Conseils d'identification des incidents de l'intercepteur de relations de confiance SPNEGO (TAI) (déprécié)

Cette liste présente des conseils d'identification et de résolution des problèmes utiles pour diagnostiquer des problèmes et des exceptions survenant dans l'intercepteur de relations de confiance SPNEGO (Simple and Protected GSS-API Negotiation) .

Fonction obsolète Fonction obsolète:

Dans WebSphere Application Server Version 6.1, un TAI (trust association interceptor) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.

depfeat
Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL en vue du traitement des incidents liés aux applications.
Les fournisseurs IBM Java™ Generic Security Service (JGSS) et IBM Simple and Protected GSS-API Negotiation (SPNEGO) utilisent une propriété personnalisée JVM (Java Virtual Machine pour contrôler les informations de trace. Le TAI SPNEGO utilise la fonction JRas pour permettre à un administrateur de tracer uniquement des classes spécifiques. Les spécifications de trace importantes suivantes ou des propriétés JVM personnalisées doivent être utilisées pour le débogage de l'intercepteur de relations de confiance via l'utilisation de traces.
Tableau 1. Spécification de trace TAI SPNEGO.

Ce tableau répertorie les spécification de trace TAI SPNEGO.

Trace Use
com.ibm.security.jgss.debug Associez cette propriété personnalisée JVM à la valeur all pour exécuter la fonction de trace via un code JGSS. Des messages apparaissent dans les fichiers trace.log et SystemOut.log.
com.ibm.security.krb5.Krb5Debug Associez cette propriété personnalisée JVM à la valeur all pour exécuter la fonction de trace via le code JGSS propre à Kerberos5. Des messages apparaissent dans les fichiers trace.log et SystemOut.log.
com.ibm.ws.security.spnego.* Définissez cette trace en utilisant la console d'administration > identification des incidents > Journalisation et fonction de trace > serveur1 > Niveau de détail du journal des modifications > com.ibm.ws.security.spnego.*. Des messages apparaissent dans le fichier trace.log.

Incident : Les heures affichées par WebSphere Application Server et par le contrôleur de domaine Active Directory ne sont pas synchronisées en 5 minutes.

Symptôme Action de l'utilisateur
[2/24/06 13:12:46:093 CST] 00000060 Context		2 com.ibm.ws
 .security.spnego.Context begin GSSContext accepted
[2/24/06 13:12:46:093 CST] 00000060 Context		E com.ibm.ws
 .security.spnego.Context begin
CWSPN0011E: An invalid SPNEGO token has been encountered
 while authenticating a HttpServletRequest:
0000:  60820160 06062b06 01050502 a1820154    `..` ..+. .... ...T
0010:  30820150 a0030a01 01a10b06 092a8648    0..P .... .... .*.H
0020:  82f71201 0202a282 013a0482 01366082    .... .... .:.. .6`.
0030:  01320609 2a864886 f7120102 0203007e    .2.. *.H. .... ...~
0040:  82012130 82011da0 03020105 a1030201    ..!0 .... .... ....
0050:  1ea41118 0f323030 36303232 34313931    .... .200 6022 4191
0060:  3234365a a5050203 016b48a6 03020125    246Z .... .kH. ...%
0070:  a9161b14 57535345 432e4155 5354494e    .... WSSE C.AU STIN
0080:  2e49424d 2e434f4d aa2d302b a0030201    .IBM .COM .-0+ ....
0090:  00a12430 221b0448 5454501b 1a773230    ..$0 "..H TTP. .w20
00a0:  30337365 63646576 2e617573 74696e2e    03se cdev .aus tin.
00b0:  69626d2e 636f6dab 81aa1b81 a76f7267    ibm. com. .... .org
00c0:  2e696574 662e6a67 73732e47 53534578    .iet f.jg ss.G SSEx
00d0:  63657074 696f6e2c 206d616a 6f722063    cept ion,  maj or c
00e0:  6f64653a 2031302c 206d696e 6f722063    ode:  10,  min or c
00f0:  6f64653a 2033370a 096d616a 6f722073    ode:  37. .maj or s
0100:  7472696e 673a2044 65666563 74697665    trin g: D efec tive
0110:  20746f6b 656e0a09 6d696e6f 72207374     tok en.. mino r st
0120:  72696e67 3a20436c 69656e74 2074696d    ring : Cl ient  tim
0130:  65204672 69646179 2c204665 62727561    e Fr iday , Fe brua
0140:  72792032 342c2032 30303620 61742031    ry 2 4, 2 006  at 1
0150:  3a31323a 34352050 4d20746f 6f20736b    :12: 45 P M to o sk
0160:  65776564                               ewed 
Le meilleur moyen de résoudre cet incident consiste à synchroniser l'horloge système de WebSphere Application Server afin que son décalage de l'horloge système su serveur ne dépasse pas 5 minutes. Une bonne pratique consiste à utiliser un serveur d'horloge pour maintenir les systèmes synchronisés. Vous pouvez également ajouter ou ajuster le paramètre clockskew dans le fichier de configuration Kerberos.
Remarque : La valeur par défaut du paramètre clockskew est 300 secondes (ou 5 minutes).

