Sécurité de bus d'intégration de services : Conseils d'identification et de résolution des incidents

Utilisez cet ensemble de conseils spécifiques pour identifier et résoudre les incidents liés à l'utilisation d'un bus d'intégration de services sécurisé.

[z/OS]Pour faciliter l'identification et la résolution des incidents des bus Web activés par un bus, utilisez les fonctions de trace et de consignation de WebSphere Application Server comme indiqué dans Configuration du service de trace des composants (CTRACE).

Si vous rencontrez un incident qui semble être lié à la sécurité du bus d'intégration de services, vous pouvez vérifier si la console d'administration de WebSphere Application Server et le fichier SystemOut.log du serveur d'applications contiennent des messages d'erreur. Vous pouvez également activer la trace de débogage du serveur d'applications pour fournir un vidage détaillé des exceptions.
Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL en vue du traitement des incidents liés aux applications.

Les messages système WebSphere Application Server sont journalisés à partir de nombreuses sources, y compris les applications et composants de serveur d'applications. Les messages consignés par les composants de serveur d'applications et les produits IBM associés commencent par un identificateur de message unique qui indique le composant ou l'application à l'origine du message. Le préfixe du composant de la sécurité du bus d'intégration de services est CWSII.

Le document Troubleshooter reference: Messages contient des informations sur tous les messages WebSphere Application Server, indexées par préfixe de message. Une explication de l'incident et des détails sur les éventuelles actions à entreprendre pour résoudre l'incident sont fournis pour chaque message.

Migration d'un serveur d'applications Version 5.1 vers WebSphere Application Server Version 7.0 ou ultérieures

Avant la migration du serveur d'applications Version 5.1, aucun ID utilisateur ou mot de passe n'était requis sur la file d'attente MQ Series cible. Une fois que le serveur d'applications a été migré vers Version 7.0 ou ultérieures et que le fournisseur de messagerie par défaut (bus d'intégration de services) a été utilisé, les demandes client n'aboutissent pas car l'authentification de base est activée. Cet incident est signalé par le message suivant :
SibMessage W [:] CWSIT0009W: Une requête client a échoué sur le serveur d'applications 
avec le noeud final <nom_noeud_final> dans le bus votre_bus pour la raison suivante : CWSIT0016E: 
L'authentification de l'ID utilisateur n'a pas abouti dans le bus votre_bus.

Dans WebSphere Application Server Version 7.0 ou ultérieures, si vous utilisez un bus d'intégration de services et que la sécurité WebSphere Application Server est activée pour le serveur ou la cellule, par défaut, la destination de la file d'attente du bus d'intégration de services hérite des caractéristiques de sécurité du serveur ou de la cellule. Ainsi, si l'authentification de base est activée pour le serveur ou pour la cellule, la demande client n'aboutit pas.

Vous disposez de trois possibilités pour résoudre l'incident. La première solution présentée est la moins fiable en matière de sécurité alors que la dernière est la plus fiable :
  • Désactivez la sécurité.
  • Pour avoir un niveau de sécurité équivalent à la configuration de la Version 5.1, modifiez les paramètres du bus d'intégration de services qui héberge la destination de la file d'attente afin que la sécurité du bus soit désactivée et que le bus n'hérite pas des caractéristiques de sécurité du serveur ou de la cellule.
  • Pour un niveau de sécurité supérieur à la configuration de la Version 5.1, configurez l'authentification de base sur chaque client qui utilise le service.

Pour désactiver la sécurité WebSphere Application Server, voir Activation et désactivation de la sécurité à l'aide de scripts ou Paramètres de sécurité globale.

Pour désactiver la sécurité du bus, utilisez la console d'administration pour effectuer les opérations suivantes :
  1. Accédez à Intégration des services -> Bus -> nom_bus.
  2. Désélectionnez la case à cocher Sécurisé.
  3. Enregistrez les modifications.
Pour configurer l'authentification de base sur chaque client, utilisez la console d'administration ou l'outil wsadmin. Pour effectuer cette tâche à l'aide de l'outil wsadmin, voir Configuration des informations de port du client de services Web à l'aide de l'outil de scriptage wsadmin et utilisez l'option de tâche WebServicesClientBindPortInfo wsadmin. Pour effectuer cette tâche à l'aide de la console d'administration, procédez comme suit :
  1. Accédez à Applications. -> Types d'application -> Applications d'entreprise WebSphere -> nom_application -> Modules Web ou Modules EJB > nom_module > Services Web : Liaisons de sécurité client.
  2. Cliquez sur Authentification de base HTTP pour accéder au panneau de la "configuration de l'authentification de base HTTP avec la console d'administration".
  3. Entrez les valeurs dans le panneau.
  4. Sauvegardez les modifications de la configuration principale.

Accès refusé en cas d'utilisation du LDAP lors d'une tentative de connexion à l'aide d'un ID utilisateur dans un groupe autorisé

Si vous utilisez un registre LDAP, le refus peut s'expliquer par le nom du groupe. Lorsque vous spécifiez les droits d'autorisation du groupe, le nom distinctif doit être utilisé en tant que nom du groupe. Si vous spécifiez un nom commun en tant que nom du groupe, les utilisateurs de ce groupe ne pourront pas être autorisés.

Les étapes à suivre pour remplacer le nom commun par le nom distinctif dépendent de l'endroit où s'est produit l'incident.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
Nom du fichier : rjr_prob0.html