Sugerencias para la resolución de problemas con los componentes de seguridad

Este documento describe los recursos básicos y los pasos para el diagnóstico de problemas relacionados con la seguridad de WebSphere Application Server.

Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL para resolver problemas de aplicaciones para obtener más información sobre la utilización de HPEL.
Los recursos básicos y los pasos para el diagnóstico de problemas relacionados con la seguridad de WebSphere Application Server son:
Los siguientes problemas relacionados con la seguridad se tratan en otros apartados de este centro de información:

Si ninguno de estos pasos resuelve el problema, compruebe si el problema se ha identificado y está documentado utilizando los enlaces del apartado Diagnóstico y solución de problemas: recursos de aprendizaje.

[AIX Solaris HP-UX Linux Windows][IBM i]Si no encuentra ningún problema que se asemeje al suyo o si la información proporcionada no resuelve el problema, consulte Ayuda de IBM para la resolución de problemas para obtener más ayuda.

[AIX Solaris HP-UX Linux Windows][IBM i]Para obtener una visión general de los componentes de seguridad de WebSphere Application Server como, por ejemplo, SAS (Secure Authentication Services), y cómo funcionan, consulte el apartado Guía de iniciación a la seguridad.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
[z/OS]Para obtener una visión general de los componentes de seguridad de WebSphere Application Server como, por ejemplo, z/SAS (Secure Authentication Services for z/OS), y cómo funcionan, consulte el apartado Guía de iniciación a la seguridad.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
[AIX Solaris HP-UX Linux Windows][IBM i]

Archivos de anotaciones cronológicas

Durante la resolución de problemas del componente de seguridad, consulte los registros de JVM (máquina virtual Java™) del servidor que aloja el recurso al que están intentando acceder. El siguiente es un ejemplo de los mensajes que puede ver desde un servidor en el que el servicio de seguridad se ha iniciado correctamente.
SASRas        A CWWSA0001I: Se ha inicializado la configuración de seguridad. 
SASRas        A CWWSA0002I: Protocolo de autenticación: CSIV2/IBM 
SASRas        A CWWSA0003I: Mecanismo de autenticación: SWAM 
SASRas        A CWWSA0004I: Principal name: MYHOSTNAME/aServerID 
SASRas        A CWWSA0005I: SecurityCurrent registrada. 
SASRas        A CWWSA0006I: Se ha inicializado la conexión de seguridad. 
SASRas        A CWWSA0007I: Se ha registrado el interceptor de solicitud de cliente. 
SASRas        A CWWSA0008I: Se ha registrado el interceptor de solicitud de servidor. 
SASRas        A CWWSA0009I: Se ha registrado el interceptor de IOR. 
NameServerImp I CWNMS0720I: Se efectúa el registro de la escucha de servicio de seguridad. 
SecurityCompo A CWSCJ0242A: Se está iniciando el servicio de seguridad. 
UserRegistryI A CWSCJ0136I: Custom Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl se ha inicializado. 
SecurityCompo A CWSCJ0202A: La aplicación de administración se ha inicializado correctamente. 
SecurityCompo A CWSCJ0203A: La aplicación de denominación se ha
inicializado satisfactoriamente. 
SecurityCompo A CWSCJ0204A: RolebasedAuthorizer se ha inicializado satisfactoriamente. 
SecurityCompo A CWSCJ0205A: Se ha registrado satisfactoriamente Security Admin mBean 
SecurityCompo A CWSCJ0243A: El servicio de seguridad se ha iniciado correctamente. 
SecurityCompo A CWSCJ0210A: Seguridad habilitada. 
El siguiente es un ejemplo de los mensajes desde un servidor que no puede iniciar el servicio de seguridad, en este caso debido a que el ID de usuario y la contraseña de administración proporcionada para las comunicaciones con el registro de usuarios es erróneo o el registro de usuarios propiamente dicho está apagado o mal configurado.
SASRas        A CWWSA0001I: Se ha inicializado la configuración de seguridad. 
SASRas        A CWWSA0002I: Protocolo de autenticación: CSIV2/IBM 
SASRas        A CWWSA0003I: Mecanismo de autenticación: SWAM 
SASRas        A CWWSA0004I: Principal name: MYHOSTNAME/aServerID 
SASRas        A CWWSA0005I: SecurityCurrent registrada. 
SASRas        A CWWSA0006I: Se ha inicializado la conexión de seguridad. 
SASRas        A CWWSA0007I: Se ha registrado el interceptor de solicitud de cliente. 
SASRas        A CWWSA0008I: Se ha registrado el interceptor de solicitud de servidor. 
SASRas        A CWWSA0009I: Se ha registrado el interceptor de IOR. 
NameServerImp I CWNMS0720I: Se efectúa el registro de la escucha de servicio de seguridad. 

SecurityCompo A CWSCJ0242A: Se está iniciando el servicio de seguridad. 
UserRegistryI A CWSCJ0136I: Registro personalizado:com.ibm.ws.security.
registry.nt.NTLocalDomainRegistryImpl se ha inicializado. 
Authenticatio E CWSCJ4001E: Ha fallado el inicio de sesión para badID/<null>
javax.security.auth.login.LoginException: error de autenticación: usuario/contraseña
erróneos 
El siguiente es un ejemplo de los mensajes procedentes de un servidor para los que se ha especificado LDAP (Lightweight Directory Access Protocol) como el mecanismo de seguridad pero las claves de LDAP no se han configurado correctamente.
SASRas        A CWWSA0001I: Se ha inicializado la configuración de seguridad. 
SASRas        A CWWSA0002I: Protocolo de autenticación: CSIV2/IBM 
SASRas        A CWWSA0003I: Mecanismo de autenticación: LTPA 
SASRas        A CWWSA0004I: Nombre de principal: NOMBREMIHOST/unID 
SASRas        A CWWSA0005I: SecurityCurrent registrada. 
SASRas        A CWWSA0006I: Se ha inicializado la conexión de seguridad. 
SASRas        A CWWSA0007I: Se ha registrado el interceptor de solicitud de cliente. 
SASRas        A CWWSA0008I: Se ha registrado el interceptor de solicitud de servidor. 
SASRas        A CWWSA0009I: Se ha registrado el interceptor de IOR. 
NameServerImp I CWNMS0720I: Se efectúa el registro de la escucha de servicio de seguridad. 
SecurityCompo A CWSCJ0242A: Se está iniciando el servicio de seguridad. 
UserRegistryI A CWSCJ0136I: Custom Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl se ha inicializado. 
SecurityServe E CWSCJ0237E: Uno o más atributos de configuración de LTPAServerObject 
vitales son nulos o no están disponibles. Los atributos y los valores son la
contraseña : 
la contraseña de LTPA existe, la hora de caducidad es 30, la clave privada <null>, la clave pública <null> y
la clave compartida <null>.
Un problema con la configuración SSL (Secure Sockets Layer) puede provocar el mensaje siguiente. Asegúrese de que la ubicación del almacén de claves y las contraseñas sean válidas. Asimismo, asegúrese de que el almacén de claves tenga un certificado personal válido y que la clave pública del certificado personal o la raíz de la autoridad de certificación, CA, se ha extraído y colocado en Truststore.
SASRas        A CWWSA0001I: Se ha inicializado la configuración de seguridad. 
SASRas        A CWWSA0002I: Protocolo de autenticación: CSIV2/IBM 
SASRas        A CWWSA0003I: Mecanismo de autenticación: SWAM 
SASRas        A CWWSA0004I: Principal name: MYHOSTNAME/aServerId 
SASRas        A CWWSA0005I: SecurityCurrent registrada. 
SASRas        A CWWSA0006I: Se ha inicializado la conexión de seguridad. 
SASRas        A CWWSA0007I: Se ha registrado el interceptor de solicitud de cliente. 
SASRas        A CWWSA0008I: Se ha registrado el interceptor de solicitud de servidor. 
SASRas        A CWWSA0009I: Se ha registrado el interceptor de IOR. 
SASRas        E CWWSA0026E: [SecurityTaggedComponentAssistorImpl.register] 
Excepción al conectar el objeto con ORB.  Compruebe la configuración de SSL para asegurarse
 de que las propiedades keyStore y trustStore se hayan establecido correctamente.  Si
el problema 
persiste, póngase en contacto con el servicio de soporte para obtener ayuda. org.omg.CORBA.OBJ_ADAPTER: 
ORB_CONNECT_ERROR (5) - no se ha podido obtener el subcontrato del servidor minor
code: 
4942FB8F  completed: No 

Utilización de SDSF

Durante la resolución de problemas del componente de seguridad, utilice SDSF (System Display and Search Facility) para examinar los registros del servidor que aloja el recurso al que está intentando acceder. El siguiente es un ejemplo de las ayudas de mensajes que puede ver desde un servidor en el que el servicio de seguridad se ha iniciado correctamente.

