ry 2 4, 2 006  at 1
0150:  3a31323a 34352050 4d20746f 6f20736b    :12: 45 P M to o sk
0160:  65776564                               ewed 
La manera preferible de resolver este problema es sincronizar la hora del sistema de WebSphere Application Server para que no esté a más de 5 minutos de la hora del servidor AD. Un procedimiento recomendado es utilizar un servidor de horas para mantener todos los sistemas sincronizados. También puede añadir o ajustar el parámetro clockskew en el archivo de configuración de Kerberos.
Nota: El valor predeterminado del parámetro clockskew es 300 segundos ( o 5 minutos).

Problema: No hay fábricas disponibles para crear el nombre del mecanismo 1.3.6.1.5.5.2.

Problema Síntoma Acción del usuario
Se recibe una excepción: No hay fábricas disponibles para crear el nombre del mecanismo 1.3.6.1.5.5.2. No hay ninguna fábrica disponible para procesar la creación de un nombre para el mecanismo específico.
[4/8/05 22:51:24:542 EDT] 5003e481 SystemOut
     O [JGSS_DBG_PROV] Provider 
       IBMJGSSProvider version 1.01 does not support mech 1.3.6.1.5.5.2
[4/8/05 22:51:24:582 EDT] 5003e481 ServerCredent > 
        com.ibm.ws.security.spnego
			 .ServerCredential initialize ENTRY
SPNEGO014: Anomalía de inicialización de Kerberos: org.ietf.jgss.GSSException, código principal: 2, 
        código menor: 0
	serie principal: Mecanismo no soportado
	serie menor: No hay fábricas disponibles para crear el nombre del mecanismo 1.3.6.1.5.5.2
	at com.ibm.security.jgss.i18n.I18NException.throwGSSException
        (I18NException.java:30)
	en com.ibm.security.jgss.GSSManagerImpl.a(GSSManagerImpl.java:36)
		en com.ibm.security.jgss.GSSCredentialImpl.add(GSSCredentialImpl.java:217)
	at com.ibm.security.jgss.GSSCredentialImpl.<init>(GSSCredentialImpl
 .java:264)
Compruebe el archivo java.security para asegurarse de que contiene el proveedor de seguridad IBMSPNEGO y que el proveedor se ha definido correctamente. El archivo java.security debe contener una línea similar a:
security.provider.6=com.ibm.security
 .jgss.mech.spnego.IBMSPNEGO

Problema: Se recibe una excepción cuando la biblioteca JGSS intenta procesar la señal SPNEGO.

Síntoma Descripción Acción del usuario
Se muestra el error siguiente cuando la biblioteca JGSS intenta procesar la señal SPNEGO.
Error al autenticar la solicitud. Informando al cliente
Código principal = 11, Código menor = 31
org.ietf.jgss.GSSException, código principal: 11, código menor: 31
	serie principal: Anomalía general, no se ha especificado en el nivel GSSAPI
		minor string: Kerberos error while decoding and verifying token: 
   	com.ibm.security.krb5.internal.KrbException,
	   	 código de estado: 31
	mensaje: Ha fallado la comprobación de integridad en el campo descifrado
Esta excepción es el resultado de cifrar el ticket utilizando una clave e intentar descifrarlo utilizando una clave diferente. Existen diversos motivos posibles para esta condición:
  1. El archivo de tabla de claves Kerberos no se ha copiado a la máquina servidor una vez regenerada.
  2. La configuración de Kerberos señala a un archivo de tabla de claves Kerberos incorrecto.
  3. El nombre principal del servicio (SPN) de Kerberos se ha definido más de una vez para Active Directory. Tiene definido otro ID de usuario con el mismo SPN o definido con el mismo SPN con un puerto también definido. El ejemplo siguiente muestra cómo se puede producir esta condición:
    El MISMO SPN pero ID de usuario diferentes
    setspn -a HTTP/myHost.austin.ibm.com user1
    		setspn -a HTTP/myHost.austin.ibm.com user2
    El MISMO SPN y los mismos ID de usuario, uno sin un número de puerto y otro con un número de puerto
    setspn -a HTTP/myHost.austin.ibm.com user
    		setspn -a HTTP/myHost.austin.ibm.com:9080 user
Si el problema está relacionado con el archivo de tabla de claves de Kerberos, vuelva a generar el archivo de tabla de claves. Si el problema está relacionado con que hay múltiples definiciones de SPN, elimine el SPN adicional o en conflicto, confirme que el SPN ya no está registrado con Active Directory y, a continuación, añada el SPN. Podría ser necesario hacer búsquedas en Active Directory de otras entradas con SPN definidos que entran en conflicto con el SPN.
Para confirmar que el SPN no está registrado, el mandato:
setspn –l userid
Debería devolver la respuesta siguiente:
No se puede encontrar el ID de usuario de la cuenta

