セキュリティー構成および使用可能化のエラー

この情報を使用して、セキュリティーを構成または使用可能にする際の問題をトラブルシューティングします。

注: このトピックでは、 1 つ以上のアプリケーション・サーバー・ログ・ファイルを参照します。推奨される代替案として、分散システムや IBM® i システムの SystemOut.logSystemErr.logtrace.logactivity.log ファイルではなく、High Performance Extensible Logging (HPEL) ログおよびトレース・インフラストラクチャーを使用するようにサーバーを構成できます。また HPEL は、ネイティブ z/OS® ロギング機能と連携させて使用することができます。HPEL を使用する場合、LogViewer コマンド・ライン・ツールを サーバー・プロファイルの bin ディレクトリーから使用して、すべてのログ・ファイルにアクセスし、 情報をトレースできます。HPEL の使用について詳しくは、HPEL を使用してのアプリケーションの トラブルシューティングに関する情報を参照してください。

[AIX Solaris HP-UX Linux Windows][IBM i]セキュリティー関連の問題を診断および解決するための一般的なヒントについては、セキュリティー・コンポーネントのトラブルシューティングのトピックを参照してください。

「LTPA パスワードが設定されていません。検証が失敗しました」エラー・メッセージ

「LTPA パスワードが設定されていません。検証が失敗しました。」というエラー・メッセージが、管理セキュリティー設定またはアプリケーション・セキュリティー設定を保存した後、管理コンソールに表示される

このエラーの原因は、WebSphere Application Server セキュリティーを構成する際に、認証メカニズムとして LTPA を選択し、LTPA パスワード・フィールドを設定しなかったためと考えられます。この問題を解決するには、以下を行います。
  • 「セキュリティー」 > 「グローバル・セキュリティー」 > 「認証メカニズムおよび有効期限」 > 「LTPA」の順に選択します。
  • パスワードを入力し、パスワード・フィールドを確認します。
  • 「OK」 をクリックします。
  • もう一度管理またはアプリケーション・セキュリティーの設定を試みてください。
[AIX Solaris HP-UX Linux Windows][z/OS]

setupClient.bat ファイルまたは setupClient.sh ファイルが正しく動作していない

Windows オペレーティング ・システムの setupClient.bat ファイル、および Linux と UNIX ベースのプラットフォームの setupClient.sh ファイル で、SOAP セキュリティー・プロパティー・ファイルのロケーションが誤って指定されています。
[Windows]setupClient.bat ファイルでの正しい場所は、以下のようになります。
set CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:%WAS_HOME%/properties/soap.client.props
[AIX][Linux][AIX HP-UX Solaris][z/OS]setupClient.sh ファイル内の CLIENTSOAP 変数は、以下のようになります。
CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:$WAS_HOME/properties/soap.client.props
setupClient.bat ファイル および setupClient.sh ファイルで、以下のステップを実行してください。
  1. file: の後にある、先行スラッシュ ( / ) を除去します。
  2. sassoap に変更します。
[HP-UX]

Java HotSpot Server VM の警告

HP-UX 11i プラットフォームでセキュリティーを使用可能にしてから、 コア・ダンプとともに native_stdout.log ファイルで以下のエラーが 発生したため、WebSphere Application Server が始動しません。
Java HotSpot(TM) Server VM warning: 
Unexpected Signal 11 occurred under user-defined signal handler 0x7895710a
このエラーを回避するには、Hewlett Packard サポート・サイト (URL http://www.hp.com) にある Java™ について Hewlett Packard によって推奨されているフィックスを適用します。

Enterprise Workload Manager (EWLM) と併用して WebSphere Application Server バージョン 6 が正しく動作しない

EWLM と WebSphere Application Server バージョン 6 を併用するには、WebSphere Application Server の server.policy ファイルを手動で更新する必要があります。 以下に例を示します。
grant codeBase "file:/<EWLM_Install_Home>/classes/ARM/arm4.jar" {
 permission java.security.AllPermission;
};
それ以外では、Java 2 セキュリティー権限に違反することによる Java 2 セキュリティー例外が発生する場合があります。

server.policy ファイルの構成について詳しくは、server.policy ファイルのアクセス権を参照してください。

IBM サポートから入手可能な既知の問題およびその解決法に関する最新の情報については、IBM サポート・ページを参照してください。

IBM サポートの資料を利用すると、 この問題の解決に必要な情報収集の時間を節約できます。 PMR を開く前に、IBM サポート・ページを参照してください。

NMSV0610I: javax.naming.Context 実装から NamingException がスローされています

CSIv2 インバウンド認証を使用している場合は、基本認証が必 要であり、com.ibm.CORBA.validateBasicAuth=true で実行されている Java クライアント では、以下の例外によって障害が起こることがあります。
If you use CSIv2 inbound authentication, basic authentication is required, and Java™ 
clients running with com.ibm.CORBA.validateBasicAuth=true might fail with the 
following exception:

NMSV0610I: A NamingException is being thrown from a javax.naming.Context 
           implementation.
Details follow:

Context implementation: com.ibm.ws.naming.jndicos.CNContextImpl
Context method: lookupExt
Context name: TestaburgerNode01Cell/nodes/TestaburgerNode01/servers/server1
Target name: SecurityServer
Other data: "" ""
Exception stack trace: javax.naming.NoPermissionException: NO_PERMISSION exception caught. Root exception is org.omg.CORBA.NO_PERMISSION: vmcid: 0x49421000 minor code: 92 completed: No
...
SECJ0395E: Could not locate the SecurityServer at host/port:9.42.72.27/9100 to validate the userid and password entered. You may need to specify valid securityServerHost/Port in (WAS_INSTALL_ROOT)/properties/sas.client.props file.