[AIX Solaris HP-UX Linux Windows][IBM i]
+BBOM0001I com_ibm_authMechanisms_type_OID: No existe ningún OID para este
mecanismo.
 +BBOM0001I com_ibm_security_SAF_unauthenticated: WSGUEST.
 +BBOM0001I com_ibm_security_SAF_EJBROLE_Audit_Messages_Suppress: 0.
 +BBOM0001I com_ibm_ws_logging_zos_errorlog_format_cbe: NOT SET, 280
 DEFAULT=0.
 +BBOM0001I com_ibm_CSI_performClientAuthenticationRequired: 0.
 +BBOM0001I com_ibm_CSI_performClientAuthenticationSupported: 1.
 +BBOM0001I com_ibm_CSI_performTransportAssocSSLTLSRequired: 0.
 +BBOM0001I com_ibm_CSI_performTransportAssocSSLTLSSupported: 1.
 +BBOM0001I com_ibm_CSI_rmiInboundPropagationEnabled: 1.
 +BBOM0001I com_ibm_CSI_rmiOutboundLoginEnabled: 0.
 +BBOM0001I com_ibm_CSI_rmiOutboundPropagationEnabled: 1.
 +BBOM0001I security_assertedID_IBM_accepted: 0.
 +BBOM0001I security_assertedID_IBM_sent: 0.
 +BBOM0001I security_disable_daemon_ssl: NOT SET, DEFAULT=0.
 +BBOM0001I security_sslClientCerts_allowed: 0.
 +BBOM0001I security_sslKeyring: NOT SET. 
 +BBOM0001I security_zOS_domainName: NOT SET.
 +BBOM0001I security_zOS_domainType: 0.
 +BBOM0001I security_zSAS_ssl_repertoire: SY1/DefaultIIOPSSL.
 +BBOM0001I security_EnableRunAsIdentity: 0.
 +BBOM0001I security_EnableSyncToOSThread: 0.
 +BBOM0001I server_configured_system_name: SY1.
 +BBOM0001I server_generic_short_name: BBOC001.
 +BBOM0001I server_generic_uuid:  457
 *** Los mensajes que empiezan por BBOO0222I se aplican a Java en la ***
 *** seguridad de WebSphere Application Server ***
 +BBOO0222I: SECJ6004I: El servicio Security Auditing está inhabilitado.
 +BBOO0222I: SECJ0215I: Se ha establecido satisfactoriamente la clase de
configuración 631
 del proveedor del inicio de sesión JAAS en
com.ibm.ws.security.auth.login.Configuration.
 +BBOO0222I: SECJ0136I: Registro 632
 personalizado:com.ibm.ws.security.registry.zOS.SAFRegistryImpl se ha inicializado
 +BBOO0222I: SECJ0157I: Se ha cargado la tabla de autorizaciones del proveedor: 633
 com.ibm.ws.security.core.SAFAuthorizationTableImpl
[z/OS]
 BBOM0001I security_zOS_domainName: NOT SET.
 BBOM0001I security_zOS_domainType: 0.
 BBOM0001I security_SMF_record_first_auth_user: NOT SET, DEFAULT=1.
 BBOJ0077I:     java.security.policy = /WebSphere/V8R5/AppServer/profil
 BBOJ0077I:                            es/default/properties/server.pol
 BBOJ0077I:                            icy
 BBOJ0077I: java.security.auth.login.config = /WebSphere/V8R5/AppServer
 BBOJ0077I:                            /profiles/default/properties/wsj
 BBOJ0077I:                            aas.conf
 BBOO0222I: SECJ6004I: Se ha inhabilitado la auditoría de seguridad.
 BBOO0222I: SECJ0215I: Se ha establecido satisfactoriamente la clase de
configuración
 del proveedor del inicio de sesión JAAS en
com.ibm.ws.security.auth.login.Configuration.
 BBOO0222I: JSAS0001I: Se ha inhabilitado la configuración de seguridad.
 BBOO0222I  JSAS0003I: Mecanismo de autenticación: LTPA
 BBOO0222I  JSAS0004I: Nombre de principal: DEFAULT/CBSYMSR1
 BBOO0222I: JSAS0006I: Se ha inicializado el interceptor de conexiones de seguridad.
 BBOO0222I: JSAS0009I: Interceptor de IOR registrado.
 BBOO0222I: SECJ0136I: Personalizado
 Registry:com.ibm.ws.security.registry.zOS.SAFRegistryImpl se ha
 inicializado
 BBOO0222I: SECJ6214I: Autorización SAF habilitada.
 BBOO0222I: ACWA0002I: El servicio de área de trabajo no está habilitado en server1.
 BBOO0222I: SECJ6216I: Delegación SAF habilitada.
 BBOO0222I: SECJ6216I: Delegación SAF habilitada.
 BBOO0222I: SECJ6216I: Delegación SAF habilitada.
 BBOO0222I: SRVE0169I: Cargando módulo Web: WIM.
 BBOO0222I: CHFW0019I: El servicio de canal de transporte ha iniciado la cadena
 WCInboundAdmin.
 BBOO0222I: CHFW0019I: El servicio de canal de transporte ha iniciado la cadena
 WCInboundDefault.
 BBOO0222I: CHFW0019I: El servicio de canal de transporte ha iniciado la cadena
 WCInboundAdminSecure.
 BBOO0222I: CHFW0019I: El servicio de canal de transporte ha iniciado la cadena
 WCInboundDefaultSecure.
 BBOO0222I: WSVR0001I: El servidor SERVANT PROCESS server1 está abierto para
 e-business
 BBOO0020I SE HA COMPLETADO LA INICIALIZACIÓN PARA WEBSPHERE PARA Z/OS EL PROCESO DEL SERVANT
 BBOS001.
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0231I: El módulo de diagnóstico FFDC del componente de seguridad
 com.ibm.ws.security.core.Security
 se ha registrado
  correctamente: true.
 BossLog: { 0013} 2013/07/12 16:46:00.104 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0309I: La Seguridad de Java 2 está inhabilitada.
 BossLog: { 0014} 2013/07/12 16:46:00.143 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0212I: Se ha pasado correctamente la información de configuración
de WCCM JAAS a la clase de proveedor de inicio de sesión.
  BossLog: { 0015} 2013/07/12 16:46:00.258 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0240I: La inicialización del servicio de seguridad se ha completado satisfactoriamente
 BossLog: { 0016} 2013/07/12 16:46:00.448 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... FFDC0009I: FFDC ha abierto el archivo de corriente de incidentes /WebSphere/V8R5/AppServer/profiles/default/logs/ffdc/S
 Y1_SY1_server1_STC
 00042_BBOS001S_06.07.12_16.46.00_0.txt
 BossLog: { 0017} 2013/07/12 16:46:00.532 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... FFDC0010I: FFDC ha cerrado archivo continuo de incidencias /WebSphere/V8R5/AppServer/profiles/default/logs/ffdc/S
 Y1_SY1_server1_STC
 00042_BBOS001S_06.07.12_16.46.00_0.txt
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0243I: El servicio de seguridad se ha iniciado correctamente
 BossLog: { 0035} 2013/07/12 16:46:24.670 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK
 ./bborjtr.cpp+953 ... BBOO0222I: SECJ0210I: Seguridad habilitada
 BossLog: { 0036} 2013/07/12 16:46:24.795 01 SYSTEM=SY1 SERVER=BBOS001  PID=0X02010022 TID=0X266AF610 00000000  c=UNK

Método general para la resolución de problemas relacionados con la seguridad

Durante la resolución de problemas relacionados con la seguridad, las siguientes preguntas resultan muy útiles:
¿Ocurre el problema cuando está habilitada la seguridad?
Esta es una buena prueba para determinar si un problema está relacionado con la seguridad. No obstante, simplemente porque un problema se produzca solamente cuando está habilitada la seguridad no significa que siempre se trate de un problema de seguridad. Es necesario continuar con la resolución de problemas para estar seguro de que realmente el problema está relacionado con la seguridad.
¿Se ha inicializado correctamente la seguridad?
Durante la inicialización se visita una gran parte del código de seguridad. Por lo tanto, puede ver los problemas en ese momento si el problema está relacionado con la configuración.

