セキュリティー構成および使用可能化のエラー
この情報を使用して、セキュリティーを構成または使用可能にする際の問題をトラブルシューティングします。
- 「LTPA パスワードが設定されていません。検証が失敗しました」エラー・メッセージ
setupClient.bat ファイルまたは setupClient.sh ファイルが正しく動作していない
Java HotSpot Server VM の警告
- Enterprise Workload Manager (EWLM) と併用して WebSphere Application Server バージョン 6 が正しく動作しない
- セキュリティーを正常に構成したにも かかわらず、Web リソースまたは管理コンソールにアクセスする際に問題が発生する場合は、セキュリティーを使用可能にした後のエラーまたはアクセス問題を参照してください。
- NMSV0610I: javax.naming.Context 実装から NamingException がスローされています
- パフォーマンス・サーブレットが許可エラーを表示し、統計を提供できない
- Tivoli 用の JACC プロバイダーの構成後にユーザーおよびグループを マイグレーションすると、「名前値が無効です」と表示される
- Sun JDK が、Application Server で作成された PKCS12 鍵ストアを読み取ることができない
- 非セキュア・リソースからのセキュア・リソースの呼び出しはサポートされない
セキュリティー関連の問題を診断および解決するための一般的なヒントについては、セキュリティー・コンポーネントのトラブルシューティングのトピックを参照してください。
「LTPA パスワードが設定されていません。検証が失敗しました」エラー・メッセージ
「LTPA パスワードが設定されていません。検証が失敗しました。」というエラー・メッセージが、管理セキュリティー設定またはアプリケーション・セキュリティー設定を保存した後、管理コンソールに表示される
- の順に選択します。
- パスワードを入力し、パスワード・フィールドを確認します。
- 「OK」 をクリックします。
- もう一度管理またはアプリケーション・セキュリティーの設定を試みてください。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
setupClient.bat ファイルまたは setupClient.sh ファイルが正しく動作していない
Windows オペレーティング ・システムの setupClient.bat ファイル、および Linux と UNIX ベースのプラットフォームの setupClient.sh ファイル で、SOAP セキュリティー・プロパティー・ファイルのロケーションが誤って指定されています。![[Windows]](../images/windows.gif)
set CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:%WAS_HOME%/properties/soap.client.props
![[AIX]](../images/aixlogo.gif)
![[Linux]](../images/linux.gif)
![[AIX HP-UX Solaris]](../images/unix.gif)
![[z/OS]](../images/ngzos.gif)
CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:$WAS_HOME/properties/soap.client.props
- file: の後にある、先行スラッシュ ( / ) を除去します。
- sas を soap に変更します。
![[HP-UX]](../images/hpux.gif)
Java HotSpot Server VM の警告
Java HotSpot(TM) Server VM warning:
Unexpected Signal 11 occurred under user-defined signal handler 0x7895710a
このエラーを回避するには、Hewlett Packard サポート・サイト (URL http://www.hp.com) にある Java™ について Hewlett Packard によって推奨されているフィックスを適用します。Enterprise Workload Manager (EWLM) と併用して WebSphere Application Server バージョン 6 が正しく動作しない
grant codeBase "file:/<EWLM_Install_Home>/classes/ARM/arm4.jar" {
permission java.security.AllPermission;
};
それ以外では、Java 2
セキュリティー権限に違反することによる Java 2 セキュリティー例外が発生する場合があります。server.policy ファイルの構成について詳しくは、server.policy ファイルのアクセス権を参照してください。
IBM サポートから入手可能な既知の問題およびその解決法に関する最新の情報については、IBM サポート・ページを参照してください。
IBM サポートの資料を利用すると、 この問題の解決に必要な情報収集の時間を節約できます。 PMR を開く前に、IBM サポート・ページを参照してください。
NMSV0610I: javax.naming.Context 実装から NamingException がスローされています
If you use CSIv2 inbound authentication, basic authentication is required, and Java™
clients running with com.ibm.CORBA.validateBasicAuth=true might fail with the
following exception:
NMSV0610I: A NamingException is being thrown from a javax.naming.Context
implementation.
Details follow:
Context implementation: com.ibm.ws.naming.jndicos.CNContextImpl
Context method: lookupExt
Context name: TestaburgerNode01Cell/nodes/TestaburgerNode01/servers/server1
Target name: SecurityServer
Other data: "" ""
Exception stack trace: javax.naming.NoPermissionException: NO_PERMISSION exception caught. Root exception is org.omg.CORBA.NO_PERMISSION: vmcid: 0x49421000 minor code: 92 completed: No
...
SECJ0395E: Could not locate the SecurityServer at host/port:9.42.72.27/9100 to validate the userid and password entered. You may need to specify valid securityServerHost/Port in (WAS_INSTALL_ROOT)/properties/sas.client.props file.