Incident : aucune fabrique n'est disponible pour créer un nom pour le mécanisme 1.3.6.1.5.5.2.

Incident Symptôme Action de l'utilisateur
Obtention d'une exception : aucune fabrique n'est disponible pour créer un nom pour le mécanisme 1.3.6.1.5.5.2. Aucune fabrique n'est disponible pour procéder à la création d'un nom pour le mécanisme spécifique.
[4/8/05 22:51:24:542 EDT] 5003e481 SystemOut
     O [JGSS_DBG_PROV] Provider 
       IBMJGSSProvider version 1.01 does not support 
			mech 1.3.6.1.5.5.2
[4/8/05 22:51:24:582 EDT] 5003e481 ServerCredent > 
        com.ibm.ws.security.spnego
			 .ServerCredential initialize ENTRY
SPNEGO014: Kerberos initialization Failure: 
org.ietf.jgss.GSSException, major code: 2, 
        minor code: 0
	major string: Unsupported mechanism
	minor string: No factory available to create name for 
	 mechanism 1.3.6.1.5.5.2
	at com.ibm.security.jgss.i18n.I18NException.throwGSSException
        (I18NException.java:30)
	at com.ibm.security.jgss.GSSManagerImpl.a(GSSManagerImpl.java:36)
	at com.ibm.security.jgss.GSSCredentialImpl.add(GSSCredentialImpl
 .java:217)
	at com.ibm.security.jgss.GSSCredentialImpl.<init>(GSSCredentialImpl
 .java:264)
Vérifiez que le fichier java.security contient le fournisseur de sécurité IBMSPNEGO et que celui-ci a été correctement configuré. Le fichier java.security doit contenir une ligne similaires à :
security.provider.6=com.ibm.security
 .jgss.mech.spnego.IBMSPNEGO

Incident : obtention d'une exception alors que la bibliothèque JGSS tente de traiter le jeton SPNEGO.

Symptôme Description Action de l'utilisateur
L'erreur suivante s'affiche alors que la bibliothèque JGSS tente de traiter le jeton SPNEGO.
Error authenticating request. Reporting to client
Major code = 11, Minor code = 31
org.ietf.jgss.GSSException, major code: 11,
 minor code: 31
	major string: General failure, unspecified 
	 at GSSAPI level
	minor string: Kerberos error while decoding
	 and verifying token: 
   	com.ibm.security.krb5.internal.KrbException,
	  status code: 31
	message: Integrity check on decrypted field 
	failed
Cette exception est le résultat du codage du ticket au moyen d'une clé et de la tentative de décodage au moyen d'une autre clé. Cette situation peut être due à plusieurs causes :
  1. Le fichier de clés Kerberos n'a pas été copié sur la machine du serveur après sa régénération.
  2. La configuration Kerberos pointe vers le mauvais fichier de clés Kerberos.
  3. Le nom de principal de service Kerberos (SPN) a été défini plusieurs fois sur Active Directory. Un autre ID utilisateur a été défini avec le même SPN ou défini avec le même SPN avec un port également défini. L'exemple suivant montre comment cette condition peut survenir :
    MEME SPN mais ID utilisateur différent
    setspn -a HTTP/myHost.austin.ibm.com user1
    	setspn -a HTTP/myHost.austin.ibm.com user2
    MEME SPN et mêmes ID utilisateur, un sans numéro de port et l'autre avec
    setspn -a HTTP/myHost.austin.ibm.com user
    	setspn -a HTTP/myHost.austin.ibm.com:9080 user
Si le problème vient du fichier de clés Kerberos, régénérez ce dernier. Si le problème vient de définitions SPN multiples, supprimez le SPN supplémentaire ou incompatible, confirmez que le SPN n'est plus connecté à Active Directory, puis ajoutez le SPN. Vous pouvez avoir besoin de rechercher dans Active Directory des entrées avec des SPN définis qui sont en conflit avec le SPN.
Pour confirmer que le SPN n'est pas connecté, la commande :
setspn –l userid
doit renvoyer la réponse suivante :
Cannot find account userid

Incident : absence de connexion unique.

