Conseils de résolution des incidents liés au fournisseur d'autorisation de sécurité

Le présent article décrit les incidents que vous pouvez rencontrer lorsque vous utilisez un fournisseur JACC (Java™ Authorization Contract for Containers). Tivoli Access Manager est intégré à WebSphere Application Server en tant que fournisseur d'autorisations. Vous pouvez également intégrer votre propre fournisseur.

Tivoli Access Manager comme fournisseur d'autorisations (Java Authorization Contract for Containers)

Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL en vue du traitement des incidents liés aux applications.

Utilisation d'un fournisseur externe comme fournisseur d'autorisations JACC (Java Authorization Contract for Containers)

Les incidents suivants peuvent se produire lorsque vous utilisez un fournisseur externe pour l'autorisation JACC :

Echec de la configuration JACC

Si vous ne parvenez pas à configurer JACC correctement, vérifiez les éléments suivants :

  • Vérifiez que les paramètres sont corrects. Par exemple, vous ne devez pas indiquer de valeur numérique après TAM_Policy_server_hostname:7135 mais une valeur numérique doit apparaître après TAM_Authorization_server_hostname:7136 (par exemple, TAM_Authorization_server_hostname:7136:1).
  • Si un message indiquant qu'il est impossible d'établir un contact avec le serveur s'affiche, il est possible que les noms d'hôte ou les numéros de ports définis pour les serveurs Tivoli Access Manager soient incorrects ou que les serveurs Tivoli Access Manager n'aient pas été démarrés.
  • Assurez-vous que le mot de passe de l'utilisateur sec_master est correct.
  • Consultez le fichier SystemOut.log recherchez la chaîne AMAS pour identifier les messages d'erreur éventuels.

Echec du démarrage du serveur après la configuration du fournisseur JACC

Si le démarrage du serveur échoue après la configuration de JACC, vérifiez les éléments suivants :

  • Vérifiez que WebSphere Application Server et Tivoli Access Manager utilisent le même serveur LDAP (Lightweight Directory Access Protocol).
  • Si le système affiche un message indiquant que l'authentification Policy Director a échoué, vérifiez les points suivants :
    • L'ID du serveur LDAP de WebSphere Application Server doit être identique à l'"ID administrateur" de l'administrateur défini dans le panneau de configuration JACC de Tivoli Access Manager.
    • Vérifiez que le nom distinctif (DN) de l'administrateur Tivoli Access Manager est correct.
    • Vérifiez que le mot de passe de l'administrateur de Tivoli Access Manager n'est pas arrivé à expiration et est valide.
    • Assurez-vous que le compte est valide pour l'administrateur de Tivoli Access Manager.
  • Si un message, tel que le socket ne peut pas être ouvert pour xxxx (où xxxx est un nombre) s'affiche, procédez comme suit :
    1. Accédez au répertoire racine_profil/etc/tam.
    2. Remplacez xxxx par un numéro de port disponible dans le fichier amwas.commomconfig.properties et dans le fichier amwas*cellName_dmgr.properties si le démarrage du gestionnaire de déploiement a échoué. Si le démarrage du noeud échoue, remplacez xxx par un numéro de port disponible dans le fichier amwas*cellName_nodeName_.properties. Si le démarrage du serveur d'applications échoue, remplacez xxxx dans le fichier amwas*cellname_nodeName_serverName.properties.

Déploiement incorrect de l'application

Lorsque vous cliquez sur Sauvegarder, les informations relatives aux règles et aux rôles sont transmises aux règles de Tivoli Access Manager. Cette opération peut prendre un certain temps. Si la sauvegarde échoue, vous devez désinstaller, puis réinstaller l'application.

Pour accéder à une application après son installation, vous devez attendre 30 secondes, par défaut, pour lancer l'application après la sauvegarde.

Risque d'échec de la commande startServer

Echec de la commande startServer après la configuration de Tivoli Access Manager ou échec de la procédure de désinstallation après la suppression de la configuration du fournisseur JACC.