[AIX Solaris HP-UX Linux Windows][IBM i]La secuencia de mensajes siguientes que se genera en SystemOut.log indica la inicialización del código normal de un servidor de aplicaciones. Esta secuencia puede variar dependiendo de la configuración pero los mensajes son similares:

SASRas        A CWWSA0001I: Se ha inicializado la configuración de seguridad. 
SASRas        A CWWSA0002I: Protocolo de autenticación: CSIV2/IBM 
SASRas        A CWWSA0003I: Mecanismo de autenticación: SWAM 
SASRas        A CWWSA0004I: Principal name: BIRKT20/pbirk 
SASRas        A CWWSA0005I: SecurityCurrent registrada. 
SASRas        A CWWSA0006I: Se ha inicializado la conexión de seguridad. 
SASRas        A CWWSA0007I: Se ha registrado el interceptor de solicitud de cliente. 
SASRas        A CWWSA0008I: Se ha registrado el interceptor de solicitud de servidor. 
SASRas        A CWWSA0009I: Se ha registrado el interceptor de IOR. 
NameServerImp I CWNMS0720I: Se efectúa el registro de la escucha de servicio de seguridad. 
SecurityCompo A CWSCJ0242A: Se está iniciando el servicio de seguridad. 
UserRegistryI A CWSCJ0136I: Custom Registry:com.ibm.ws.security.registry.nt.
NTLocalDomainRegistryImpl se ha inicializado. 
SecurityCompo A CWSCJ0202A: La aplicación de administración se ha inicializado correctamente. 
SecurityCompo A CWSCJ0203A: La aplicación de denominación se ha
inicializado satisfactoriamente. 
SecurityCompo A CWSCJ0204A: RolebasedAuthorizer se ha inicializado satisfactoriamente. 
SecurityCompo A CWSCJ0205A: Se ha registrado satisfactoriamente Security Admin mBean 
SecurityCompo A CWSCJ0243A: El servicio de seguridad se ha iniciado correctamente. 

SecurityCompo A CWSCJ0210A: Seguridad habilitada. 
La secuencia de mensajes siguientes que se genera en los registros activas de SDSF indican la inicialización del código normal de un servidor de aplicaciones. Los mensajes que no son de seguridad se han eliminado de la siguiente secuencia. Esta secuencia puede variar dependiendo de la configuración pero los mensajes son similares:
 Trace: 2013/05/06 17:27:31.539 01 t=8E96E0 c=UNK key=P8 (13007002)
   ThreadId: 0000000a 
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge
   Category: AUDIT
   ExtendedMessage: BBOJ0077I java.security.policy = 
          /WebSphere/V8R5M0/AppServer/profiles/default/pr
 Trace: 2013/05/06 17:27:31.779 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a
   FunctionName: printProperties 
   SourceId: com.ibm.ws390.orb.CommonBridge 
   Category: AUDIT 
   ExtendedMessage: BBOJ0077I java.security.auth.login.config = 
          /WebSphere/V8R5M0/AppServer/profiles/default/pr
 Trace: 2013/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.core.SecurityDM 
   SourceId: com.ibm.ws.security.core.SecurityDM  
   Category: INFO  
   ExtendedMessage: BBOO0222I: SECJ0231I: The Security component's FFDC 
          Diagnostic Module com.ibm.ws.security.core.Secur
 se ha registrado satisfactoriamente: true. 
 Trace: 2013/05/06 17:27:40.892 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error 
   from filename: ./bborjtr.cpp
   at line: 932  
   error message: BBOO0222I: SECJ0231I: The Security component's FFDC 
          Diagnostic Module com.ibm.ws.security.core.Securit
 d successfully: true. 
 Trace: 2013/05/06 17:27:41.054 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.audit.AuditServiceImpl 
   SourceId: com.ibm.ws.security.audit.AuditServiceImpl 
   Category: AUDIT  
   ExtendedMessage: BBOO0222I: SECJ6004I: El servicio Security Auditing está inhabilitado. 
 Trace: 2013/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a 
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl  
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl    
   Category: INFO 
   ExtendedMessage: BBOO0222I: SECJ0309I: La Seguridad de Java 2 está inhabilitada.  
 Trace: 2013/05/06 17:27:41.282 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error    
   from filename: ./bborjtr.cpp 
   at line: 932 
   error message: BBOO0222I: SECJ0309I: La Seguridad de Java 2 está inhabilitada.   
 Trace: 2013/05/06 17:27:42.239 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.auth.login.Configuration   
   SourceId: com.ibm.ws.security.auth.login.Configuration   
   Category: AUDIT 
   ExtendedMessage: BBOO0222I: SECJ0215I: Successfully set JAAS login 
          provider configuration class to com.ibm.ws.securit
 com.ibm.ws.security.auth.login.Configuration.  
 Trace: 2013/05/06 17:27:42.253 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl  
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0212I: WCCM JAAS configuration information 
          successfully pushed to login provider clas
 Trace: 2013/05/06 17:27:42.254 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error   
   from filename: ./bborjtr.cpp  
   at line: 932 
   error message: BBOO0222I: SECJ0212I: WCCM JAAS configuration information 
           successfully pushed to login provider class.
 Trace: 2013/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl 
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl  
   Category: INFO
   ExtendedMessage: BBOO0222I: SECJ0240I: Security service initialization 
          completed successfully  
 Trace: 2013/05/06 17:27:42.306 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error 
   from filename: ./bborjtr.cpp 
   at line: 932  
   error message: BBOO0222I: SECJ0240I: Security service initialization 
           completed successfully 
 Trace: 2013/05/06 17:27:42.952 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.objectpool.ObjectPoolService  
   SourceId: com.ibm.ws.objectpool.ObjectPoolService   
   Category: INFO
   ExtendedMessage: BBOO0222I: OBPL0007I: Object Pool Manager service 
          is disabled.  
 Trace: 2013/05/06 17:27:53.512 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.registry.UserRegistryImpl   
   SourceId: com.ibm.ws.security.registry.UserRegistryImpl    
   Category: AUDIT  
   ExtendedMessage: BBOO0222I: SECJ0136I: Custom 
          Registry:com.ibm.ws.security.registry.zOS.SAFRegistryImpl 
          has been init
 Trace: 2013/05/06 17:27:55.229 01 t=8E96E0 c=UNK key=P8 (13007002)   
   ThreadId: 0000000a  
   FunctionName: com.ibm.ws.security.role.PluggableAuthorizationTableProxy 
   SourceId: com.ibm.ws.security.role.PluggableAuthorizationTableProxy  
   Category: AUDIT 
   ExtendedMessage: BBOO0222I: SECJ0157I: Loaded Vendor 
          AuthorizationTable: com.ibm.ws.security.core.SAFAuthorizationTab
 Trace: 2013/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (13007002) 
   ThreadId: 0000000a   
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl  
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl 
   Category: INFO   
   ExtendedMessage: BBOO0222I: SECJ0243I: El servicio de seguridad se ha iniciado correctamente   
 Trace: 2013/05/06 17:27:56.481 01 t=8E96E0 c=UNK key=P8 (0000000A) 
   Description: Log Boss/390 Error   
   from filename: ./bborjtr.cpp 
   at line: 932   
   error message: BBOO0222I: SECJ0243I: El servicio de seguridad se ha iniciado correctamente  
 Trace: 2013/05/06 17:27:56.482 01 t=8E96E0 c=UNK key=P8 (13007002)  
   ThreadId: 0000000a 
   FunctionName: com.ibm.ws.security.core.distSecurityComponentImpl  
   SourceId: com.ibm.ws.security.core.distSecurityComponentImpl   
   Category: INFO 
   ExtendedMessage: BBOO0222I: SECJ0210I: Seguridad habilitada  
 Trace: 2013/05/06 17:27:56.483 01 t=8E96E0 c=UNK key=P8 (0000000A)   
   Description: Log Boss/390 Error   
   from filename: ./bborjtr.cpp 
   at line: 932  
   error message: BBOO0222I: SECJ0210I: Seguridad habilitada  
¿Hay un rastreo de pila o una excepción impresa en el archivo de registro del sistema?
Un sola pila de rastreo proporciona mucha información acerca del problema. ¿Qué código ha iniciado el código que ha fallado? ¿Cuál es el componente que ha fallado? ¿De qué clase de error procede el error? Algunas veces, el rastreo de pila es todo lo que se necesita para solucionar el problema y puede indicar la causa raíz. Otras veces, solamente puede proporcionarnos una sugerencia que podría, de hecho, confundirnos. Cuando el soporte analiza un rastreo de pila, es posible que solicite más rastreo si no queda claro cuál es el problema. Si aparentemente el problema está relacionado con la seguridad y no se puede determinar la solución a partir de la pila de rastreo o de la descripción del problema, se le solicitará que recopile la especificación de rastreo siguiente: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled de todos los procesos implicados.
¿Es un problema de seguridad distribuido o un problema de seguridad local?
  • Si el problema es local, es decir, si el código implicado no efectúa una llamada de método remota, entonces la resolución del problema quedará aislada a un solo proceso. Es importante saber cuándo un problema es local y no distribuido ya que el comportamiento del ORB (Object Request Broker), entre otros componentes, es diferente en cada caso. Cuando se invoca un método remoto, se especifica una vía de acceso de código de seguridad totalmente diferente.
  • Cuando sabe que el problema implica dos o más servidores, las técnicas de resolución de problemas son diferentes. Necesitará rastrear todos los servidores implicados simultáneamente, de modo que el rastreo muestre los extremos de cliente y servidor del problema. Asegúrese de que las indicaciones de la hora de todas las máquinas coincidan tanto como sea posible para poder encontrar el par de solicitud y respuesta de dos procesos diferentes. Habilite SAS (Secure Authentication Services) y z/SAS y el rastreo de seguridad utilizando la especificación de rastreo: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.

