Conseils de résolution des incidents liés au fournisseur d'autorisation de sécurité
Le présent article décrit les incidents que vous pouvez rencontrer lorsque vous utilisez un fournisseur JACC (Java™ Authorization Contract for Containers). Tivoli Access Manager est intégré à WebSphere Application Server en tant que fournisseur d'autorisations. Vous pouvez également intégrer votre propre fournisseur.
Tivoli Access Manager comme fournisseur d'autorisations (Java Authorization Contract for Containers)
- Echec de la configuration JACC.
- Echec du démarrage du serveur après la configuration du fournisseur JACC.
- Déploiement incorrect de l'application.
- Echec de la commande startServer après la configuration de Tivoli Access Manager ou échec de la procédure de désinstallation après la suppression de la configuration du fournisseur JACC.
- Une erreur de type "HPDIA0202w Un nom d'utilisateur inconnu a été présenté à Access Manager" risque de se produire.
- Une erreur de type "HPDAC0778E Le compte de l'utilisateur indiqué est défini comme incorrect" risque de se produire.
- L'erreur WASX7017E : Exception reçue lors de l'exécution du fichier "InsuranceServicesSingle.jacl" risque de se produire.
- Exceptions Accès refusé lors de l'accès aux applications lorsque JACC est utilisé
- Le message "HPDBA0219E : Une erreur s'est produite lors de la lecture de données provenant d'une connexion SSL" peut s'afficher
Une erreur "Il n'y a pas de port disponible dans l'ensemble de ports" peut se produire
Utilisation d'un fournisseur externe comme fournisseur d'autorisations JACC (Java Authorization Contract for Containers)
Echec de la configuration JACC
Si vous ne parvenez pas à configurer JACC correctement, vérifiez les éléments suivants :
- Vérifiez que les paramètres sont corrects. Par exemple, vous ne devez pas indiquer de valeur numérique après TAM_Policy_server_hostname:7135 mais une valeur numérique doit apparaître après TAM_Authorization_server_hostname:7136 (par exemple, TAM_Authorization_server_hostname:7136:1).
- Si un message indiquant qu'il est impossible d'établir un contact avec le serveur s'affiche, il est possible que les noms d'hôte ou les numéros de ports définis pour les serveurs Tivoli Access Manager soient incorrects ou que les serveurs Tivoli Access Manager n'aient pas été démarrés.
- Assurez-vous que le mot de passe de l'utilisateur sec_master est correct.
- Consultez le fichier SystemOut.log recherchez la chaîne AMAS pour identifier les messages d'erreur éventuels.
Echec du démarrage du serveur après la configuration du fournisseur JACC
Si le démarrage du serveur échoue après la configuration de JACC, vérifiez les éléments suivants :
- Vérifiez que WebSphere Application Server et Tivoli Access Manager utilisent le même serveur LDAP (Lightweight Directory Access Protocol).
- Si le système affiche un message indiquant que l'authentification Policy Director a échoué, vérifiez les points suivants :
- L'ID du serveur LDAP de WebSphere Application Server doit être identique à l'"ID administrateur" de l'administrateur défini dans le panneau de configuration JACC de Tivoli Access Manager.
- Vérifiez que le nom distinctif (DN) de l'administrateur Tivoli Access Manager est correct.
- Vérifiez que le mot de passe de l'administrateur de Tivoli Access Manager n'est pas arrivé à expiration et est valide.
- Assurez-vous que le compte est valide pour l'administrateur de Tivoli Access Manager.
- Si un message, tel que le socket ne peut pas être ouvert
pour xxxx (où xxxx est un nombre) s'affiche, procédez comme
suit :
- Accédez au répertoire racine_profil/etc/tam.
- Remplacez xxxx par un numéro de port disponible dans le fichier amwas.commomconfig.properties et dans le fichier amwas*cellName_dmgr.properties si le démarrage du gestionnaire de déploiement a échoué. Si le démarrage du noeud échoue, remplacez xxx par un numéro de port disponible dans le fichier amwas*cellName_nodeName_.properties. Si le démarrage du serveur d'applications échoue, remplacez xxxx dans le fichier amwas*cellname_nodeName_serverName.properties.