Si la procédure de suppression de la configuration JACC échoue ou si le serveur ne parvient pas à démarrer après la configuration JACC, vérifiez les éléments suivants :
  • Supprimez les fichiers de propriétés Tivoli Access Manager de WebSphere Application Server. Pour chaque serveur d'applications dans un environnement ND (WebSphere Application Server, Network Deployment) doté de N serveurs (par exemple, server1, server2).
    [AIX Solaris HP-UX Linux Windows][z/OS]Les fichiers suivants doivent être supprimés.
    racine_install/tivoli/tam/PdPerm.properties 
    install_root/tivoli/tam/PdPerm.ks
    profile_root/etc/tam/*
    [IBM i]Les fichiers suivants doivent être supprimés.
    profile_root/etc/pd/PolicyDirector/PDPerm.properties 
    profile_root/etc/pd/PolicyDirector/PdPerm.ks
    profile_root/etc/tam/*
  • Lancez un utilitaire pour supprimer la configuration de sécurité et rétablir l'état du système tel qu'il était avant la configuration du fournisseur JACC pour Tivoli Access Manager. L'utilitaire supprime toutes les entrées PDLoginModuleWrapper ainsi que l'entrée de la table d'autorisations Tivoli Access Manager du fichier security.xml, supprimant en réalité le fournisseur JACC pour Tivoli Access Manager. Faites une copie de sauvegarde du fichier security.xml avant d'exécuter l'utilitaire.
    [AIX Solaris HP-UX Linux Windows][z/OS]Entrez les commandes suivantes :
    racine_install/java/jre/bin/java -classpath 
    "racine_install/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
    [IBM i]Entrez les commandes suivantes :
    java -Djava.version=1.5 -classpath 
    "racine_serveur_app/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml

"HPDIA0202w : Un nom d'utilisateur inconnu a été présenté à Access Manager"

Vous pouvez rencontrer le message d'erreur suivant si vous tentez de faire appel à un utilisateur existant dans un registre d'utilisateurs LDAP (Local Directory Access Protocol) avec Tivoli Access Manager :
AWXJR0008E   Echec de création d'un PDPrincipal pour mgr1. principal : 
AWXJR0007E  Une exception Tivoli Access Manager a été interceptée. Les informations indiquées sont :
"HPDIA0202W  Un nom d'utilisateur inconnu a été introduit dans Access Manager."
Cet incident peut être causé par un nom d'hôte dépassant les limites prédéfinies avec Tivoli Access Manager lorsqu'il est configuré selon MS Active Directory. Dans WebSphere Application Server, le nom d'hôte ne doit pas dépasser 46 caractères.

Vérifiez que le nom d'hôte n'est pas qualifié complet. Configurez la machine afin que le nom d'hôte n'inclut pas le domaine hôte.

Pour corriger cette erreur, procédez comme suit :
  1. A partir de la ligne de commande, entrez les informations suivantes pour afficher une invite de commande de Tivoli Access Manager :
    pdadmin -a administrator_name -p mot_passe_administrateur
    L'invite pdadmin nom_administrateur s'affiche. Par exemple :
    pdadmin -a administrator1 -p passw0rd
  2. A partir de l'invite de commande pdadmin, importez l'utilisateur du registre d'utilisateurs LDAP vers Tivoli Access Manager en entrant les informations suivantes :
    user import user_name cn=user_name,o=organization_name,c=country
    Par exemple :
    user import jstar cn=jstar,o=ibm,c=us
Après avoir importé l'utilisateur dans Tivoli Access Manager, vous devez lancer la commande user modify pour définir le compte de l'utilisateur sur valid. La syntaxe suivante indique comment utiliser cette commande :
user modify nom_utilisateur account-valid yes
Par exemple :
user modify jstar account-valid yes

Pour plus d'informations sur la procédure d'importation d'un groupe du registre LDAP vers Tivoli Access Manager, voir la documentation de Tivoli Access Manager.

"HPDAC0778E : Le compte d'utilisateur indiqué est défini comme étant non valide"

Le message d'erreur suivant peut s'afficher à l'issue de l'importation d'un utilisateur dans Tivoli Access Manager et du redémarrage du client :
AWXJR0008E   Echec de création d'un PDPrincipal pour mgr1. principal : 
AWXJR0007E  Une exception Tivoli Access Manager a été interceptée. 
Détails : "HPDAC0778E   Le compte de l'utilisateur indiqué est défini comme incorrect."
Pour corriger cette erreur, utilisez la commande user modify afin de valider le compte utilisateur. La syntaxe suivante indique comment utiliser cette commande :
user modify nom_utilisateur account-valid yes
Par exemple :
user modify jstar account-valid yes

"HPDJA0506E : Argument non valide : La zone de nom d'utilisateur pour l'entrée ACL est NULL ou ne contient aucun caractère"

Vous pouvez rencontrer une erreur comparable au message suivant lorsque vous transmettez au fournisseur les informations de sécurité de l'application à l'aide de la commande wsadmin propagatePolicyToJACCProvider :
AWXJR0035E   Une erreur s'est produite lors de la tentative d'ajout d'un membre, 
                cn=agent3,o=ibm,c=us au rôle AgentRole
HPDJA0506E   Argument non valide : La zone du nom d'utilisateur est Null ou contient 
                zéro caractères

Pour corriger cette erreur, créez ou importez l'utilisateur qui est mappé au rôle de sécurité dans Tivoli Access Manager. Pour plus d'informations sur la transmission des informations relatives aux règles de sécurité, voir la documentation du fournisseur d'autorisations.