Problema: No se está produciendo el inicio de sesión único

Síntoma Descripción Acción del usuario
Si está activado el rastreo, aparece el mensaje siguiente:
[2/27/06 14:28:04:191 CST] 00000059 
SpnegoHandler < 
		com.ibm.ws.security.spnego
				.SpnegoHandler handleRequest: 
				Received a non-SPNEGO 
				Authorization Header RETURN
El cliente está devolviendo una respuesta NTLM (gestor NT de la LAN) a la verificación de la pregunta de contraseña, no una señal SPNEGO. Esta condición se puede producir debido a cualquiera de los motivos siguientes:
  • El cliente no se ha configurado correctamente.
  • El cliente no utiliza un navegador soportado. Por ejemplo, si se utiliza Microsoft Internet Explorer 5.5, SP1 responde con una cabecera de autenticación no SPNEGO.
  • El usuario no ha iniciado una sesión en el dominio de Active Directory, o en un dominio de confianza, o bien el cliente utilizado no soporta la autenticación integrada con Windows –; en este caso, el SPNEGO TAI funciona correctamente.
  • El usuario accede a un servicio definido en la misma máquina en la que se ejecuta el cliente (host local). Microsoft Internet Explorer resuelve el nombre de host del URL en http://localhostsomeURL en lugar de en un nombre completo.
  • El SPN no se encuentra en Active Directory. El SPN debe tener el formato HTTP/servidor.reino.com. El mandato para añadir el SPN es
    setspn –a HTTP/server.realm.com userid
  • El nombre principal del servicio (SPN) de Kerberos se ha definido más de una vez para Active Directory. Tiene definido otro ID de usuario con el mismo SPN o definido con el mismo SPN con un puerto también definido. Las categorías siguientes describen estas condiciones:
    El mismo SPN con unos ID de usuario diferentes
    • setspn -a HTTP/myappserver.austin.ibm.com user1
    • setspn -a HTTP/myappserver.austin.ibm.com user2
    El mismo SPN y los mismos ID de usuario, uno con un número de puerto definido
    • setspn -a HTTP/myappserver.austin.ibm.com user3
    • setspn -a HTTP/myappserver.austin.ibm.com:9080 user3

Si el SPN está definido incorrectamente como HTTP/servidor.reino.com@REALM.COM con el añadido de @REALM.COM, suprima el usuario, vuelva de definirlo y también vuelva a definir el SPN.

Si el problema está relacionado con el archivo de tabla de claves de Kerberos, vuelva a generar el archivo de tabla de claves.

Si el problema está relacionado con una de categorías de múltiples definiciones de SPN, elimine el SPN adicional o en conflicto, confirme que el SPN ya no está registrado con Active Directory y, a continuación, añada el SPN. Puede buscar otras entradas de SPN en Active Directory que causen múltiples definiciones de SPN. Los siguientes mandatos son útiles para determinar múltiples definiciones de SPN:
setspn ?L userid
Devuelve el mensaje no se encuentra el ID de usuario de la cuenta, si el SPN no está registrado.
setspn -L
Muestra los SPN que existen.

La delegación de credenciales no está en funcionamiento.

Síntoma Descripción Acción del usuario
Se ha detectado una opción no válida. Si está activado el rastreo, aparece el mensaje siguiente:
com.ibm.security.krb5.KrbException,
 código de estado: 101 mensaje:
 Opción no válida en la petición de ticket
El archivo de configuración de Kerberos no está configurado correctamente. Asegúrese de que los valores relacionados con la capacidad de renovación y proxy están establecidos en true.

Problema: No se ha podido obtener el trabajo SSO utilizando el cifrado RC4-HMAC.