この問題をフィックスするには 、WAS_HOME/profiles/<profile-name>/properties にある、クライアントの sas.clients.props ファイル の com.ibm.CORBA.validateBasicAuth=false プロパティーを変更してから クライアントを実行します。

パフォーマンス・サーブレットが許可エラーを表示し、統計を提供できない

WebSphere Application Server バージョン 6.1 では、 管理セキュリティーが使用可能になっていると、管理サービスがロック・ダウンされます。 ただし、アプリケーション・セキュリティーが使用不可になっている場合は、 着信要求に対して認証の要求が発生せず、したがって、パフォーマンス・サーブレットが 管理サービスにアクセスするためのクレデンシャルが存在しません。

管理セキュリティーが有効になっている場合は、パフォーマンス・サーブレットが着信要求を処理できるように、 アプリケーション・セキュリティーも有効にする必要があります。

Tivoli 用の JACC プロバイダーの構成後にユーザーおよびグループを マイグレーションすると、「名前値が無効です」と表示される

[AIX Solaris HP-UX Linux Windows][IBM i]Tivoli® Access Manager の JACC プロバイダーの構成後に コンソールのユーザーおよびグループに行った変更のマイグレーションに migrateEAR ユーティリティーを使用した場合、systemOut.log ファイルに以下の構成エラーが表示されます。

[z/OS]Tivoli Access Manager の JACC プロバイダーの構成後にコンソールのユーザーおよびグループに行った変更をマイグレーションするのに migrateEAR ユーティリティーを使用した場合、ジョブ・ログ・ファイルの該当する出力に以下の構成エラーが表示されます。

<specialSubjects> name value is invalid
[z/OS]注: z/OS オペレーティング・システムには SystemOut ログ・ファイルは存在しないため、z/OS オペレーティング・システムの場合は 該当するジョブ・ログの出力を調べてください。

migrateEAR ユーティリティーは、 admin-authz.xml ファイルに含まれるユーザーおよびグループのデータを マイグレーションします。ただし、マイグレーション以前 に Tivoli Access Manager の管理者アクセス制御リスト (ACL) に pdwas-admin グループが追加された場合、 migrateEAR ユーティリティーでは admin-authz.xml ファイルにリストされる XML タグを変換 しません。

このエラーを解決するには、padadmin で 次のコマンドを入力して、pdwas-admin グループがマイグレーションの前に管理者の ACL に 入ったかどうかを確認します。

acl show
_WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL

結果は 以下のように表示されます。

ACL Name:
_WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL
Description: Created by the Tivoli Access Manager
for Websphere Application Server Migration Tool.
Entries:
User sec_master TcmdbsvaBR1
Group pdwas-admin T[WebAppServer]i

pdwas-admin グループが リストされていない場合は、pdadmin で以下のコマンドを入力して、pdwas-admin グループを 追加するように ACL を変更します。

acl modify 
_WebAppServer_deployedResources_Roles_administrator_admin
-authz_ACL set gruop pdwas-admin T [WebAppServer]i

Sun JDK が、Application Server で作成された PKCS12 鍵ストアを読み取ることができない

Sun JDK は、Application Server で作成された PKCS12 鍵ストアを読み取ることができません。 この理由は、IBM SDK および Application Server が使用する PKCS12 の実装が、Sun JDK で使用される 実装と異なるためです。Application Server で作成されたデフォルトのトラストストア trust.p12、 または鍵ストア key.P12 を読み取るのに Sun JDK が使用された場合、この違いが原因で問題が発生します。

Sun JDK ではトラストストアを読み取ることはできないので、まず IBM SDK を使用して、 トラストストアから証明書を抽出する必要があります。その後は、これらの証明書を、 Sun JDK が正しく認識できる鍵ストア (JKS 鍵ストアなど) にインポートします。

非セキュア・リソースからのセキュア・リソースの呼び出しはサポートされない

セキュア・リソースを呼び出す非セキュア・リソース (JSP またはサーブレットなど) を使用している場合、非セキュア・リソースがユーザーからデータを収集し、その後でそのデータを処理のためにセキュアな JSP ファイルまたはサーブレット・ファイルに送ると、アプリケーションが失敗することがあります。

このシナリオを予防するには、Web アプリケーションがセキュアな JSP またはサーブレット・ファイルに対して HTTP POST アクションを実行する前に、ユーザーにログインを強制するように、Web アプリケーションを構成してください。そのためには、任意のセキュリティー・メカニズム (基本認証、フォーム・ログイン、または証明書) を使用して最初の非セキュア・リソースをセキュアにしてください。

このような制約があるのは、基本認証およびフォーム・ログインがサーブレット sendRedirect メソッドを使用し、このメソッドがユーザーに対していくつかの影響を与えるためです。 sendRedirect メソッドは、基本認証時およびフォーム・ログイン時に 2 回使用されます。

sendRedirect メソッドは、まず基本認証またはフォーム・ログイン・ページを Web ブラウザーに表示します。 このメソッドは、後で Web ブラウザーを、最初に要求した保護ページにリダイレクトします。sendRedirect(String URL) メソッドは、 Web アドレスで指定されるページへのアクセスに HTTP GET 要求を使用するよう Web ブラウザーに通知します。 HTTP POST が、保護された JSP またはサーブレット・ファイルへの最初の要求であり、以前に認証またはログインが行われていない場合は、HTTP POST は要求されたページに送信されません。ただし、HTTP GET は送信されます。これは、基本認証およびフォーム・ログインが sendRedirect メソッドを使用するためです。sendRedirect メソッドは、ログイン後に要求されたページの表示を試みる HTTP GET 要求として動作します。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_secconfigprobs
ファイル名:rtrb_secconfigprobs.html