Sugerencias para la resolución de problemas del proveedor de autorizaciones de seguridad
En este artículo se describen los problemas con los que puede encontrarse si utiliza un proveedor de autorización JACC (Java™ Authorization Contract for Containers). Tivoli Access Manager se empaqueta con WebSphere Application Server como un proveedor de autorización. No obstante, también puede conectar su propio proveedor de autorización.
Tivoli Access Manager como proveedor de autorizaciones JACC (Java Authorization Contract for Containers).
- Puede producirse un error de la configuración JACC.
- El servidor no puede iniciarse después de la configuración JACC.
- Es posible que la aplicación no se despliegue correctamente.
- Puede producirse un error del mandato startServer después de configurar Tivoli Access Manager o de que una instalación limpia no se haya producido después de desconfigurar JACC.
- HPDIA0202w Se ha presentado un nombre de usuario desconocido a Access Manager; es posible que se produzca un error.
- HPDAC0778E La cuenta de usuario especificada no está establecida correctamente; puede producirse un error.
- WASX7017E: Se ha recibido una excepción mientras se ejecuta el archivo InsuranceServicesSingle.jacl; puede producirse un error.
- Excepciones de acceso denegado a las aplicaciones cuando se utiliza JACC
- Puede aparecer un mensaje "HPDBA0219E: Se ha producido un error al leer los datos de una conexión SSL
Puede producirse un error de tipo no hay puertos disponibles en el puerto
Proveedores externos para el proveedor de autorizaciones JACC (Java Authorization Contract for Containers)
Puede producirse un error de la configuración JACC
Si tiene problemas al configurar JACC, consulte los elementos siguientes:
- Asegúrese de que los parámetros sean correctos. Por ejemplo, no desea que aparezca un número después de nombrehost_servidor_políticas_TAM:7135, pero desea que aparezca uno después de nombrehost_servidor_autorización_TAM:7136 (por ejemplo, nombrehost_servidor_autorización_TAM:7136:1).
- Si aparece un mensaje "no se ha podido contactar con el servidor", es posible que los nombres de host o los números de puerto de los servidores de Tivoli Access Manager no sean correctos o que los servidores de Tivoli Access Manager no se hayan iniciado.
- Asegúrese de que la contraseña para el usuario sec_master sea correcta.
- Compruebe el archivo SystemOut.log y busque la serie AMAS para ver si hay algún mensaje de error.
El servidor no puede iniciarse después de la configuración JACC
Si el servidor no se inicia después de la configuración de JACC, compruebe los elementos siguientes:
- Asegúrese de que WebSphere Application Server y Tivoli Access Manager utilizan el mismo servidor LDAP (Lightweight Directory Access Protocol).
- Si aparece el mensaje "Se ha
producido un error de autenticación de Policy Director", asegúrese de lo
siguiente:
- El ID de servidor LDAP de WebSphere Application Server LDAP es el mismo que el "usuario administrador" del panel de configuración de JACC de Tivoli Access Manager.
- Compruebe que el nombre distinguido (DN) de Tivoli Access Manager Administrator sea correcto
- Compruebe que la contraseña que del administrador de Tivoli Access Manager no haya caducado y sea válida.
- Asegúrese de que la cuenta sea válida para el administrador de Tivoli Access Manager.
- Si aparece un mensaje como no se puede abrir el socket para xxxx (donde xxxx es un número), realice las siguientes acciones:
- Vaya al directorio raíz_perfil/etc/tam.
- Cambie xxxx por un número de puerto disponible en el archivo amwas.commomconfig.properties y el archivo amwas*cellName_dmgr.properties si el gestor de despliegue no ha podido iniciarse. Si no ha podido iniciarse el nodo, cambie xxx por un número de puerto disponible en amwas*cellName_nodeName_.properties. Si el servidor de aplicaciones no se ha podido iniciar, cambie xxxx en el archivo amwas*cellname_nodeName_serverName.properties.
Es posible que la aplicación no se despliegue correctamente
Cuando pulse Guardar, la información de políticas o de roles se propaga a la políticas de Tivoli Access Manager. Es posible que este proceso tarde en completarse. Si se produce un error al guardar, debe desinstalar la aplicación y volver a instalarla.