Symptôme Description Action de l'utilisateur
Lorsque la fonction de trace est activée, le message suivant s'affiche :
[2/27/06 14:28:04:191 CST] 00000059 
SpnegoHandler < 
		com.ibm.ws.security.spnego
		.SpnegoHandler handleRequest: 
		Received a non-SPNEGO 
		Authorization Header RETURN
Le client renvoie une réponse de gestionnaire de réseau local NT (NTLM) à la demande d'authentification autorisée et non un jeton SPNEGO. Cette situation peut survenir pour l'une des raisons suivantes :
  • Le client n'a pas été correctement configuré.
  • Le client n'utilise pas un navigateur pris en charge. Par exemple, lors de l'utilisation de Microsoft Internet Explorer 5.5, SP1 répond par un en-tête d'authentification non SPNEGO.
  • L'utilisateur ne s'est pas connecté au domaine Active Directory ni dans un domaine sécurisé ou le client qui est utilisé ne prend pas en charge l'authentification intégrée à Windows –. Dans ce cas, l'intercepteur de relations de confiance SPNEGO fonctionne correctement.
  • L'utilisateur accède à un service défini sur la même machine que celle où le client s'exécute (hôte local). Microsoft Internet Explorer résout le nom d'hôte de l'URL sur http://localhostsomeURL au lieu d'un nom qualifié complet.
  • Le SPN est introuvable dans Active Directory. Le format du SPN doit être HTTP/server.realm.com. Le commande pour ajouter le SPN est
    setspn –a HTTP/server.realm.com userid
  • Le nom de principal de service Kerberos (SPN) a été défini plusieurs fois sur Active Directory. Un autre ID utilisateur a été défini avec le même SPN ou un autre ID utilisateur a été défini avec le même SPN avec un numéro de port défini. Les catégories suivantes décrivent ces conditions :
    Même SPN mais avec ID utilisateur différents
    • setspn -a HTTP/myappserver.austin.ibm.com user1
    • setspn -a HTTP/myappserver.austin.ibm.com user2
    Même SPN et mêmes ID utilisateur, un avec un numéro de port défini
    • setspn -a HTTP/myappserver.austin.ibm.com user3
    • setspn -a HTTP/myappserver.austin.ibm.com:9080 user3

Si le SPN n'est pas correctement défini comme HTTP/server.realm.com@REALM.COM avec l'ajout de @REALM.COM, supprimez l'utilisateur, redéfinissez l'utilisateur et redéfinissez le SPN.

Si le problème vient du fichier de clés Kerberos, régénérez ce dernier.

Si le problème vient d'une catégorie de plusieurs définitions SPN, supprimez le SPN supplémentaire ou incompatible, confirmez que le SPN n'est plus connecté à Active Directory, puis ajoutez le SPN. Dans Active Directory, vous pouvez rechercher d'autres entrées SPN à l'origine de plusieurs définitions SPN. Les commandes suivantes permettent de déterminer plusieurs définitions SPN :
setspn ?L userid
Renvoie le message, Impossible de trouver l'ID utilisateur de compte, si le SPN n'est pas enregistré.
setspn -L
Affiche les SPN existants.

Incident : la délégation d'accréditation de ne fonctionne pas.

Symptôme Description Action de l'utilisateur
Une option non valide est détectée. Lorsque la fonction de trace est activée, le message suivant s'affiche :
com.ibm.security.krb5.KrbException,
 status code: 101 message:
 Invalid option in ticket request
Le fichier de configuration Kerberos n'est pas correctement configuré. Vérifiez que le paramètre "renewable" ou "proxiable" a été défini à true.

Incident : impossible de faire fonctionner SSO au moyen du chiffrement RC4-HMAC.

