Sugerencias para la resolución de problemas del proveedor de autorizaciones de seguridad

En este artículo se describen los problemas con los que puede encontrarse si utiliza un proveedor de autorización JACC (Java™ Authorization Contract for Containers). Tivoli Access Manager se empaqueta con WebSphere Application Server como un proveedor de autorización. No obstante, también puede conectar su propio proveedor de autorización.

Tivoli Access Manager como proveedor de autorizaciones JACC (Java Authorization Contract for Containers).

Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL para resolver problemas de aplicaciones para obtener más información sobre la utilización de HPEL.

Proveedores externos para el proveedor de autorizaciones JACC (Java Authorization Contract for Containers)

Es posible que se encuentre con los siguientes problemas al utilizar un proveedor de autorización JACC externo:

Puede producirse un error de la configuración JACC

Si tiene problemas al configurar JACC, consulte los elementos siguientes:

  • Asegúrese de que los parámetros sean correctos. Por ejemplo, no desea que aparezca un número después de nombrehost_servidor_políticas_TAM:7135, pero desea que aparezca uno después de nombrehost_servidor_autorización_TAM:7136 (por ejemplo, nombrehost_servidor_autorización_TAM:7136:1).
  • Si aparece un mensaje "no se ha podido contactar con el servidor", es posible que los nombres de host o los números de puerto de los servidores de Tivoli Access Manager no sean correctos o que los servidores de Tivoli Access Manager no se hayan iniciado.
  • Asegúrese de que la contraseña para el usuario sec_master sea correcta.
  • Compruebe el archivo SystemOut.log y busque la serie AMAS para ver si hay algún mensaje de error.

El servidor no puede iniciarse después de la configuración JACC

Si el servidor no se inicia después de la configuración de JACC, compruebe los elementos siguientes:

  • Asegúrese de que WebSphere Application Server y Tivoli Access Manager utilizan el mismo servidor LDAP (Lightweight Directory Access Protocol).
  • Si aparece el mensaje "Se ha producido un error de autenticación de Policy Director", asegúrese de lo siguiente:
    • El ID de servidor LDAP de WebSphere Application Server LDAP es el mismo que el "usuario administrador" del panel de configuración de JACC de Tivoli Access Manager.
    • Compruebe que el nombre distinguido (DN) de Tivoli Access Manager Administrator sea correcto
    • Compruebe que la contraseña que del administrador de Tivoli Access Manager no haya caducado y sea válida.
    • Asegúrese de que la cuenta sea válida para el administrador de Tivoli Access Manager.
  • Si aparece un mensaje como no se puede abrir el socket para xxxx (donde xxxx es un número), realice las siguientes acciones:
    1. Vaya al directorio raíz_perfil/etc/tam.
    2. Cambie xxxx por un número de puerto disponible en el archivo amwas.commomconfig.properties y el archivo amwas*cellName_dmgr.properties si el gestor de despliegue no ha podido iniciarse. Si no ha podido iniciarse el nodo, cambie xxx por un número de puerto disponible en amwas*cellName_nodeName_.properties. Si el servidor de aplicaciones no se ha podido iniciar, cambie xxxx en el archivo amwas*cellname_nodeName_serverName.properties.

Es posible que la aplicación no se despliegue correctamente

Cuando pulse Guardar, la información de políticas o de roles se propaga a la políticas de Tivoli Access Manager. Es posible que este proceso tarde en completarse. Si se produce un error al guardar, debe desinstalar la aplicación y volver a instalarla.

Para acceder a una aplicación después de la instalación, debe esperar 30 segundos, por omisión, para iniciar la aplicación después de guardarla.

El mandato startServer podría dar un error

Puede producirse un error del mandato startServer después de configurar Tivoli Access Manager o de que una instalación limpia no se haya producido después de desconfigurar JACC.