Síntoma Descripción Acción del usuario
Examine el mensaje siguiente en el rastreo que ha recibido cuando esté activado el rastreo:
com.ibm.security.krb5.internal.crypto.
 KrbCryptoException, status code: 0
	mensaje: Error de suma de comprobación; la suma de comprobación recibida no coincide con la suma de comprobación calculada
El cifrado RC4-HMAC sólo está soportado por un centro de distribución de claves (KDC) de una versión de Microsoft Windows anterior a 2003. Para confirmar esta condición, examine el rastreo e identifique dónde se lanzó la excepción. El contenido del ticket entrante debe estar visible en el rastreo. Aunque el tíquet entrante está cifrado, el SPN del servicio es legible. Si se utiliza un KDC de una versión de Microsoft Windows anterior a 2003 y el sistema se ha configurado para utilizar RC4-HMAC, se visualiza la serie que representa el ticket para id_usuario@REINO (en lugar del ticket esperado HTTP/nombrehost.reino@REINO). Por ejemplo, este es el principio de un ticket recibido desde un KDC de una versión de Microsoft Windows anterior a 2003:
0000: 01 00 6e 82 04 7f 30 82  04 7b a0 03 02 01 05 a1  ..n...0.........
0010: 03 02 01 0e a2 07 03 05  00 20 00 00 00 a3 82 03  ................
0020: a5 61 82 03 a1 30 82 03  9d a0 03 02 01 05 a1 0a  .a...0..........
0030: 1b 08 45 50 46 44 2e 4e  45 54 a2 18 30 16 a0 03  ...REINO.COM.0..
0040: 02 01 01 a1 0f 30 0d 1b  0b 65 70 66 64 77 61 73  .....0...id_usuario
0050: 75 6e 69 74 a3 82 03 6e  30 82 03 6a a0 03 02 01  .a.f...n0..j....
El reino es REINO.COM. El nombre del servicio es el id_usuario. Un ticket formado correctamente para el mismo SPN es:
0000: 01 00 6e 82 04 56 30 82  04 52 a0 03 02 01 05 a1  ..n..V0..R......
0010: 03 02 01 0e a2 07 03 05  00 20 00 00 00 a3 82 03  ................
0020: 82 61 82 03 7e 30 82 03  7a a0 03 02 01 05 a1 0a  .a...0..z.......
0030: 1b 08 45 50 46 44 2e 4e  45 54 a2 2a 30 28 a0 03  ..REINO.COM.0...
0040: 02 01 02 a1 21 30 1f 1b  04 48 54 54 50 1b 17 75  .....0...HTTP..u
0050: 73 31 30 6b 65 70 66 77  61 73 73 30 31 2e 65 70  id_ser.reino.com.
0060: 66 64 2e 6e 65 74 a3 82  03 39 30 82 03 35 a0 03  ...n.....90..5..
Para corregir el problema, utilice el estándar de cifrado de datos (DES) único, o bien utilice el servidor Microsoft Windows 2003 Server para un KDC. Recuerde que debe regenerar el SPN y el archivo de la tabla de claves de Kerberos.

El usuario recibe el mensaje siguiente cuando accede a un URL protegido a través del SSO de SPNEGO.

Síntoma Descripción Acción del usuario
Analice el mensaje siguiente:
Solicitud incorrecta

El navegador envía una solicitud que este servidor no ha podido entender.
El tamaño del campo de la cabecera de la solicitud excede el límite del servidor.

Autorización: Negocie YII……
Este mensaje lo genera Apache/IBM HTTP Server. Este servidor indica que la cabecera de autorización devuelta por el navegador del usuario es demasiado grande. La serie larga a continuación de la palabra Negotiate (en el mensaje de error anterior) es la señal SPNEGO. Esta señal SPNEGO es un envoltorio de la señal Kerberos de Microsoft Windows. Microsoft Windows incluye la información de PAC del usuario en la señal Kerberos. Cuanto más seguro sea el grupo al que pertenece el usuario, más información PAC se inserta en la señal Kerberos y más largo se vuelve SPNEGO. IBM HTTP Server 2.0 (también Apache 2.0 e IBM HTTP Server 6.0) limita el tamaño de cualquier cabecera HTTP aceptable a 8K. En dominios Microsoft Windows con varios grupos, y usuarios que pertenecen a varios grupos, el tamaño de la señal SPNEGO del usuario puede superar el límite de 8K. Si es posible, reduzca el número de grupos de seguridad de los cuales el usuario es miembro. El fixpack PK01070 de IBM HTTP Server 2.0.47 permite que el tamaño de la cabecera de HTTP aumente e ,incluso, que supere el límite de Microsoft de 12K. Los usuarios de WebSphere Application Server versión 6.0 pueden obtener este arreglo en el fix 6.0.0.2.
Nota: Es posible que los servidores web no basados en Apache necesiten soluciones diferentes.