Symptôme Description Action de l'utilisateur
Examinez le message suivant dans la trace que vous recevez lorsque la trace est activée :
com.ibm.security.krb5.internal.crypto.
 KrbCryptoException, status code: 0
	message: Checksum error; received 
	checksum does not match computed 
	checksum
Le chiffrement RC4-HMAC n'est pas pris en charge par une version Microsoft Windows avec un centre de distribution de clés Kerberos (KDC) antérieur à la version 2003. Pour confirmer cette condition, examinez la trace et identifiez où l'exception est émise. Le contenu du ticket entrant doit être visible dans la trace. Bien que le ticket entrant soit chiffré, le SPN de ce service est lisible. Si une version Microsoft Windows antérieure au KDC 2003 est utilisée et que le système est configuré pour utiliser RC4-HMAC, la chaîne représentant le ticket pour userid@REALM est affichée (au lieu du HTTP/hostname.realm@REALM attendu). Par exemple, voici le début d'un ticket reçu d'une version Microsoft Windows antérieure au KDC 2003 :
0000: 01 00 6e 82 04 7f 30 82  04 7b a0 03 02 01 05 a1  ..n...0.........
0010: 03 02 01 0e a2 07 03 05  00 20 00 00 00 a3 82 03  ................
0020: a5 61 82 03 a1 30 82 03  9d a0 03 02 01 05 a1 0a  .a...0..........
0030: 1b 08 45 50 46 44 2e 4e  45 54 a2 18 30 16 a0 03  ...REALM.COM.0..
0040: 02 01 01 a1 0f 30 0d 1b  0b 65 70 66 64 77 61 73  .....0...userid
0050: 75 6e 69 74 a3 82 03 6e  30 82 03 6a a0 03 02 01  .a.f...n0..j....
Le domaine est REALM.COM. Le nom de service est userid. Un ticket correctement formé pour le même SPN est :
0000: 01 00 6e 82 04 56 30 82  04 52 a0 03 02 01 05 a1  ..n..V0..R......
0010: 03 02 01 0e a2 07 03 05  00 20 00 00 00 a3 82 03  ................
0020: 82 61 82 03 7e 30 82 03  7a a0 03 02 01 05 a1 0a  .a...0..z.......
0030: 1b 08 45 50 46 44 2e 4e  45 54 a2 2a 30 28 a0 03  ..REALM.COM.0...
0040: 02 01 02 a1 21 30 1f 1b  04 48 54 54 50 1b 17 75  .....0...HTTP..u
0050: 73 31 30 6b 65 70 66 77  61 73 73 30 31 2e 65 70  serid.realm.com.
0060: 66 64 2e 6e 65 74 a3 82  03 39 30 82 03 35 a0 03  ...n.....90..5..
Pour corriger l'incident, utilisez la norme de chiffrement de données unique (DES) ou Microsoft Windows 2003 Server comme KDC. Pensez à régénérer le SPN et le fichier de clés Kerberos.

Incident : l'utilisateur reçoit le message suivant lorsqu'il accède à un URL protégé via le SSO SPNEGO.

Symptôme Description Action de l'utilisateur
Examinez le message suivant :
Bad Request

Your browser sent a request that this server
 could not understand.
Size of request header field exceeds server
 limit.

Authorization: Negotiate YII……
Ce message est généré par le serveur HTTP Apache/IBM. Ce serveur indique que l'en-tête d'autorisation renvoyé par le navigateur de l'utilisateur est trop grand. La chaîne longue qui suit le mot Negotiate (dans le message d'erreur précédent) est le jeton SPNEGO. Le jeton SPNEGO est un encapsuleur du jeton Kerberos Microsoft Windows. Microsoft Windows inclut les informations de certificat d'attribut de privilège de l'utilisateur dans le jeton kerberos. Plus le nombre de groupes de sécurité auxquels l'utilisateur appartient est élevé, plus il y a d'informations de certificat d'attribut de privilège insérées dans les jetons Kerberos et plus le SPNEGO devient grand. IBM HTTP Server 2.0 (ainsi qu'Apache 2.0 et IBM HTTP Server 6.0) limite la taille des en-têtes HTTP acceptables à 8 Ko. Dans les domaines Microsoft Windows contenant de nombreux groupes, et lorsque ces groupes contiennent beaucoup de membres, la taille du jeton SPNEGO d'un utilisateur peut dépasser cette limite de 8 Ko. Si possible, réduisez le nombre de groupes de sécurité dont l'utilisateur est membre. Le groupe de correctifs IBM HTTP Server 2.0.47 PK01070 autorise des tailles d'en-tête HTTP supérieures ou égales à la limite Microsoft de 12K. Les utilisateurs de WebSphere Application Server version 6.0 peuvent obtenir ce correctif dans le groupe de correctifs 6.0.0.2.
Remarque : Les serveurs Web non Apache peuvent nécessiter des solutions différentes.