Si la limpieza de la desconfiguración de JACC o el inicio del servidor no se realiza correctamente después de la configuración de JACC, realice las siguientes acciones:
  • Elimine los archivos de propiedades de Tivoli Access Manager de WebSphere Application Server.En cada servidor de aplicaciones de un entorno WebSphere Application Server, Network Deployment (ND) con N servidores definidos (por ejemplo, servidor1, servidor2).
    [AIX Solaris HP-UX Linux Windows][z/OS]Se deben suprimir los archivos siguientes.
    install_root/tivoli/tam/PdPerm.properties 
    raíz_instalación/tivoli/tam/PdPerm.ks
    raíz__perfil/etc/tam/*
    [IBM i]Se deben suprimir los archivos siguientes.
    raíz__perfil/etc/pd/PolicyDirector/PDPerm.properties
    raíz__perfil/etc/pd/PolicyDirector/PdPerm.ks
    raíz__perfil/etc/tam/*
  • Utilice un programa de utilidad para limpiar la configuración de seguridad y devolver el sistema al estado en el que estaba antes de la configuración del proveedor de JACC de Tivoli Access Manager. El programa de utilidad elimina todas las entradas de PDLoginModuleWrapper además de la entrada de la tabla de autorizaciones de Tivoli Access Manager del archivo security.xml, eliminando el proveedor de JACC para Tivoli Access Manager. Haga una copia de seguridad del archivo security.xml antes de ejecutar este programa de utilidad.
    [AIX Solaris HP-UX Linux Windows][z/OS]Entre los mandatos siguientes:
    install_root/java/jre/bin/java -classpath 
    "install_root/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML vía_acceso_completa/security.xml
    [IBM i]Entre los mandatos siguientes:
    java -Djava.version=1.5 -classpath 
    "app_server_root/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML vía_acceso_completa/security.xml

"HPDIA0202w: Se ha presentado un nombre de usuario desconocido a Access Manager"

Es posible que encuentre el siguiente mensaje de error si está intentado utilizar un usuario existente en un registro de usuario LDAP (Local Directory Access Protocol) con Tivoli Access Manager:
AWXJR0008E   Failed to create a PDPrincipal for principal mgr1.:  (No se ha podido crear un PDPrincipal para el principal mgri1.:) 
AWXJR0007E   Se ha producido una excepción de Tivoli Access Manager. Los detalles son:
"HPDIA0202W  Se ha presentado un nombre de usuario desconocido a Access Manager."
Este problema puede deberse a que la longitud del nombre de host excede los límites predefinidos para Tivoli Access Manager cuando se configura en MS Active Directory. En WebSphere Application Server, la longitud máxima del nombre de host no puede exceder los 46 caracteres.

Compruebe que el nombre de host no esté plenamente cualificado. Configure la máquina de modo que el nombre de host no incluya el dominio del host.

Para corregir este error, realice los pasos siguientes:
  1. En la línea de mandatos, escriba la siguiente información para obtener un indicador de mandatos de Tivoli Access Manager:
    pdadmin -a nombre_administrador -p contraseña_administrador
    Aparecerá el indicador nombre_administrador de pdadmin. Por ejemplo:
    pdadmin -a administrador1 -p contraseña 
  2. En el indicador de mandatos de pdadmin, importe el usuario desde el registro de usuarios LDAP a Tivoli Access Manager escribiendo la siguiente información:
    user import nombre_usuario cn=nombre_usuario,o=nombre_organización,c=país
    Por ejemplo:
    user import jstar cn=jstar,o=ibm,c=us
Después de importar el usuario a Tivoli Access Manager, debe utilizar el mandato user modify para establecer la cuenta del usuario en valid. La siguiente sintaxis muestra cómo utilizar este mandato:
user modify nombre_usuario account-valid yes
Por ejemplo:
user modify jstar account-valid yes

Para obtener información sobre cómo importar un grupo desde LDAP a Tivoli Access Manager, consulte la documentación de Tivoli Access Manager.

"HPDAC0778E: La cuenta del usuario especificada se ha establecido en un valor no válido"

Es posible que se encuentre con el siguiente mensaje de error después de importar un usuario a Tivoli Access Manager y volver a reiniciar el cliente:
AWXJR0008E   Failed to create a PDPrincipal for principal mgr1.:  (No se ha podido crear un PDPrincipal para el principal mgri1.:) 
AWXJR0007E   Se ha producido una excepción de Tivoli Access Manager. 
Los detalles son: "HPDAC0778E   The specified user's account is set to invalid"
(La cuenta del usuario especificada se ha
establecido en un valor no válido).
Para corregir este error, utilice el mandato user modify para establecer la cuenta de usuario en un valor válido. La siguiente sintaxis muestra cómo utilizar este mandato:
user modify nombre_usuario account-valid yes
Por ejemplo:
user modify jstar account-valid yes

"HPDJA0506E: argumento no válido: campo de nombre de usuario nulo o con longitud cero para la entrada ACL"

Es posible que encuentre un error parecido al mensaje siguiente cuando propague la información de políticas de seguridad desde la aplicación al proveedor mediante el mandato propagatePolicyToJACCProvider de wsadmin:
AWXJR0035E   Se ha producido un error al intentar añadir un miembro
                cn=agent3,o=ibm,c=us, al rol AgentRole
HPDJA0506E   Argumento no válido: campo de nombre de usuario nulo o de longitud cero para
                

Para corregir este error, cree o importe el usuario, que se correlaciona con el rol de seguridad de Tivoli Access Manager. Para obtener más información sobre la propagación de la información de políticas de seguridad, consulte la documentación del proveedor de autorización.