Para acceder a una aplicación después de la instalación, debe esperar 30 segundos, por omisión, para iniciar la aplicación después de guardarla.
El mandato startServer podría dar un error
Puede producirse un error del mandato startServer después de configurar Tivoli Access Manager o de que una instalación limpia no se haya producido después de desconfigurar JACC.
- Elimine los archivos de propiedades de
Tivoli Access Manager de
WebSphere Application Server.En cada servidor de aplicaciones de un entorno
WebSphere Application Server, Network Deployment (ND)
con N servidores definidos (por ejemplo, servidor1, servidor2).
Se deben suprimir los archivos siguientes.
install_root/tivoli/tam/PdPerm.properties raíz_instalación/tivoli/tam/PdPerm.ks raíz__perfil/etc/tam/*
Se deben suprimir los archivos siguientes.
raíz__perfil/etc/pd/PolicyDirector/PDPerm.properties raíz__perfil/etc/pd/PolicyDirector/PdPerm.ks raíz__perfil/etc/tam/*
- Utilice un programa de utilidad para limpiar la configuración de seguridad y
devolver el sistema al estado en el que estaba antes de la configuración del proveedor
de JACC de Tivoli Access
Manager. El programa de utilidad elimina todas las entradas de PDLoginModuleWrapper además de la entrada de la tabla de autorizaciones de Tivoli Access Manager del archivo security.xml, eliminando el proveedor de JACC para Tivoli Access Manager. Haga una copia de seguridad del archivo
security.xml antes de ejecutar este programa de utilidad.
Entre los mandatos siguientes:
install_root/java/jre/bin/java -classpath "install_root/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML vía_acceso_completa/security.xml
Entre los mandatos siguientes:
java -Djava.version=1.5 -classpath "app_server_root/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML vía_acceso_completa/security.xml
"HPDIA0202w: Se ha presentado un nombre de usuario desconocido a Access Manager"
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: (No se ha podido crear un PDPrincipal para el principal mgri1.:)
AWXJR0007E Se ha producido una excepción de Tivoli Access Manager. Los detalles son:
"HPDIA0202W Se ha presentado un nombre de usuario desconocido a Access Manager."
Este problema puede
deberse a que la longitud del nombre de host excede los
límites predefinidos para Tivoli Access
Manager cuando se configura en MS Active Directory. En WebSphere Application Server, la longitud máxima del
nombre de host no puede exceder los 46 caracteres.Compruebe que el nombre de host no esté plenamente cualificado. Configure la máquina de modo que el nombre de host no incluya el dominio del host.
- En la línea de mandatos, escriba la siguiente información para obtener
un indicador de mandatos de Tivoli Access
Manager:
Aparecerá el indicador nombre_administrador de pdadmin. Por ejemplo:pdadmin -a nombre_administrador -p contraseña_administrador
pdadmin -a administrador1 -p contraseña
- En el indicador de mandatos de pdadmin, importe el usuario desde el
registro de usuarios LDAP a Tivoli Access Manager escribiendo la siguiente
información:
Por ejemplo:user import nombre_usuario cn=nombre_usuario,o=nombre_organización,c=país
user import jstar cn=jstar,o=ibm,c=us
user modify nombre_usuario account-valid yes
Por ejemplo: user modify jstar account-valid yes
Para obtener información sobre cómo importar un grupo desde LDAP a Tivoli Access Manager, consulte la documentación de Tivoli Access Manager.
"HPDAC0778E: La cuenta del usuario especificada se ha establecido en un valor no válido"
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: (No se ha podido crear un PDPrincipal para el principal mgri1.:)
AWXJR0007E Se ha producido una excepción de Tivoli Access Manager.