    Para obtener más información acerca de cómo habilitar el rastreo, consulte Trabajo con el rastreo.

    Para obtener más información acerca de cómo habilitar el rastreo, consulte Trabajo con el rastreo.

¿Está relacionado el problema con la autenticación o con la autorización?
La mayor parte de los problemas entran dentro de una de estas dos categoría. La autenticación es el proceso de determinar quién efectúa la llamada. La autorización es el proceso de validar que quien efectúa la llamada tiene la autorización correcta para invocar el método solicitado. Cuando se produce un error de autenticación, generalmente este error está relacionado con el protocolo de autenticación, el mecanismo de autenticación o el registro de usuarios. Cuando se produce un error de autorización, generalmente está relacionado con los enlaces de la aplicación desde su ensamblaje o despliegue y con la identidad del que efectúa la llamada quien está accediendo al método y a los roles que necesita el método.
¿Se trata de una solicitud web o EJB?

Las solicitudes Web tienen una vía de acceso de código diferente que las solicitudes EJB (Enterprise JavaBeans). Las características de seguridad para las solicitudes web son diferentes de las de las solicitudes EJB y para su solución se requieren conocimientos diferentes. Por ejemplo, cuando se utiliza el mecanismo de autenticación LTPA (Lightweight Third-Party Authentication), la característica de inicio de sesión único (SSO) está disponible para las solicitudes web pero no para las solicitudes EJB. Las solicitudes Web requieren información de cabecera HTTP que las solicitudes EJB no requieren debido a las diferencias de protocolo. Asimismo, el contenedor web o motor de servlets está implicado en todo el proceso. Cualquiera de estos componentes puede estar involucrado en el problema y todos deben tenerse en cuenta durante la resolución de problemas, según el tipo de solicitud y el lugar donde se produce el error.

[AIX Solaris HP-UX Linux Windows][IBM i]Las solicitudes EJB seguras requieren una participación importante del componente ORB y el componente de denominación ya que éstos fluyen a través del protocolo RMI/IIOP. Además, cuando está habilitada la gestión de flujo de trabajo (WLM), se pueden observar otros cambios de comportamiento en el código. Todos estos componentes participan conjunta y activamente para que la seguridad funcione correctamente en este entorno. Hay veces que puede ser necesario realizar un rastreo en cualquiera o en todos estos componentes para la resolución de problemas de este tipo.

[AIX Solaris HP-UX Linux Windows][IBM i]La especificación de rastreo por la que se ha de comenzar es SASRas=all=enabled:com.ibm.ws.security.*=all=enabled. El rastreo ORB también resulta muy beneficioso cuando el rastreo de SAS/Seguridad no indica cuál es el problema.

[z/OS]Las solicitudes EJB seguras se pasan del controlador al servant. El controlador ignora la mayoría de solicitudes Web. Como resultado, las solicitudes EJB son primero procesadas y autenticadas por las capas de seguridad de zSAS o CSIv2 (Common Security Interoperability Version 2). El servant es el que realiza la autorización. Si se produce un error de autenticación, el nivel de tipo zSAS de rastreo se debe activar para diagnosticar el problema. Otros problemas se pueden diagnosticar utilizando el Recurso de rastreo de componentes de WebSphere Application Server (CTRACE).

¿Parece estar relacionado el problema con la capa de sockets seguros (SSL)?

SSL es una capa de seguridad totalmente diferente e independiente. La resolución de problemas de SSL generalmente es diferente de la resolución de problemas de autenticación y autorización y tiene muchos cuestiones que considerar. Generalmente, los problemas de SSL son problemas de la configuración inicial ya que el proceso de configuración puede resultar difícil. Cada cliente debe contener el certificado de firmante del servidor. Durante la autenticación real, cada servidor debe contener el certificado del firmante del cliente. Asimismo, puede haber diferencias de protocolo, por ejemplo, entre SSLv3 o TLS (Transport Layer Security) y problemas en el puerto de escucha relacionados con IOR (Interoperable Object Reference) caducadas, esto es, con IOR procedentes de un servidor que refleja el número de puerto anterior al reinicio del servidor.