Incident : même lorsque la fonction de trace JGSS est désactivée, des messages KRB_DBG_KDC s'affichent dans SystemOut.log.

Symptôme Description Action de l'utilisateur
Examinez le fichier SystemOut.log et notez que certains messages KRB_DBG_KDC y apparaissent même lorsque la fonction de trace JGSS est désactivée. Alors que la majorité de la fonction de trace JGSS est contrôlée par la propriété com.ibm.security.jgss.debug, un petit nombre de messages est contrôlé par la propriété com.ibm.security.krb5.Krb5Debug. La propriété com.ibm.security.krb5.Krb5Debug a une valeur par défaut qui place certains messages dans le fichier SystemOut.log. Pour supprimer tous les messages KRB_DBG_KDC de SystemOut.log, définissez la propriété JVM comme suit :
-Dcom.ibm.security.krb5.Krb5Debug=none

Incident : une application contient une page d'erreur HTTP 401 personnalisée, la page de réponse HTTP générée par le TAI SPNEGO ne s'affiche pas dans un navigateur.

Symptôme Description Action de l'utilisateur
Lorsqu'une application contient une page d'erreur HTTP 401 personnalisée, la page de réponse HTTP générée par le TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) ne s'affiche pas dans un navigateur. Lorsqu'une application contient une page d'erreur HTTP 401 personnalisée, la page de réponse HTTP générée par le TAI SPNEGO ne s'affiche pas dans un navigateur. A la place, la page d'erreur HTTP 401 s'affiche. Vous pouvez personnaliser votre page HTTP 401 afin d'inclure les informations concernant la façon de configurer votre navigateur pour l'utilisation de SPNEGO. Pour plus d'informations, voir Configuration du navigateur client pour utiliser l'intercepteur TAI SPNEGO (déprécié) et Configuration des propriétés personnalisées TAI SPNEGO (déprécié).

Incident : les paramètres Post HTTP sont perdus lors de l'interaction avec le TAI SPNEGO au moment du passage de la connexion ID utilisateur/mot de passe.

Symptôme Description Action de l'utilisateur
Les paramètres HTTP Post sont perdus lors de l'interaction avec le TAI SPNEGO, lors du passage à la connexion ID_utilisateur/mot de passe.

"Passage de la connexion ID utilisateur/mot de passe" signifie que Microsoft Internet Explorer tente de répondre initialement avec un jeton SPNEGO. Si cette réponse échoue, Microsoft Internet Explorer tente de répondre avec un jeton NTLM obtenu via une requête d'authentification ID utilisateur/mot de passe.

Microsoft Internet Explorer conserve l'état lors de la requête de l'utilisateur. Si une requête a reçu comme réponse "HTTP 401 Authenticate Negotiate", et que le navigateur répond avec un jeton NTLM obtenu via une demande d'authentification ID utilisateur/mot de passe, le navigateur soumet à nouveau la requête. Si cette seconde demande reçoit en réponse une page HTML contenant une redirection vers la même URL, mais avec de nouveaux arguments (via Javascript), le navigateur ne soumet pas à nouveau les paramètres POST.
Remarque : Pour éviter cet incident, il est essentiel de NE PAS effectuer de réacheminement automatique. Si l'utilisateur clique sur un lien, le problème ne se produit pas.

Le navigateur répond à la demande d'authentification Authenticate/Negotiate par un jeton NTLM et non un jeton SPNEGO. Le TAI SPNEGO voit le NTLM et renvoie une réponse HTTP 403 accompagnée de la page HTML. Lorsque le navigateur exécute la fonction JavaScript redirTimer, les éventuels paramètres POST ou GET qui étaient présents dans la demande originale sont perdus.

Lorsque la propriété SPN<id>.NTLMTokenReceivedPage est utilisée, une page de message appropriée peut être renvoyée à l'utilisateur. Le message par défaut renvoyé (en l'absence de propriété d'utilisateur définie) est le suivant :
"<html><head><title>An NTLM
Token was Received.
</title></head>"
	+ "<body>Your browser configuration is 
		correct, but you have not logged into 
		a supported Windows Domain."
	+ "<p>Please login to the application using 
		the normal login page.</html>";

Grâce à la propriété SPN<id>.NTLMTokenReceivedPage, vous pouvez personnaliser la réponse. Il est essentiel que le HTML renvoyé n'effectue pas de réacheminement.