Problema: Incluso con el rastreo JGSS inhabilitado, aparecen algunos mensajes KRB_DBG_KDC en el archivo SystemOut.log

Síntoma Descripción Acción del usuario
Examine el archivo SystemOut.log y observe que algunos mensajes KRB_DBG_KDC aparecen incluso cuando el rastreo está inhabilitado. Aunque la mayoría del rastreo JGSS está controlada por la propiedad com.ibm.security.jgss.debug, un pequeño conjunto de mensajes está controlado por la propiedad com.ibm.security.krb5.Krb5Debug. La propiedad com.ibm.security.krb5.Krb5Debug tiene un valor por omisión para colocar mensajes en el archivo SystemOut.log. Para eliminar todos los mensajes KRB_DBG_KDC del archivo SystemOut.log, establezca la propiedad de la JVM del modo siguiente:
-Dcom.ibm.security.krb5.Krb5Debug=none

Problema: Cuando una aplicación contiene una página de error HTTP 401 personalizada, la página de respuesta HTTP generada por SPNEGO TAI no se muestra en el navegador.

Síntoma Descripción Acción del usuario
Cuando una aplicación contiene una página de error HTTP 401 personalizada, la página de respuesta HTTP generada por SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) TAI (Trust Association Interceptor) no se muestra en el navegador. Cuando una aplicación contiene una página de error HTTP 401 personalizada, la página de respuesta HTTP generada por SPNEGO TAI no se muestra en el navegador. En su lugar se muestra la página de error HTTP 401 personalizada. Puede personalizar la página HTTP 401 para que incluya información relacionada con el modo de configurar el navegador para que utilice SPNEGO. Para obtener más información, consulte Configuración del navegador de cliente para utilizar SPNEGO TAI (en desuso) y Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto).

Problema: Los parámetros Post de HTTP se han perdido durante la interacción con el SPNEGO TAI, renunciando al inicio de sesión de ID de usuario/contraseña.

Síntoma Descripción Acción del usuario
Los parámetros Post de HTTP se pierden durante la interacción con el SPNEGO TAI, renunciando al inicio de sesión de ID de usuario/contraseña.

"El inicio de sesión con ID de usuario/contraseña" quiere decir que Microsoft Internet Explorer intenta responder inicialmente con una señal SPNEGO. Si esta respuesta no es satisfactoria, entonces Microsoft Internet Explorer intenta responder con una señal NTLM que se obtiene a través de una solicitud de ID de usuario/contraseña.

Microsoft Internet Explorer mantiene el estado durante una solicitud del usuario. Si una solicitud recibió una respuesta del tipo "HTTP 401 Authenticate Negotiate" y el navegador responde con una señal NTLM obtenido a través de la verificación del id de usuario/contraseña, el navegador reenvía la solicitud. Si esta segunda solicitud recibió una respuesta de una página HTML que contiene una redirección al mismo URL pero con argumentos nuevos (a través de Javascript), el navegador no reenvía los parámetros POST.
Nota: Para evitar este problema, es muy importante NO realizar la redirección automática. Si el usuario pulsa un enlace, el problema no se produce.

El navegador responde a la verificación de la pregunta de contraseña Autenticar/Negociar con una señal NTLM, o una señal SPNEGO. El SPNEGO TAI ve el gestor NTLM, y devuelve una respuesta HTTP 403, junto con la página HTML. Cuando el navegador ejecuta la función JavaScript redirTimer, se pierde cualquier parámetro POST o GET incluido en la solicitud original.

Al utilizar la propiedad SPN<id>.NTLMTokenReceivedPage, se puede devolver una página de mensaje apropiada al usuario. El mensaje predeterminado que se devuelve (en la ausencia de una propiedad definida por el usuario) es:
"<html><head><title>An NTLM
una señal NTLM.
</title></head>"
	+ "<body>La configuración de su navegador es
				correcta, pero no ha iniciado sesión en
		un dominio Windows soportado."
		+ "<p>Inicie sesión en la aplicación utilizando
		la página de inicio de sesión normal.</html>";

Utilizando la propiedad SPN<id>.NTLMTokenReceivedPage, puede personalizar la respuesta exacta. Es importante que el HTML devuelto no realice una redirección.