[z/OS]En z/OS, se utilizan dos variaciones de SSL. Para determinar la causa de un problema de SSL en z/OS, necesitará saber qué protocolo está utilizando.
  • Los protocolos IIOP (Internet Inter-ORB Protocol) y HTTPS utilizan SSL del sistema.
  • JSSE (Java Secure Socket Extension) lo utilizan todos los demás protocolos, por ejemplo, SOAP.
  • Las solicitudes de System SSL se manejan en el controlador y son las que utiliza la seguridad de z/SAS y CSIv2.
  • SJSSE es la que utiliza predominantemente el servant, pero hay casos en los que también la utiliza el controlador.
Para los problemas de SSL, a menudo se recibe una solicitud de rastreo de SSL para determinar lo que ocurre en el protocolo de enlace SSL. El protocolo de enlace SSL es el proceso que se lleva a cabo cuando un cliente abre un socket para un servidor. Si algo va mal durante el intercambio de claves, el intercambio de cifrado, etc., el protocolo de enlace no se ejecutará correctamente y, el socket no será válido. El rastreo de JSSE (la implementación SSL que se utiliza en WebSphere Application Server) requiere los pasos siguientes:
  • Establezca la propiedad del sistema siguiente en los procesos cliente y servidor: -Djavax.net.debug=true. Para el servidor, añada la propiedad del sistema Argumentos genéricos de JVM a la página de valores de la JVM (Java Virtual Machine).
  • [AIX Solaris HP-UX Linux Windows][IBM i]Active también el rastreo de ORB.
  • Vuelva a crear el problema.
    [AIX Solaris HP-UX Linux Windows][IBM i]El archivo SystemOut.log de ambos procesos debe contener el rastreo de JSSE. Encontrará un rastreo similar al siguiente ejemplo:
    SSLConnection: install <com.ibm.sslite.e@3ae78375> 
    >> handleHandshakeV2 <com.ibm.sslite.e@3ae78375> 
    >> handshakeV2 type = 1 
    >> clientHello: SSLv2. 
    SSL client version: 3.0 
    ... 
    ... 
    ... 
    JSSEContext: handleSession[Socket[addr=null,port=0,localport=0]] 
    
    << sendServerHello.
    SSL version: 3.0 
    SSL_RSA_WITH_RC4_128_MD5 
    HelloRandom 
    ... 
    ... 
    ... 
    << sendCertificate. 
    << sendServerHelloDone. 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleHandshake <com.ibm.sslite.e@3ae78375> 
    >> handshakeV3 type = 16 
    
    >> clientKeyExchange. 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleChangeCipherSpec <com.ibm.sslite.e@3ae78375> 
    >> handleData <com.ibm.sslite.e@3ae78375> 
    >> handleHandshake <com.ibm.sslite.e@3ae78375> 
    >> handshakeV3 type = 20 
    >> finished. 
    << sendChangeCipherSpec. 
    << sendFinished. 
    [z/OS]El conjunto de datos SYSOUT de la tarea iniciada de la región debe contener el rastreo JSSE. Utilizando SDSF, este rastreo será parecido al siguiente:
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2139,localport=8878]]
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2140,localport=8878]]
     TrustManagerFactoryImpl: trustStore is :
     /WebSphere/V8R50M0/AppServer/etc/DummyServerTrustFile.jks
     TrustManagerFactoryImpl: trustStore type is : JKS
     TrustManagerFactoryImpl: init truststore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2142,localport=8878]]
     KeyManagerFactoryImpl: keyStore is : 
    /WebSphere/V8R5M0/AppServer/etc/DummyServerKeyFile.jks
     KeyManagerFactoryImpl: keyStore type is : JKS
     KeyManagerFactoryImpl: init keystore
     KeyManagerFactoryImpl: init keystore
     JSSEContext: handleConnection[Socket
    [addr=boss0106.plex1.l2.ibm.com/9.38.48.108,port=2143,localport=8878]]
     JSSEContext: handleSession[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,localport=2145]]
     JSSEContext:  confirmPeerCertificate
    [Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/9.38.48.108,port=8879,
      localport=2145]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     10094996692239509074796828756118539107568369566313889955538950668
    6622953008589748001058216362638201577071902071311277365773252660799
     128781182947273802312699983556527878615792292244995317112436562491
    489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2014]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1009499669223950907479682875611853910756836956631388995553895066866
    22953008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2144,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2145]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2146]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2147]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2148]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2149]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2150]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2151]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2152]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2153]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2154]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2155]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2156]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2157]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2158]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2159]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2160]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2161]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2162]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2163]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2164]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2165]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2166]]
     
     JSSEContext: handleSession[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext:  confirmPeerCertificate[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS z/OS Deployment Manager, O=IBM
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     12840948267119651469312486548020957441946413494498370439558603901582589
    8755033448419534105183133064366466828741516428176579440511007
     6258795528749232737808897160958348495006972731464152299032614592135114
    19361539962555997136085140591098259345625853617389396340664766
     649957749527841107121590352429348634287031501
     public exponent:
     65537
    0  Validity: [From: Fri Jun 25 05:00:00 GMT 2013,
                    To: Mon Jun 26 04:59:59 GMT 2015]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [    02]
    0Certificate Extensions: 3
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 05 6A CD 7F AE AF 89 78   99 A8 F1 5B 64 8B 9F AF  .j.....x...[d...
     0010: 73 1B 58 65                                        s.Xe
     ]
     ]
    0[3]: ObjectId: 2.5.29.35 Criticality=false
     AuthorityKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
    0]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 73 0D FC E1 8A B3 42 E1   04 73 72 B1 C6 C9 87 54  s.....B..sr....T
     0010: 87 57 02 FA 41 32 D8 B0   39 09 86 CB 6B 03 B6 F9  .W..A2..9...k...
     0020: 62 8D 95 36 56 0E D4 D2   F7 7A 8D 4B FB 0B FD 91  b..6V....z.K....
     0030: 89 A8 08 41 30 E2 27 DC   15 5F 2C F4 CD 2F 6B 8E  ...A0.'.._,../k.
     0040: 21 2A 88 53 46 27 68 9B   55 14 38 8E 1F 50 95 BC  !*.SF'h.U.8..P..
     0050: A8 46 F6 68 97 9E 7B 65   9E E8 A7 34 B2 C8 63 CF  .F.h...e...4..c.
     0060: 73 C8 4E 25 0A EF C5 8F   04 A4 EB 8C CC 33 84 26  s.N%.........3.&
     0070: 5D FD 7C AD 7B 02 13 5A   86 A1 89 93 1E A4 93 63  ]......Z.......c
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=WAS CertAuth, C=US
       Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     1167408593733331602218385578183389496484587418638676352829560040529918
    40558681208199977833401609895748222369066230329785148883251144
     2382911186804921983976695395381692334250582278359056431484427844566504
    41491799952592864895242987037929408453455627552772317382077015
     828713585220212502839546496071839496308430393
     public exponent:
     65537
    0  Validity: [From: Fri Jun 25 05:00:00 GMT 2013,
                    To: Sat Jun 24 04:59:59 GMT 2015]
       Issuer: CN=WAS CertAuth, C=US
       SerialNumber: [  0  ]
    0Certificate Extensions: 4
     [1]: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
     Extension unknown: DER encoded OCTET string =
     0000: 04 3C 13 3A 47 65 6E 65   72 61 74 65 64 20 62 79  .<.:Generated by
     0010: 20 74 68 65 20 53 65 63   75 72 65 57 61 79 20 53   the SecureWay S
     0020: 65 63 75 72 69 74 79 20   53 65 72 76 65 72 20 66  ecurity Server f
     0030: 6F 72 20 7A 2F 4F 53 20   28 52 41 43 46 29        or z/OS (RACF)
    -[2]: ObjectId: 2.5.29.14 Criticality=false
     SubjectKeyIdentifier [
     KeyIdentifier [
     0000: 7E D1 7B 17 74 D3 AD D1   7D D8 F8 33 85 19 04 F8  ....t......3....
     0010: 36 51 57 16                                        6QW.
     ]
     ]
    0[3]: ObjectId: 2.5.29.15 Criticality=true
     KeyUsage [
       Key_CertSign
       Crl_Sign
     ]
    0[4]: ObjectId: 2.5.29.19 Criticality=true
     BasicConstraints:[
     CA:true
     PathLen:2147483647
     ]
    0]
       Algorithm: [SHA1withRSA]
       Signature:
     0000: 43 88 AB 19 5D 00 54 57   5E 96 FA 85 CE 88 4A BF  C...].TW^.....J.
     0010: 6E CB 89 4C 56 BE EF E6   8D 2D 74 B5 83 1A EF 9C  n..LV....-t.....
     0020: B3 82 F2 16 84 FA 5C 50   53 2A B4 FD EB 27 98 5D  ......\PS*...'.]
     0030: 43 48 D3 74 85 21 D1 E1   F2 63 9E FB 58 2A F3 6A  CH.t.!...c..X*.j
     0040: 44 D2 F5 7D B2 55 B9 5E   32 11 78 B6 34 8E 4B 1D  D....U.^2.x.4.K.
     0050: F3 82 1D C1 5F 7B 3F AD   C9 29 FA FF D1 D1 13 2C  ...._.?..).....,
     0060: 57 F7 7B 51 02 99 6F ED   54 E1 51 34 B8 51 BE 97  W..Q..o.T.Q4.Q..
     0070: 30 AC 4F 89 AB AA 8A B2   E1 40 89 2E 18 C7 0E 15  0.O......@......
    0]
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=9443,localport=2167]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2168]]
     