WASX7017E: Se ha recibido una excepción al ejecutar el archivo "InsuranceServicesSingle.jacl"

Después de habilitar el proveedor de JACC y Tivoli Access Manager, al intentar instalar la aplicación, que está configurada con roles de seguridad mediante el mandato wsadmin, puede producirse el siguiente error:
WASX7017E: Se ha recibido una excepción
al ejecutar el archivo "InsuranceServicesSingle.jacl";
información de excepción: com.ibm.ws.scripting.ScriptingException: WASX7111E: 
No se puede encontrar una coincidencia para la opción proporcionada: 
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers"

La opción de tarea $AdminApp MapRolesToUsers deja de ser válida cuando Tivoli Access Manager se utiliza como servidor de autorización. Para corregir el error, cambie MapRolesToUsers a TAMMapRolesToUsers.

Excepciones de acceso denegado a las aplicaciones cuando se utiliza JACC

En el caso de Tivoli Access Manager, puede establecer el siguiente mensaje de error.
AWXJR0044E: La decisión de acceso para el Permiso, {0}, ha sido denegada porque los
objetos PolicyConfiguration o RoleConfiguration no se han creado satisfactoriamente
durante 
el tiempo de instalación de la aplicación. RoleConfiguration exists = {false}, PolicyConfiguration 
exists = {"false"}.

Si las excepciones de acceso denegado no estaban previstas para la aplicación, consulte los archivos SystemOut.log para ver si la información sobre políticas de seguridad se ha propagado correctamente al proveedor.

Si la información sobre políticas de seguridad para la aplicación se ha propagado correctamente, aparecerán sentencias de auditoría con la clave de mensaje SECJ0415I. No obstante, si se ha producido un problema durante la propagación de la información sobre políticas de seguridad al proveedor (por ejemplo, si se han producido problemas en la red o si el proveedor JACC no estaba disponible), el archivo SystemOut.log contiene el mensaje de error con la clave de mensaje SECJ0396E, durante la instalación, o con la clave de mensaje SECJ0398E, durante la modificación. La instalación de la aplicación no se detiene debido a un error de propagación de la política de seguridad al proveedor JACC. Asimismo, en el caso de que se produzca un error, no aparecen mensajes de error ni de excepción durante la operación de guardar. Cuando se solucione el problema que ha ocasionado este error, ejecute la herramienta propagatePolicyToJaccProvider para propagar la información sobre políticas de seguridad al proveedor sin volver a instalar la aplicación.

"HPDBA0219E: Se ha producido un error al leer los datos de una conexión SSL"

Puede aparecer un mensaje de error (HPDBA0219E) en SystemOut.log de dmgr cuando se instala la aplicación en WebSphere Application Server, Network Deployment (ND) y se habilita un nodo gestionado con Tivoli Access Manager.

Si se produce este error, los datos de política de seguridad de las aplicaciones desplegadas recientemente no estarán disponibles de forma inmediata. Los datos de política están disponibles según el tiempo de réplica de servidor de Tivoli Access Manager. El valor predeterminado es de 30 segundos después de finalizar todas las actualizaciones. Para asegurarse de que están disponibles los datos de política más recientes, inicie una sesión en la consola pdadmin y escriba: server replicate.

[z/OS]

Se puede producir un error "No hay puertos disponibles en el puerto establecido"

Cuando utiliza Tivoli Access Manager como el proveedor de JACC y detiene WebSphere Application Server utilizando la consola administrativa o el script wsadmin, hay un proceso de borrado que se ejecuta para Tivoli Access Manager. WebSphere Application Server no puede completar el proceso de borrado.

WebSphere Application Server utiliza un número de puerto diferente para cada proceso nuevo. En un momento dado, el servidor de aplicaciones agota los números de puerto para conectarse con el servidor Tivoli Access Manager y muestra un error de tipo "No hay puertos disponibles en el conjunto de puertos".

Si se produce este error, debe limpiar manualmente los puertos que están disponibles para los procesos de WebSphere Application Server.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jacctroubles
File name: rsec_jacctroubles.html