Si el SPNEGO TAI se ha configurado para utilizar la clase predeterminada HTTPHeaderFilter incluida como SPN<id>.filterClass, puede utilizarse SPN<id>.filter para permitir que la segunda solicitud fluya directamente en el mecanismo normal de seguridad de WebSphere Application Server. De esta forma, el usuario experimenta el mecanismo normal de autenticación.

A continuación se ofrece un ejemplo de una configuración de este tipo, en la que se muestran las propiedades de SPNEGO TAI necesarias y el contenido del archivo HTML.
****** SPNEGO TAI Property Name ******
                ****** HTML File Content ******
com.ibm.ws.security.spnego.SPN1.hostName               server.wasteched30.torolab.ibm.com
com.ibm.ws.security.spnego.SPN1.filterClass            com.ibm.ws.security.spnego.HTTPHeaderFilter
com.ibm.ws.security.spnego.SPN1.filter                 request-url!=noSPNEGO
com.ibm.ws.security.spnego.SPN1.NTLMTokenReceivedPage  File:///C:/temp/NTLM.html 
Nota: Observe que la propiedad de filtro insta al SPNEGO TAI que NO intercepte ninguna petición HTTP que contenga la serie "noSPNEGO".
Aquí aparece un ejemplo de generación de una respuesta práctica.
<html>
<head>
<title>Autenticación NTLM recibida </title>
<script language="javascript">
		var purl=""+document.location;
if (purl.indexOf("noSPNEGO")<0) {
				if(purl.indexOf('?')>=0) purl+="&noSPNEGO";
				else purl+="?noSPNEGO";
	}
</script>
</head>
<body>
<p>Se ha recibido una señal NTLM como respuesta a
 la verificación SPNEGO. Es posible que 
no haya iniciado la sesión en un dominio de Windows. <br>
Pulse el enlace siguiente para obtener el sitio Web solicitado.
<script language="javascript">
		document.write("<a href='"+purl+"'>");
		document.write("Abra la misma página utilizando
	 	 el mecanismo de autenticación normal.");
		document.write("</a><br>");
</script>
Será redirigido automáticamente.
</body>
</html>

Problema: El interceptor de asociación de confianza (TAI) no llama al método initialize(Properties)

El rastreo puede mostrar que TAI está cargado, pero no se llama al método initialize(Properties). Sólo el método getVersion() parece llamarse durante el arranque.

El proceso de TAI de WebSphere sólo llama a initialize(Properties) cuando hay propiedades personalizadas definidas para el TAI.

Para corregir este problema, defina una propiedad personalizada del TAI no utilizada, como com.ibm.issw.spnegoTAI.NumberOfServers=0.

Problema: El interceptor de asociación de confianza (TAI) no se carga correctamente

Es posible que el rastreo muestre que el TAI no se está cargando y que se reciba el siguiente texto de excepción:
SPNEGO014: Anomalía de inicialización de Kerberos: org.ietf.jgss.GSSException, Código principal: 13, Código secundario: 0
	serie principal: Credenciales no válidas
		serie secundaria: SubjectKeyFinder: no hay ningún sujeto JAAS
		en com.ibm.security.jgss.i18n.I18NException.throwGSSException(I18NException.java:12)
…

Una posible causa de este problema es que la propiedad personalizada de JVM javax.security.auth.useSubjectCredsOnly no está establecida con el valor false.

Para corregir este problema, defina una propiedad personalizada JVM en cada JVM que esté habilitada para el TAI, javax.security.auth.useSubjectCredsOnly=false.

Problema: Los caracteres predeterminados de scripts JACL para añadir parámetros de interceptor de asociación de confianza (TAI) pueden causar problemas

Los scripts JACL para añadir parámetros de TAI aceptan parámetros de posición. Para aceptar los valores predeterminados, se especifica ".". En algunas plataformas WebSphere, si especifica un "." puede hacer que la propiedad se añada con un valor de ".".

Independientemente de la plataforma, confirme siempre que las propiedades se añaden de la forma esperada utilizando la consola de administración. Si no es así, corríjalas manualmente.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_trouble_shoot
File name: rsec_SPNEGO_trouble_shoot.html