     JSSEContext: handleConnection[Socket[addr=boss0106.plex1.l2.ibm.com
    /9.38.48.108,port=2235,localport=8878]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8879,localport=2236]]
     JSSEContext: handleSession[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     JSSEContext:  confirmPeerCertificate[Socket
    [addr=BOSSXXXX.PLEX1.L2.IBM.COM
    /9.38.48.108,port=8880,localport=2238]]
     X509TrustManagerImpl: checkServerTrusted
     X509TrustManagerImpl: Certificate [
    
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506686622953
    008589748001058216362638201577071902071311277365773252660799
     1287811829472738023126999835565278786157922922449953171124365624914
    89904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     X509TrustManagerImpl: Certificate [
     [
       Version: V3
       Subject: CN=jserver, OU=SWG, O=IBM, C=US
       Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
    0  Key:  IBMJCE RSA Public Key:
     modulus:
     100949966922395090747968287561185391075683695663138899555389506
    686622953008589748001058216362638201577071902071311277365773252660799
     12878118294727380231269998355652787861579229224499531711243656249
    1489904381884265119355037731265408654007388863303101746314438337601
     264540735679944205391693242921331551342247891
     public exponent:
     65537
    0  Validity: [From: Fri Jun 21 20:08:18 GMT 2013,
                    To: Thu Mar 17 20:08:18 GMT 2015]
       Issuer: CN=jserver, OU=SWG, O=IBM, C=US
       SerialNumber: [    3d1387b2 ]
    0]
       Algorithm: [MD5withRSA]
       Signature:
     0000: 54 DC B5 FA 64 C9 CD FE   B3 EF 15 22 3D D0 20 31  T...d......"=. 1
     0010: 99 F7 A7 86 F9 4C 82 9F   6E 4B 7B 47 18 2E C6 25  .....L..nK.G...%
     0020: 5B B2 9B 78 D8 76 5C 82   07 95 DD B8 44 62 02 62  [..x.v\.....Db.b
     0030: 60 2A 0A 6D 4F B9 0A 98   14 27 E9 BB 1A 84 8A D1  `*.mO....'......
     0040: C2 22 AF 70 9E A5 DF A2   FD 57 37 CE 3A 63 1B EB  .".p.....W7.:c..
     0050: E8 91 98 9D 7B 21 4A B5   2C 94 FC A9 30 C2 74 72  .....!J.,...0.tr
     0060: 95 01 54 B1 29 E7 F8 9E   6D F3 B5 D7 B7 D2 9E 9B  ..T.)...m.......
     0070: 85 D8 E4 CF C2 D5 3B 64   F0 07 17 9E 1E B9 2F 79  ......;d....../y
    0]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2238]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2239]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2240]]
     JSSEContext: handleConnection[Socket[addr=BOSSXXXX.PLEX1.L2.IBM.COM/
    9.38.48.108,port=8880,localport=2241]]

Seguridad de rastreo

Las clases que implementa la seguridad de WebSphere Application Server son:
  • com.ibm.ws.security.*
  • com.ibm.websphere.security.*
  • com.ibm.WebSphereSecurityImpl.*
  • [AIX Solaris HP-UX Linux Windows][IBM i]SASRas
  • com.ibm.ws.wim.* para el rastreo en un repositorio VMM (Virtual Member Manager)
[AIX Solaris HP-UX Linux Windows][IBM i]Para obtener información detallada acerca del comportamiento de la seguridad, habilite el rastreo en los componentes siguientes y revise la salida:
  • com.ibm.ws.security.*=all=enabled:com.ibm.WebSphereSecurityImpl.*= all=enabled:com.ibm.websphere.security.*=all=enabled. Esta sentencia de rastreo recopila el rastreo del tiempo de ejecución de la seguridad.
  • com.ibm.ws.console.security.*=all=enabled. Esta sentencia de rastreo recopila el rastreo de la consola administrativa del Centro de seguridad.
  • SASRas=all=enabled. Esta sentencia de rastreo recopila el rastreo para SAS (la lógica de autenticación de bajo nivel).
  • com.ibm.ws.wim.*=all=enabled:com.ibm.websphere.wim.*=all=enabled. Esta sentencia de rastreo recoge el rastreo de la VMM.
[AIX Solaris HP-UX Linux Windows]Ajuste de los rastreos de SAS:
[AIX Solaris HP-UX Linux Windows]Si es necesario rastrear un subconjunto de clases para el componente SAS/CSIv2, se puede especificar una propiedad del sistema con los nombres de clases separados por comas: com.ibm.CORBA.securityTraceFilter=SecurityConnectionInterceptorImpl, VaultImpl, ...
Ajuste de los rastreos de seguridad:
Si se ha de rastrear un subconjunto de paquetes, especifique una especificación de rastreo más detallada que com.ibm.ws.security.*=all=enabled. Por ejemplo, para rastrear simplemente el código de política dinámico, puede especificar com.ibm.ws.security.policy.*=all=enabled. Para inhabilitar el rastreo de políticas dinámico, puede especificar com.ibm.ws.security.policy.*=all=disabled.
[z/OS]Configuración de los valores de rastreo de CSIv2 o z/SAS
[z/OS]Hay situaciones en las que revisar el rastreo para los protocolos de autenticación CSIv2 o z/SAS puede ayudar en la resolución de problemas difíciles. En esta sección se describe cómo habilitar el rastreo de CSIv2 y z/SAS. [z/OS]
Habilitación del rastreo de CSIv2 y z/SAS en el cliente
Para habilitar el rastreo de CSIv2 y z/SAS en un cliente puro, es necesario llevar a cabo los pasos siguientes:
  • Edite el archivo TraceSettings.properties en el directorio /WebSphere/AppServer/properties.
  • En este archivo, cambie traceFileName= para que señale a la vía de acceso donde desea incluir el archivo de salida. Asegúrese de indicar una doble barra inclinada invertida (\\) entre cada subdirectorio. Por ejemplo, traceFileName=c:\\WebSphere\\AppServer\\logs\\sas_client.log
  • En este archivo, añada la serie de especificación de rastreo: SASRas=all=enabled. Se pueden añadir series adicionales de rastreo en otras líneas.
  • Señale a este archivo desde dentro de la aplicación cliente. En la línea de mandatos Java donde inicia el cliente, añada la propiedad del sistema siguiente: -DtraceSettingsFile=TraceSettings.properties.
    Nota: no incluya la vía de acceso completa para el archivo TraceSettings.properties. Asegúrese de que el archivo TraceSettings.properties se encuentra en la classpath.
[z/OS]Habilitación del rastreo de CSIv2 y z/SAS en el servidor
[z/OS]Para habilitar el rastreo de z/SAS en un servidor de aplicaciones, siga las instrucciones que se indican a continuación:
  • Añada la especificación de rastreo, SASRas=all=enabled, al archivo server.xml o añádalo a los valores de rastreo dentro de la consola administrativa.
  • Suele ser mejor rastrear también el tiempo de ejecución de la seguridad de autorización además del tiempo de ejecución del protocolo de autenticación. Para hacerlo, utilice las dos especificaciones de rastreo siguientes combinadas: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.
  • Al realizar la resolución de un problema de tipo de conexión, es útil rastrear tanto CSIv2 y SAS o CSIv2 y z/SAS como el ORB. Para hacerlo, utilice las tres especificaciones de rastreo siguientes: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled:ORBRas=all=enabled.
  • Además de añadir estas especificaciones de rastreo, también es necesario establecer un par de propiedades del sistema para el rastreo de ORB. Para establecer estas propiedades, pulse Servidores > Tipos de servidor > Servidores de aplicaciones WebSphere > nombre_servidor > Servicios del contenedor > Servicio ORB. Seleccione la opción Rastreo de ORB. Esta opción establece dos propiedades que en releases anteriores era necesario establecer manualmente. Para obtener más información, consulte el tema sobre los valores de servicio del intermediario de solicitudes de objetos (ORB).
[AIX Solaris HP-UX Linux Windows][IBM i]Configuración de los valores de rastreo de CSIv2 o SAS
[AIX Solaris HP-UX Linux Windows][IBM i]Hay situaciones en las que revisar el rastreo para los protocolos de autenticación CSIv2 o SAS puede ayudar en la resolución de problemas difíciles. En esta sección se describe cómo habilitar el rastreo de CSIv2 y SAS.
[AIX Solaris HP-UX Linux Windows]Habilitación del rastreo de CSIv2 y SAS en el cliente
[AIX Solaris HP-UX Linux Windows]Para habilitar el rastreo de CSIv2 y SAS en un cliente puro, es necesario llevar a cabo los pasos siguientes:
  • Edite el archivo TraceSettings.properties en el directorio /WebSphere/AppServer/properties.
  • En este archivo, cambie traceFileName= para que señale a la vía de acceso donde desea incluir el archivo de salida. Asegúrese de indicar una doble barra inclinada invertida (\\) entre cada subdirectorio. Por ejemplo, traceFileName=c:\\WebSphere\\AppServer\\logs\\sas_client.log
  • En este archivo, añada la serie de especificación de rastreo: SASRas=all=enabled. Se pueden añadir series adicionales de rastreo en otras líneas.
  • Señale a este archivo desde dentro de la aplicación cliente. En la línea de mandatos Java donde inicia el cliente, añada la propiedad del sistema siguiente: -DtraceSettingsFile=TraceSettings.properties.
    Nota: no incluya la vía de acceso completa para el archivo TraceSettings.properties. Asegúrese de que el archivo TraceSettings.properties se encuentra en la classpath.
[IBM i]Habilitación del rastreo de CSIv2 y SAS en el cliente
[IBM i]Para habilitar el rastreo de CSIv2 y SAS en un cliente puro, es necesario llevar a cabo los pasos siguientes:
  • Edite el archivo TraceSettings.properties en el directorio /WebSphere/AppServer/properties. Por ejemplo, editeraíz_perfil/properties/TraceSettings.properties.
  • En este archivo, cambie traceFileName= para que señale a la vía de acceso donde desea crear el archivo de salida. Por ejemplo, traceFileName=raíz_perfil/logs/sas_client.
  • En este archivo, añada la serie de especificación de rastreo: SASRas=all=enabled. Se pueden añadir series adicionales de rastreo en otras líneas.
  • Señale a este archivo desde dentro de la aplicación cliente. En la línea de mandatos Java donde inicia el cliente, añada la propiedad del sistema siguiente: -DtraceSettingsFile=TraceSettings.properties.
    Nota: no incluya la vía de acceso completa para el archivo TraceSettings.properties. Asegúrese de que el archivo TraceSettings.properties se encuentra en la classpath.
Habilitación del rastreo de CSIv2 y SAS en el servidor
Para habilitar el rastreo de SAS en un servidor de aplicaciones, siga las instrucciones que se indican a continuación:
  • Añada la especificación de rastreo, SASRas=all=enabled, al archivo server.xml o añádalo a los valores de rastreo dentro de la GUI de la consola Web.
  • Suele ser mejor rastrear también el tiempo de ejecución de la seguridad de autorización además del tiempo de ejecución del protocolo de autenticación. Para hacerlo, utilice las dos especificaciones de rastreo siguientes combinadas: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled.
  • Al realizar la resolución de un problema de tipo de conexión, es útil rastrear tanto CSIv2 y SAS o CSIv2 y z/SAS como el ORB. Para hacerlo, utilice las tres especificaciones de rastreo siguientes: SASRas=all=enabled:com.ibm.ws.security.*=all=enabled:ORBRas=all=enabled.
  • Además de añadir estas especificaciones de rastreo, también es necesario establecer un par de propiedades del sistema para el rastreo de ORB. Vaya a los valores de ORB en la GUI y añada las dos propiedades siguientes: com.ibm.CORBA.Debug=true y com.ibm.CORBA.CommTrace=true.
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