Déploiement incorrect de l'application
Lorsque vous cliquez sur Sauvegarder, les informations relatives aux règles et aux rôles sont transmises aux règles de Tivoli Access Manager. Cette opération peut prendre un certain temps. Si la sauvegarde échoue, vous devez désinstaller, puis réinstaller l'application.
Pour accéder à une application après son installation, vous devez attendre 30 secondes, par défaut, pour lancer l'application après la sauvegarde.
Risque d'échec de la commande startServer
Echec de la commande startServer après la configuration de Tivoli Access Manager ou échec de la procédure de désinstallation après la suppression de la configuration du fournisseur JACC.
- Supprimez les fichiers de propriétés Tivoli Access
Manager de WebSphere
Application Server. Pour chaque serveur d'applications dans un environnement ND (WebSphere
Application Server, Network Deployment) doté de N serveurs (par exemple, server1, server2).
Les fichiers suivants doivent être supprimés.
racine_install/tivoli/tam/PdPerm.properties install_root/tivoli/tam/PdPerm.ks profile_root/etc/tam/*
Les fichiers suivants doivent être supprimés.
profile_root/etc/pd/PolicyDirector/PDPerm.properties profile_root/etc/pd/PolicyDirector/PdPerm.ks profile_root/etc/tam/*
- Lancez un utilitaire pour supprimer la configuration de sécurité et rétablir l'état du système tel qu'il était avant la configuration du
fournisseur JACC pour Tivoli Access
Manager. L'utilitaire supprime toutes les entrées PDLoginModuleWrapper ainsi
que l'entrée de la table d'autorisations Tivoli Access Manager du fichier security.xml,
supprimant en réalité le fournisseur JACC pour Tivoli Access Manager. Faites une copie de sauvegarde du fichier security.xml avant d'exécuter l'utilitaire.
Entrez les commandes suivantes :
racine_install/java/jre/bin/java -classpath "racine_install/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
Entrez les commandes suivantes :
java -Djava.version=1.5 -classpath "racine_serveur_app/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
"HPDIA0202w : Un nom d'utilisateur inconnu a été présenté à Access Manager"
AWXJR0008E Echec de création d'un PDPrincipal pour mgr1. principal :
AWXJR0007E Une exception Tivoli Access Manager a été interceptée. Les informations indiquées sont :
"HPDIA0202W Un nom d'utilisateur inconnu a été introduit dans Access Manager."
Cet
incident peut être causé par un nom d'hôte dépassant les limites prédéfinies avec
Tivoli Access Manager lorsqu'il est configuré selon MS Active Directory. Dans WebSphere
Application Server, le nom d'hôte ne doit pas dépasser 46
caractères.Vérifiez que le nom d'hôte n'est pas qualifié complet. Configurez la machine afin que le nom d'hôte n'inclut pas le domaine hôte.
- A partir de la ligne de commande, entrez les informations suivantes pour afficher une invite de commande de Tivoli Access Manager :
L'invite pdadmin nom_administrateur s'affiche. Par exemple :pdadmin -a administrator_name -p mot_passe_administrateur
pdadmin -a administrator1 -p passw0rd
- A partir de l'invite de commande pdadmin, importez l'utilisateur du registre d'utilisateurs LDAP vers Tivoli Access Manager en entrant les informations suivantes :
Par exemple :user import user_name cn=user_name,o=organization_name,c=country
user import jstar cn=jstar,o=ibm,c=us
user modify nom_utilisateur account-valid yes
Par
exemple :user modify jstar account-valid yes
Pour plus d'informations sur la procédure d'importation d'un groupe du registre LDAP vers Tivoli Access Manager, voir la documentation de Tivoli Access Manager.
"HPDAC0778E : Le compte d'utilisateur indiqué est défini comme étant non valide"
AWXJR0008E Echec de création d'un PDPrincipal pour mgr1. principal :
AWXJR0007E Une exception Tivoli Access Manager a été interceptée.
Détails : "HPDAC0778E Le compte de l'utilisateur indiqué est défini comme incorrect."
user modify nom_utilisateur account-valid yes
Par
exemple :user modify jstar account-valid yes
"HPDJA0506E : Argument non valide : La zone de nom d'utilisateur pour l'entrée ACL est NULL ou ne contient aucun caractère"
AWXJR0035E Une erreur s'est produite lors de la tentative d'ajout d'un membre,
cn=agent3,o=ibm,c=us au rôle AgentRole
HPDJA0506E Argument non valide : La zone du nom d'utilisateur est Null ou contient
zéro caractères
Pour corriger cette erreur, créez ou importez l'utilisateur qui est mappé au rôle de sécurité dans Tivoli Access Manager. Pour plus d'informations sur la transmission des informations relatives aux règles de sécurité, voir la documentation du fournisseur d'autorisations.