この問題をフィックスするには 、WAS_HOME/profiles/<profile-name>/properties にある、クライアントの sas.clients.props ファイル の com.ibm.CORBA.validateBasicAuth=false プロパティーを変更してから クライアントを実行します。
パフォーマンス・サーブレットが許可エラーを表示し、統計を提供できない
WebSphere Application Server バージョン 6.1 では、 管理セキュリティーが使用可能になっていると、管理サービスがロック・ダウンされます。 ただし、アプリケーション・セキュリティーが使用不可になっている場合は、 着信要求に対して認証の要求が発生せず、したがって、パフォーマンス・サーブレットが 管理サービスにアクセスするためのクレデンシャルが存在しません。
管理セキュリティーが有効になっている場合は、パフォーマンス・サーブレットが着信要求を処理できるように、 アプリケーション・セキュリティーも有効にする必要があります。
Tivoli 用の JACC プロバイダーの構成後にユーザーおよびグループを マイグレーションすると、「名前値が無効です」と表示される
Tivoli® Access Manager
の JACC プロバイダーの構成後に
コンソールのユーザーおよびグループに行った変更のマイグレーションに
migrateEAR ユーティリティーを使用した場合、systemOut.log
ファイルに以下の構成エラーが表示されます。
Tivoli Access Manager の JACC プロバイダーの構成後にコンソールのユーザーおよびグループに行った変更をマイグレーションするのに migrateEAR ユーティリティーを使用した場合、ジョブ・ログ・ファイルの該当する出力に以下の構成エラーが表示されます。
<specialSubjects> name value is invalid
![[z/OS]](../images/ngzos.gif)
migrateEAR ユーティリティーは、 admin-authz.xml ファイルに含まれるユーザーおよびグループのデータを マイグレーションします。ただし、マイグレーション以前 に Tivoli Access Manager の管理者アクセス制御リスト (ACL) に pdwas-admin グループが追加された場合、 migrateEAR ユーティリティーでは admin-authz.xml ファイルにリストされる XML タグを変換 しません。
このエラーを解決するには、padadmin で 次のコマンドを入力して、pdwas-admin グループがマイグレーションの前に管理者の ACL に 入ったかどうかを確認します。
acl show
_WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL
結果は 以下のように表示されます。
ACL Name:
_WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL
Description: Created by the Tivoli Access Manager
for Websphere Application Server Migration Tool.
Entries:
User sec_master TcmdbsvaBR1
Group pdwas-admin T[WebAppServer]i
pdwas-admin グループが リストされていない場合は、pdadmin で以下のコマンドを入力して、pdwas-admin グループを 追加するように ACL を変更します。
acl modify
_WebAppServer_deployedResources_Roles_administrator_admin
-authz_ACL set gruop pdwas-admin T [WebAppServer]i
Sun JDK が、Application Server で作成された PKCS12 鍵ストアを読み取ることができない
Sun JDK は、Application Server で作成された PKCS12 鍵ストアを読み取ることができません。 この理由は、IBM SDK および Application Server が使用する PKCS12 の実装が、Sun JDK で使用される 実装と異なるためです。Application Server で作成されたデフォルトのトラストストア trust.p12、 または鍵ストア key.P12 を読み取るのに Sun JDK が使用された場合、この違いが原因で問題が発生します。
Sun JDK ではトラストストアを読み取ることはできないので、まず IBM SDK を使用して、 トラストストアから証明書を抽出する必要があります。その後は、これらの証明書を、 Sun JDK が正しく認識できる鍵ストア (JKS 鍵ストアなど) にインポートします。
非セキュア・リソースからのセキュア・リソースの呼び出しはサポートされない
セキュア・リソースを呼び出す非セキュア・リソース (JSP またはサーブレットなど) を使用している場合、非セキュア・リソースがユーザーからデータを収集し、その後でそのデータを処理のためにセキュアな JSP ファイルまたはサーブレット・ファイルに送ると、アプリケーションが失敗することがあります。
このシナリオを予防するには、Web アプリケーションがセキュアな JSP またはサーブレット・ファイルに対して HTTP POST アクションを実行する前に、ユーザーにログインを強制するように、Web アプリケーションを構成してください。そのためには、任意のセキュリティー・メカニズム (基本認証、フォーム・ログイン、または証明書) を使用して最初の非セキュア・リソースをセキュアにしてください。
このような制約があるのは、基本認証およびフォーム・ログインがサーブレット sendRedirect メソッドを使用し、このメソッドがユーザーに対していくつかの影響を与えるためです。 sendRedirect メソッドは、基本認証時およびフォーム・ログイン時に 2 回使用されます。
sendRedirect メソッドは、まず基本認証またはフォーム・ログイン・ページを Web ブラウザーに表示します。 このメソッドは、後で Web ブラウザーを、最初に要求した保護ページにリダイレクトします。sendRedirect(String URL) メソッドは、 Web アドレスで指定されるページへのアクセスに HTTP GET 要求を使用するよう Web ブラウザーに通知します。 HTTP POST が、保護された JSP またはサーブレット・ファイルへの最初の要求であり、以前に認証またはログインが行われていない場合は、HTTP POST は要求されたページに送信されません。ただし、HTTP GET は送信されます。これは、基本認証およびフォーム・ログインが sendRedirect メソッドを使用するためです。sendRedirect メソッドは、ログイン後に要求されたページの表示を試みる HTTP GET 要求として動作します。