WASX7017E : Exception reçue lors de l'exécution du fichier "InsuranceServicesSingle.jacl"

Une fois que le fournisseur JACC et Tivoli Access Manager sont activés, l'erreur suivante peut se produire lorsque vous tentez d'installer l'application, configurée avec des rôles de sécurité à l'aide de la commande wsadmin :
WASX7017E: Exception reçue lors de l'exécution du fichier "InsuranceServicesSingle.jacl"; 
informations sur l'exception :
com.ibm.ws.scripting.ScriptingException:
WASX7111E: 
Impossible de trouver une correspondance pour l'option fournie : 
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" pour la tâche "MapRolesToUsers"

L'option de la tâche $AdminApp MapRolesToUsers n'est plus valide lorsque Tivoli Access Manager est utilisé comme serveur d'autorisations. Pour corriger cette erreur, remplacez MapRolesToUsers par TAMMapRolesToUsers.

Exceptions Accès refusé lors de l'accès aux applications lorsque JACC est utilisé

Dans le cas de Tivoli Access Manager, le message d'erreur ci-après peut apparaître.
AWXJR0044E: La décision d'accès pour le droit d'accès, {0}, a été refusée car la création de 
l'objet PolicyConfiguration ou RoleConfiguration n'a pas abouti lors de 
l'installation de l'application. RoleConfiguration existe = {false},
PolicyConfiguration existe = {"false"}.

Si vous n'attendez pas d'exceptions Accès refusé pour l'application, consultez les fichiers SystemOut.log pour vérifier si les informations sur les règles de sécurité ont été correctement propagées vers le fournisseur.

Si les informations sur les règles de sécurité de l'application sont correctement propagées vers le fournisseur, les instructions d'audit apparaissent avec la clé de message SECJ0415I. Toutefois, si un incident est survenu lors de la propagation des informations sur les règles de sécurité vers le fournisseur (par exemple : incidents réseau, fournisseur JACC non disponible), les fichiers SystemOut.log contiennent le message d'erreur avec les clés de message SECJ0396E (lors de l'installation) ou SECJ0398E (lors d'une modification). L'installation de l'application n'est pas arrêtée lorsque les règles de sécurité ne peuvent pas être propagées vers le fournisseur JACC. En outre, en cas d'échec, aucun message d'erreur ou d'exception n'apparaît lors de l'opération de sauvegarde. Lorsque l'incident causant cet échec est résolu, exécutez l'outil propagatePolicyToJaccProvider pour propager les informations de règles de sécurité au fournisseur sans réinstaller l'application.

"HPDBA0219E : Une erreur s'est produite lors de la lecture de données provenant d'une connexion SSL"

Un message d'erreur (HPDBA0219E) peut apparaître dans dmgr SystemOut.log lorsque vous installez une application sur WebSphere Application Server, Network Deployment (ND) et si un noeud géré avec Tivoli Access Manager est activé.

Si cette erreur se produit, les données des règles de sécurité des applications récemment déployées ne seront peut-être pas immédiatement disponibles. La disponibilité des données des règles dépendent du temps de réplication du serveur de Tivoli Access Manager. Par défaut, celui-ci est égal à 30 secondes après la fin de toutes les mises à jour. Pour garantir la disponibilité des dernières données des règles, connectez-vous à la console pdadmin et saisissez : server replicate.

[z/OS]

Une erreur "Il n'y a pas de port disponible dans l'ensemble de ports" peut se produire.

Lorsque vous utilisez Tivoli Access Manager en tant que fournisseur JACC et arrêtez WebSphere Application Server au moyen de la console d'administration ou du script wsadmin, un processus de nettoyage est lancé sur Tivoli Access Manager. WebSphere Application Server n'est pas en mesure d'accomplir le processus de nettoyage.

WebSphere Application Server utilise un numéro de port différent pour chaque nouveau processus. Finalement, le serveur d'applications ne dispose plus de numéros de port pour se connecter au serveur Tivoli Access Manager et affiche une erreur "Aucun port n'est disponible dans l'ensemble de ports".

Si cette erreur se produit, vous devez nettoyer manuellement les ports disponibles pour les processus WebSphere Application Server.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jacctroubles
Nom du fichier : rsec_jacctroubles.html