Lorsque le TAI SPNEGO a été configuré pour utiliser la classe HTTPHeaderFilter transmise par défaut comme SPN<id>.filterClass, le SPN<id>.filter peut être utilisé pour permettre à la deuxième requête d'être transmise directement au mécanisme de sécurité WebSphere Application Server normal. De cette façon, l'utilisateur est confronté au mécanisme d'authentification normal.

Voici l'exemple d'une telle configuration : Les propriétés TAI SPNEGO nécessaires et le contenu du fichier HTML sont présentés.
****** SPNEGO TAI Property Name ******
                ****** HTML File Content ******
com.ibm.ws.security.spnego.SPN1.hostName               server.wasteched30.torolab.ibm.com
com.ibm.ws.security.spnego.SPN1.filterClass            com.ibm.ws.security.spnego.HTTPHeaderFilter
com.ibm.ws.security.spnego.SPN1.filter                 request-url!=noSPNEGO
com.ibm.ws.security.spnego.SPN1.NTLMTokenReceivedPage  File:///C:/temp/NTLM.html 
Remarque : Notez que la propriété de filtre ordonne au TAI SPNEGO de NE PAS intercepter les demandes HTTP contenant la chaîne "noSPNEGO".
Voici un exemple de génération de réponse utile.
<html>
<head>
<title>NTLM Authentication Received </title>
<script language="javascript">
	var purl=""+document.location;
if (purl.indexOf("noSPNEGO")<0) {
		if(purl.indexOf('?')>=0) purl+="&noSPNEGO";
		else purl+="?noSPNEGO";
	}
</script>
</head>
<body>
<p>An NTLM token was retrieved in response to
 the SPNEGO challenge. It is likely that 
you are not logged into a Windows domain.<br>
Click on the following link to get the 
requested website.
<script language="javascript">
	document.write("<a href='"+purl+"'>");
	document.write("Open the same page using
	 the normal authentication mechanism.");
	document.write("</a><br>");
</script>
You will not automatically be redirected.
</body>
</html>

Problème : l'intercepteur d'association de confiance (TAI) n'appelle pas la méthode initialize(Properties).

La trace peut indiquer que le TAI est chargé mais que la méthode initialize(Properties) n'est pas appelée. Seule la méthode getVersion() semble être appelée au démarrage.

Le processus de l'intercepteur d'association de confiance de WebSphere appelle uniquement initialize(Properties) lorsque des propriétés personnalisées sont définies pour l'intercepteur d'association de confiance.

Pour corriger ce problème, définissez une propriété personnalisée inutilisée du TAI, par exemple com.ibm.issw.spnegoTAI.NumberOfServers=0.

Problème : l'intercepteur d'association de confiance (TAI) ne se charge pas correctement.

La trace peut indiquer que le TAI ne se charge pas et l'exception suivante s'affiche :
SPNEGO014: Kerberos initialization Failure: org.ietf.jgss.GSSException, major code: 13, minor code: 0
	major string: Invalid credentials
	minor string: SubjectKeyFinder: no JAAS Subject
	at com.ibm.security.jgss.i18n.I18NException.throwGSSException(I18NException.java:12)
…

Il est possible que la propriété personnalisée JVM javax.security.auth.useSubjectCredsOnly n'ait pas pour valeur false.

Pour remédier à ce problème, définissez une propriété personnalisée JVM sur chaque JVM qui est activée pour l'intercepteur de relations de confiance, javax.security.auth.useSubjectCredsOnly=false.

Problème: les caractères par défaut des scripts JACL permettant d'ajouter les paramètres de l'intercepteur d'association de confiance (TAI) peuvent causer des incidents.

Les scripts JACL servant à ajouter les paramètres du TAI acceptent les paramètres positionnels. Pour accepter les valeurs par défaut, un "." doit être spécifié. L'ajout d'un point (".") sur certaines plateformes WebSphere peut entraîner l'ajout de la propriété avec la valeur ".".

Vérifiez toujours à l'aide de la console d'administration (quelque soit la plateforme) que les propriétés ajoutées sont conformes aux attentes. Si tel n'est pas le cas, corrigez-les manuellement.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_trouble_shoot
Nom du fichier : rsec_SPNEGO_trouble_shoot.html