WASX7017E : Exception reçue lors de l'exécution du fichier "InsuranceServicesSingle.jacl"
WASX7017E: Exception reçue lors de l'exécution du fichier "InsuranceServicesSingle.jacl";
informations sur l'exception :
com.ibm.ws.scripting.ScriptingException:
WASX7111E:
Impossible de trouver une correspondance pour l'option fournie :
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" pour la tâche "MapRolesToUsers"
L'option de la tâche $AdminApp MapRolesToUsers n'est plus valide lorsque Tivoli Access Manager est utilisé comme serveur d'autorisations. Pour corriger cette erreur, remplacez MapRolesToUsers par TAMMapRolesToUsers.
Exceptions Accès refusé lors de l'accès aux applications lorsque JACC est utilisé
AWXJR0044E: La décision d'accès pour le droit d'accès, {0}, a été refusée car la création de
l'objet PolicyConfiguration ou RoleConfiguration n'a pas abouti lors de
l'installation de l'application. RoleConfiguration existe = {false},
PolicyConfiguration existe = {"false"}.
Si vous n'attendez pas d'exceptions Accès refusé pour l'application, consultez les fichiers SystemOut.log pour vérifier si les informations sur les règles de sécurité ont été correctement propagées vers le fournisseur.
Si les informations sur les règles de sécurité de l'application sont correctement propagées vers le fournisseur, les instructions d'audit apparaissent avec la clé de message SECJ0415I. Toutefois, si un incident est survenu lors de la propagation des informations sur les règles de sécurité vers le fournisseur (par exemple : incidents réseau, fournisseur JACC non disponible), les fichiers SystemOut.log contiennent le message d'erreur avec les clés de message SECJ0396E (lors de l'installation) ou SECJ0398E (lors d'une modification). L'installation de l'application n'est pas arrêtée lorsque les règles de sécurité ne peuvent pas être propagées vers le fournisseur JACC. En outre, en cas d'échec, aucun message d'erreur ou d'exception n'apparaît lors de l'opération de sauvegarde. Lorsque l'incident causant cet échec est résolu, exécutez l'outil propagatePolicyToJaccProvider pour propager les informations de règles de sécurité au fournisseur sans réinstaller l'application.
"HPDBA0219E : Une erreur s'est produite lors de la lecture de données provenant d'une connexion SSL"
Un message d'erreur (HPDBA0219E) peut apparaître dans dmgr SystemOut.log lorsque vous installez une application sur WebSphere Application Server, Network Deployment (ND) et si un noeud géré avec Tivoli Access Manager est activé.
Si cette erreur se produit, les données des règles de sécurité des applications récemment déployées ne seront peut-être pas immédiatement disponibles. La disponibilité des données des règles dépendent du temps de réplication du serveur de Tivoli Access Manager. Par défaut, celui-ci est égal à 30 secondes après la fin de toutes les mises à jour. Pour garantir la disponibilité des dernières données des règles, connectez-vous à la console pdadmin et saisissez : server replicate.
![[z/OS]](../images/ngzos.gif)
Une erreur "Il n'y a pas de port disponible dans l'ensemble de ports" peut se produire.
Lorsque vous utilisez Tivoli Access Manager en tant que fournisseur JACC et arrêtez WebSphere Application Server au moyen de la console d'administration ou du script wsadmin, un processus de nettoyage est lancé sur Tivoli Access Manager. WebSphere Application Server n'est pas en mesure d'accomplir le processus de nettoyage.
WebSphere Application Server utilise un numéro de port différent pour chaque nouveau processus. Finalement, le serveur d'applications ne dispose plus de numéros de port pour se connecter au serveur Tivoli Access Manager et affiche une erreur "Aucun port n'est disponible dans l'ensemble de ports".
Si cette erreur se produit, vous devez nettoyer manuellement les ports disponibles pour les processus WebSphere Application Server.