Los detalles son: "HPDAC0778E The specified user's account is set to invalid"
(La cuenta del usuario especificada se ha
establecido en un valor no válido).
user modify nombre_usuario account-valid yes
Por ejemplo: user modify jstar account-valid yes
"HPDJA0506E: argumento no válido: campo de nombre de usuario nulo o con longitud cero para la entrada ACL"
AWXJR0035E Se ha producido un error al intentar añadir un miembro
cn=agent3,o=ibm,c=us, al rol AgentRole
HPDJA0506E Argumento no válido: campo de nombre de usuario nulo o de longitud cero para
Para corregir este error, cree o importe el usuario, que se correlaciona con el rol de seguridad de Tivoli Access Manager. Para obtener más información sobre la propagación de la información de políticas de seguridad, consulte la documentación del proveedor de autorización.
WASX7017E: Se ha recibido una excepción al ejecutar el archivo "InsuranceServicesSingle.jacl"
WASX7017E: Se ha recibido una excepción
al ejecutar el archivo "InsuranceServicesSingle.jacl";
información de excepción: com.ibm.ws.scripting.ScriptingException: WASX7111E:
No se puede encontrar una coincidencia para la opción proporcionada:
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers"
La opción de tarea $AdminApp MapRolesToUsers deja de ser válida cuando Tivoli Access Manager se utiliza como servidor de autorización. Para corregir el error, cambie MapRolesToUsers a TAMMapRolesToUsers.
Excepciones de acceso denegado a las aplicaciones cuando se utiliza JACC
AWXJR0044E: La decisión de acceso para el Permiso, {0}, ha sido denegada porque los
objetos PolicyConfiguration o RoleConfiguration no se han creado satisfactoriamente
durante
el tiempo de instalación de la aplicación. RoleConfiguration exists = {false}, PolicyConfiguration
exists = {"false"}.
Si las excepciones de acceso denegado no estaban previstas para la aplicación, consulte los archivos SystemOut.log para ver si la información sobre políticas de seguridad se ha propagado correctamente al proveedor.
Si la información sobre políticas de seguridad para la aplicación se ha propagado correctamente, aparecerán sentencias de auditoría con la clave de mensaje SECJ0415I. No obstante, si se ha producido un problema durante la propagación de la información sobre políticas de seguridad al proveedor (por ejemplo, si se han producido problemas en la red o si el proveedor JACC no estaba disponible), el archivo SystemOut.log contiene el mensaje de error con la clave de mensaje SECJ0396E, durante la instalación, o con la clave de mensaje SECJ0398E, durante la modificación. La instalación de la aplicación no se detiene debido a un error de propagación de la política de seguridad al proveedor JACC. Asimismo, en el caso de que se produzca un error, no aparecen mensajes de error ni de excepción durante la operación de guardar. Cuando se solucione el problema que ha ocasionado este error, ejecute la herramienta propagatePolicyToJaccProvider para propagar la información sobre políticas de seguridad al proveedor sin volver a instalar la aplicación.
"HPDBA0219E: Se ha producido un error al leer los datos de una conexión SSL"
Puede aparecer un mensaje de error (HPDBA0219E) en SystemOut.log de dmgr cuando se instala la aplicación en WebSphere Application Server, Network Deployment (ND) y se habilita un nodo gestionado con Tivoli Access Manager.
Si se produce este error, los datos de política de seguridad de las aplicaciones desplegadas recientemente no estarán disponibles de forma inmediata. Los datos de política están disponibles según el tiempo de réplica de servidor de Tivoli Access Manager. El valor predeterminado es de 30 segundos después de finalizar todas las actualizaciones. Para asegurarse de que están disponibles los datos de política más recientes, inicie una sesión en la consola pdadmin y escriba: server replicate.
![[z/OS]](../images/ngzos.gif)
Se puede producir un error "No hay puertos disponibles en el puerto establecido"
Cuando utiliza Tivoli Access Manager como el proveedor de JACC y detiene WebSphere Application Server utilizando la consola administrativa o el script wsadmin, hay un proceso de borrado que se ejecuta para Tivoli Access Manager. WebSphere Application Server no puede completar el proceso de borrado.
WebSphere Application Server utiliza un número de puerto diferente para cada proceso nuevo. En un momento dado, el servidor de aplicaciones agota los números de puerto para conectarse con el servidor Tivoli Access Manager y muestra un error de tipo "No hay puertos disponibles en el conjunto de puertos".
Si se produce este error, debe limpiar manualmente los puertos que están disponibles para los procesos de WebSphere Application Server.