Códigos menores CORBA de CSIv2

Cuando se producen excepciones en el código de seguridad del cliente o del servidor, la excepción final se convierte en una excepción CORBA (Common Object Request Broker Architecture). Cualquier excepción que se genere quedará "envuelta" por una excepción CORBA ya que la arquitectura CORBA la utiliza el servicio de seguridad para sus propias comunicaciones entre procesos. Las excepciones CORBA son genéricas e indican la existencia de un problema en la comunicación entre dos componentes. Los códigos menores CORBA son más específicos e indican la razón subyacente por la que un componente no puede completar una solicitud.

A continuación, se muestran los códigos menores CORBA que puede recibir un cliente después de ejecutar una solicitud relacionada con la seguridad como, por ejemplo, la autenticación. También se incluye el tipo de excepción CORBA en el que aparece el código menor.

La siguiente excepción muestra un ejemplo de una excepción CORBA en la que el código menor es 49424300 e indica un error de autenticación. Generalmente, en la excepción también se incluye un mensaje descriptivo para ayudarle a solucionar el problema. En este caso, el mensaje detallado es: "Exception caught invoking authenticateBasicAuthData from SecurityServer for user jdoe. Reason: com.ibm.WebSphereSecurity.AuthenticationFailedException" lo que indica que la autenticación ha fallado para el usuario jdoe.

El campo completado de la excepción indica si se ha completado o no el método. En el caso de NO_PERMISSION, no invoque nunca el mensaje, por lo tanto, siempre será completed:No. Otras excepciones que se captan en el extremo del servidor pueden tener un estado de completado de "Maybe" o "Yes".

org.omg.CORBA.NO_PERMISSION: Caught WSSecurityContextException in 
WSSecurityContext.acceptSecContext(), 
reason: Major Code[0] Minor Code[0] Message[Exception caught invoking 
authenticateBasicAuthData from SecurityServer for user jdoe.  Razón: 
com.ibm.WebSphereSecurity.AuthenticationFailedException]  minor code: 49424300 
completed: No 

