サービス統合バス・セキュリティー: トラブルシューティングのヒント

この一連の具体的なヒントは、機密保護機能のあるサービス統合バスを使用して作業する際に直面する問題のトラブルシューティングに役立てることができます。

[z/OS]サービス統合バスのセキュリティー関連の問題を特定して解決するには、コンポーネント・トレース (CTRACE) の設定で説明されているように、WebSphere Application Server トレースおよびロギングの機能を使用します。

サービス統合バスのセキュリティーに関連すると思われる問題が生じたら、WebSphere Application Server 管理コンソール、およびアプリケーション・サーバーの SystemOut.log ファイルで、エラー・メッセージを調べることができます。アプリケーション・サーバーのデバッグ・トレースを使用可能にして、例外のダンプの詳細を入手することもできます。
注: このトピックでは、 1 つ以上のアプリケーション・サーバー・ログ・ファイルを参照します。推奨される代替案として、分散システムや IBM® i システムの SystemOut.logSystemErr.logtrace.logactivity.log ファイルではなく、High Performance Extensible Logging (HPEL) ログおよびトレース・インフラストラクチャーを使用するようにサーバーを構成できます。また HPEL は、ネイティブ z/OS ロギング機能と連携させて使用することができます。HPEL を使用する場合、LogViewer コマンド・ライン・ツールを サーバー・プロファイルの bin ディレクトリーから使用して、すべてのログ・ファイルにアクセスし、 情報をトレースできます。HPEL の使用について詳しくは、HPEL を使用してのアプリケーションの トラブルシューティングに関する情報を参照してください。

WebSphere Application Server システム・メッセージは、アプリケーション・サーバー・コンポーネントやアプリケーションなど、さまざまなソースからログに記録されます。 アプリケーション・サーバー・コンポーネントによって記録され、IBM 製品に関連したメッセージは、 メッセージを発行したコンポーネントまたはアプリケーションを示す固有のメッセージ ID で始まります。 サービス統合バスのセキュリティーのコンポーネントのプレフィックスは、CWSII です。

トラブルシューティング担当者用参照情報: メッセージには、 メッセージ接頭語を索引にして、すべての WebSphere Application Server メッセージに関する情報が記載されています。それぞれのメッセージごとに問題の説明、および問題を解決するために取ることのできるアクションの詳細が記載されています。

バージョン 5.1 アプリケーション・サーバーの WebSphere Application Server バージョン 7.0 以降 へのマイグレーション

バージョン 5.1 アプリケーション・サーバーをマイグレーションする前は、ユーザー ID またはパスワードは、ターゲットの MQ Series キューで要求されませんでした。アプリケーション・サーバーが バージョン 7.0 以降 にマイグレーションされた後、デフォルト・メッセージング・プロバイダー (サービス統合バス) を使用すると、基本認証が使用可能になっているため、クライアント要求は失敗します。問題は、以下のログ・メッセージで表示されます。
SibMessage    W   [:] CWSIT0009W: A client request failed in the application 
server with endpoint <endpoint_name> in bus your_bus with reason: CWSIT0016E: 
The user ID null failed authentication in bus your_bus.

WebSphere Application Server バージョン 7.0 以降 では、 サービス統合バスを使用し、サーバーまたはセルに対し WebSphere Application Server のセキュリティーが使用可能になっている場合、サービス統合バスのキュー宛先は、デフォルトでサーバーまたはセルのセキュリティー特性を継承します。そのため、 サーバーまたはセルが基本認証を使用可能にしている場合、クライアント要求は失敗します。

問題を解決するには、 次の 3 つの選択肢があります (セキュリティーの低いものから高いものの順にリストしてあります)。
  • セキュリティーを使用不可にします。
  • バージョン 5.1 の構成と同等レベルのセキュリティーの場合、バスのセキュリティーが使用不可になるように、キュー宛先をホストするサービス統合バスの設定を変更します。そうすることで、バスはサーバーまたはセルからセキュリティー特性を継承しません。
  • バージョン 5.1 の構成より高いレベルのセキュリティーの場合、サービスを使用するそれぞれのクライアントで基本認証を構成します。

WebSphere Application Server セキュリティーを使用不可にするには、スクリプトによるセキュリティーの使用可能化および使用不可化またはグローバル・セキュリティーの設定を参照してください。

バスのセキュリティーを使用不可にするには、管理コンソールを使用して以下のステップを実行します。
  1. サービス統合 ->「バス」 -> 「bus_nameの順に進みます。
  2. 「Secure」チェック・ボックスを外します。
  3. 変更を保存します。
それぞれのクライアントで基本認証を構成するには、 管理コンソールまたは wsadmin ツールを使用します。wsadmin ツールを使用してこのタスクを完了する場合は、wsadmin スクリプトによる Web サービス・クライアント・ポート情報の構成を参照して、WebServicesClientBindPortInfo wsadmin タスク・オプションを使用します。 管理コンソールを使用してこのタスクを完了するには、以下のステップを実行します。
  1. アプリケーション ->「アプリケーション・タイプ」 ->「Websphere エンタープライズ・アプリケーション」 ->「application_name ->「Web モジュールまたは EJB モジュール」 > module_name > 「Web サービス: クライアント・セキュリティーのバインディング」の順に進みます。
  2. 「HTTP basic authentication」をクリックして「Configuring HTTP basic authentication with the administrative console」パネルにアクセスします。
  3. パネルに値を入力します。
  4. 変更をマスター構成に保存します。

権限があるグループ内のユーザー ID を使用して接続したが、LDAP 使用時にアクセスが拒否される

Lightweight Directory Access Protocol (LDAP) レジストリーを使用している場合に考えられる原因の 1 つはグループ名です。グループ許可権限を指定する場合、識別名 (DN) をグループ名として使用する必要があります。グループ名に共通名 (CN) を指定する場合、当該グループ内のユーザーは許可されません。

グループ名を CN から DN に変更する手順は、 問題が発生した場所により異なります。
  • サービス統合バスへの接続で問題がある場合、バス・コネクター・ロールの管理を参照し、CN グループ名を持つすべてのグループを削除し、これらを DN グループ名と置き換えます。
  • 宛先へのメッセージの送信で問題がある場合、宛先ロールの管理を参照し、CN グループ名を持つすべてのグループを削除し、これらを DN グループ名と置き換えます。
  • トピック・スペースへのトピック送信で問題がある場合、トピック・スペース・ルート・ロールの管理を参照し、CN グループ名を持つすべてのグループを削除し、これらを DN グループ名と置き換えます。
  • その他の問題については、 グループ名の変更方法について、許可の管理の該当するセクションを参照してください。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
ファイル名:rjr_prob0.html