at com.ibm.ISecurityLocalObjectBaseL13Impl.PrincipalAuthFailReason.
map_auth_fail_to_minor_code(PrincipalAuthFailReason.java:83) 
        at com.ibm.ISecurityLocalObjectBaseL13Impl.CSIServerRI.receive_request
               (CSIServerRI.java:1569) 
        at com.ibm.rmi.pi.InterceptorManager.iterateReceiveRequest
              (InterceptorManager.java:739) 
        at com.ibm.CORBA.iiop.ServerDelegate.dispatch(ServerDelegate.java:398) 
        at com.ibm.rmi.iiop.ORB.process(ORB.java:313) 
        at com.ibm.CORBA.iiop.ORB.process(ORB.java:1581) 
        at com.ibm.rmi.iiop.GIOPConnection.doWork(GIOPConnection.java:1827) 
        at com.ibm.rmi.iiop.WorkUnitImpl.doWork(WorkUnitImpl.java:81) 
        at com.ibm.ejs.oa.pool.PooledThread.run(ThreadPool.java:91) 
        at com.ibm.ws.util.CachedThread.run(ThreadPool.java:149) 
Tabla 1. Códigos menores CORBA después de ejecutar una solicitud relacionada con la seguridad, como la autenticación. A continuación, se muestran los códigos menores CORBA que puede recibir un cliente después de ejecutar una solicitud relacionada con la seguridad como, por ejemplo, la autenticación. El cliente puede ser un cliente autónomo o bien un servidor que actúa como cliente. También se incluye el tipo de excepción CORBA en el que puede aparecer el código menor.
Nombre de código menor Valor de código menor (en hexadecimales) Tipo de excepción (todo en el paquete de org.omg.CORBA .*) Descripción del código menor Reintento realizado por el cliente autónomo (cuando authenticationRetryEnabled = true) Reintento realizado por un servidor que actúa como cliente (cuando authenticationRetryEnabled = true)
AuthenticationFailed 49424300 NO_PERMISSION Este código es un error genérico que indica que la autenticación ha fallado. No proporciona ningún detalle en cuanto si el ID de usuario o la contraseña son válidos. Algunos registros de usuario pueden optar por utilizar este tipo de código de error, otros pueden optar por utilizar los tres tipos siguientes que son más específicos.
InterceptLocateException 494210B8 INTERNAL Indica un problema al procesar una solicitud de localización de entrada. No No
InvalidUserid 49424301 NO_PERMISSION Este código se produce cuando el registro devuelve una contraseña errónea. No
InvalidPassword 49424302 NO_PERMISSION Este código se produce cuando el registro devuelve una contraseña errónea. No
InvalidSecurityCredentials 49424303 NO_PERMISSION Se trata de un error genérico que indica que las credenciales son erróneas por algún motivo. Es posible que no se hayan establecido los atributos correctos. Sí, si el cliente tiene la credencial BasicAuth (en primer lugar se ha rechazado la credencial basada en señales).
InvalidRealm 49424304 NO_PERMISSION Este código se produce cuando REALM en la señal recibida desde el cliente no coincide con el valor de REALM actual del servidor. No No
ValidationFailed 49424305 NO_PERMISSION Se produce un error de validación cuando se envía una señal desde el cliente o servidor a un servidor de destino pero el formato de la señal o la caducidad no son válidos. Sí, si el cliente tiene la credencial BasicAuth (en primer lugar se ha rechazado la credencial basada en señales).
CredentialTokenExpired 49424306 NO_PERMISSION Este código es más específico en cuanto al motivo por el que ha fallado la validación. En este caso, la señal tiene una duración absoluta y esta duración ha caducado. Por lo tanto, ya no es una señal válida y no se puede utilizar. Sí, si el cliente tiene la credencial BasicAuth (en primer lugar se ha rechazado la credencial basada en señales).
InvalidCredentialToken 49424307 NO_PERMISSION Es más específico en cuanto al motivo por el que ha fallado la validación. En este caso, la señal no se puede descifrar o los datos que incluye la señal no se pueden leer. Sí, si el cliente tiene la credencial BasicAuth (en primer lugar se ha rechazado la credencial basada en señales). No
SessionDoesNotExist 49424308 NO_PERMISSION Indica que la sesión CSIv2 no existe en el servidor. Generalmente, se produce un reintento automáticamente que creará correctamente una sesión nueva.
SessionConflictingEvidence 49424309 NO_PERMISSION Indica que ya existe una sesión en el servidor que coincide con el context_id enviado a través del cliente. Sin embargo, la información proporcionada por el cliente para este mensaje EstablishContext es diferente de la información que se ha proporcionado originalmente para establecer la sesión.
SessionRejected 4942430A NO_PERMISSION Indica que el servidor ha rechazado previamente la sesión a la que hace referencia el cliente.
SecurityServerNotAvailable 4942430B NO_PERMISSION Este error se produce cuando el servidor no puede contactar con el servidor de seguridad local o remoto para poder autenticar o validar. No No
InvalidIdentityToken 4942430C NO_PERMISSION Este error indica que no se puede obtener la identidad a partir de la señal de identidad cuando está habilitada la aserción de identidad. No No
IdentityServerNotTrusted 4942430D NO_PERMISSION Esto indica que el ID del servidor emisor no está en la lista de principales de confianza del servidor de destino.

[z/OS]Verifique que el ID de servidor del servidor emisor puede utilizarse para el perfil CBIND.

No No
InvalidMessage 4942430E NO_PERMISSION Indica que el formato del mensaje CSIv2 no es válido para el servidor receptor. No No
MappingFailed 4942430F NO_PERMISSION Indica que se ha producido un error al correlacionar un sujeto de entrada utilizando la configuración de inicio de sesión del sistema de solicitud entrante de RMI. No No
RevokedSecurityName 49424310 NO_PERMISSION Indica que se ha revocado el ID de usuario. No
ExpiredPassword 49424311 NO_PERMISSION Indica que la contraseña ha caducado. No
AuthenticationNotSupported 49421090 NO_PERMISSION Este error se produce cuando un mecanismo no soporta la autenticación (lo cual es muy raro). No No
InvalidSecurityMechanism 49421091 NO_PERMISSION Se utiliza para indicar que se desconoce el mecanismo de seguridad especificado. No No
CredentialNotAvailable 49421092 NO_PERMISSION Indica que no hay una credencial disponible cuando se necesita. No No
SecurityMechanismNotSupported 49421093 NO_PERMISSION Este error se produce cuando no se implementa en el servidor un mecanismo de seguridad especificado en la señal CSIv2. No No
ValidationNotSupported 49421094 NO_PERMISSION Este error se produce cuando un mecanismo no soporta la validación ,por ejemplo, LocalOS. Este error no debe producirse ya que la credencial LocalOS no es una credencial reenviable, por lo tanto, nunca debe invocarse la validación en esta credencial. No No
CredentialTokenNotSet 49421095 NO_PERMISSION Se utiliza para indicar que la señal incluida en la credencial es nula. No No
InvalidEvidence 49421096 NO_PERMISSION Este error indica que se necesita la autenticación de cliente en el servidor. Sin embargo, la información de autenticación no está presente en la solicitud de método del cliente. No No
UserRegistryMethod_Protected 49421098 NO_PERMISSION Este error indica que se ha intentado acceder de forma remota a un método de UserRegistry protegida. No No
ServerConnectionFailed 494210A0 COMM_FAILURE Este error se utiliza cuando un intento de conexión no se ejecuta correctamente. Sí (mediante el registro ORB) Sí (mediante el registro ORB)
CorbaSystemException 494210B0 INTERNAL Este código es una excepción genérica específica de CORBA en el código del sistema. No No
JavaException 494210B1 INTERNAL Este es un error genérico que indica que se ha producido una excepción Java imprevista. No No
ValueIsNull 494210B2 INTERNAL Este código se utiliza para indicar que un valor o parámetro que se ha pasado es nulo. No No
EffectivePolicyNotPresent 494210B3 INTERNAL Indica que un objeto de política en vigor para CSIv2 no está presente. Este objeto se utiliza para determinar las características de configuración de seguridad que se han configurado. No No
NullPointerException 494210B4 INTERNAL Este código se utiliza para indicar que se ha captado una NullPointerException durante la ejecución. No No
ErrorGettingClassInstance 494210B5 INTERNAL Indica un problema durante la carga dinámica de una clase. No No
MalFormedParameters 494210B6 INTERNAL Esto indica que los parámetros no son válidos. No No
DuplicateSecurityAttributeType 494210B7 INTERNAL Indica que se ha especificado un atributo de credencial duplicado durante la operación de set_attributes. No No
MethodNotImplemented 494210C0 NO_IMPLEMENT Indica que no se ha implementado un método invocado. No No
GSSFormatError 494210C5 BAD_PARAM Este código indica que la rutina de codificación o decodificación de GSS (Generic Security Services) ha creado una excepción. No No
TagComponentFormatError 494210C6 BAD_PARAM Esto indica que no puede leerse correctamente un componente de código. No No
InvalidSecurityAttributeType 494210C7 BAD_PARAM Este código indica que un tipo de atributo especificado durante la operación set_attributes es de un tipo no válido. No No
SecurityConfigError 494210CA INITIALIZE Este código indica que existe un problema entre la configuración del cliente y la del servidor. No No

Para información actual disponible del soporte de IBM sobre problemas conocidos y su resolución, consulte la página IBM Support.

El soporte de IBM tiene documentos que pueden ahorrarle tiempo a la hora de recopilar la información necesaria para resolver este problema. Antes de abrir un PMR, consulte la página IBM Support.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_securitycomp
File name: rtrb_securitycomp.html