服务集成总线安全性:故障诊断技巧

请使用下面这组特定的技巧来帮助您对使用安全服务集成总线时遇到的问题进行故障诊断。

[z/OS]为了帮助您确定并解决与服务集成总线安全性相关的问题,请使用 WebSphere® Application Server 跟踪和日志记录工具(如设置组件跟踪 (CTRACE)所述)。

如果遇到您认为可能与服务集成总线安全性相关的问题,那么可以在WebSphere Application Server管理控制台中以及在应用程序服务器的 SystemOut.log 文件中检查错误消息。您还可以启用应用程序服务器调试跟踪来提供详细的异常转储。
注: 本主题引用了一个或多个应用程序服务器日志文件。作为另一种建议采用的方法,您可以在分布式系统和 IBM® i 系统上配置服务器以使用高性能可扩展日志记录 (HPEL) 记录和跟踪基础结构,而不使用 SystemOut.logSystemErr.logtrace.logactivity.log 文件。您还可以将 HPEL 与本机 z/OS 日志记录设施结合使用。如果要使用 HPEL,那么可从服务器概要文件 bin 目录使用 LogViewer 命令行工具来访问所有日志和跟踪信息。有关使用 HPEL 的更多信息,请参阅有关使用 HPEL 对应用程序进行故障诊断的信息。

WebSphere Application Server 系统消息是从各种来源(包括应用程序服务器组件和应用程序)记录的。由应用程序服务器组件和相关 IBM 产品记录的消息以唯一消息标识开头,此标识指示了发出该消息的组件和应用程序。服务集成总线安全性组件的前缀为 CWSII

故障诊断者参考:消息主题包含有关所有 WebSphere Application Server 消息(按消息前缀建立了索引)的信息。每条消息都提供了问题说明以及有关任何可以用来解决该问题的操作的详细信息。

V5.1 应用程序服务器迁移到 WebSphere Application Server V7.0 或更高版本

在迁移 V5.1 应用程序服务器之前,在目标 MQ Series 队列中不需要用户标识或密码。将应用程序服务器迁移到 V7.0 或更高版本之后,在使用缺省消息传递提供程序(服务集成总线)时,客户机请求将失败,这是因为现在已经启用了基本认证。此问题以日志消息形式出现:
SibMessage    W   [:] CWSIT0009W: A client request failed in the application 
server with endpoint <endpoint_name> in bus your_bus with reason: CWSIT0016E: 
The user ID null failed authentication in bus your_bus.

WebSphere Application Server V7.0 或更高版本 中,使用服务集成总线并且对服务器或单元启用 WebSphere Application Server 安全性后,缺省情况下服务集成总线队列目标会继承服务器或单元的安全性特征。因此,如果服务器或单元启用了基本认证,那么客户机请求将失败。

要解决该问题,您有三种选择(按安全性进行排序,从最不安全到最安全):
  • 禁用安全性。
  • 对于与 V5.1 上的配置等价的安全级别,修改用来存放队列目标的服务集成总线的设置,以便禁用总线安全性,从而使得总线不会继承服务器或单元中的安全性特征。
  • 对于比 V5.1 上的配置更高的安全级别,在使用服务的每个客户机上配置基本认证。

要禁用 WebSphere Application Server 安全性,请参阅使用脚本启用和禁用安全性全局安全性设置

要禁用总线安全性,请使用管理控制台来完成以下步骤:
  1. 浏览至服务集成 -> 总线 -> bus_name
  2. 取消选中安全复选框。
  3. 保存更改。
要配置每个客户机上的基本认证,使用管理控制台或者 wsadmin 工具。要使用 wsadmin 工具来完成此任务,请参阅使用 wsadmin 脚本编制配置 Web Service 客户机端口信息,并使用 wsadmin 任务选项 WebServicesClientBindPortInfo。要使用管理控制台完成此任务,请执行以下步骤:
  1. 浏览至应用程序 -> 应用程序类型 -> WebSphere 企业应用程序 -> application_name -> Web 模块或 EJB 模块 > module_name > Web Service:客户机安全性绑定
  2. 单击 HTTP 基本认证以访问“使用管理控制台配置 HTTP 基本认证”面板。
  3. 在该面板中输入值。
  4. 将更改保存至主配置。

在使用 LDAP 的情况下,使用已获得授权的组中的用户标识来建立连接时,访问被拒绝

在使用轻量级目录访问协议 (LDAP) 注册表时,其中一种可能的原因是组名。在指定组许可权时,应该将专有名称 (DN) 用作组名。如果指定公共名(CN)作为组名,那么该组中的用户将无法获得授权。

在将组名由 CN 更改为 DN 时,执行的步骤取决于问题的发生位置。
  • 如果在连接到服务集成总线时发生问题,请参阅管理总线连接者角色,并移除任何具有 CN 组名的组,然后将它们替换为具有 DN 组名的组。
  • 如果在将消息发送至目标时发生问题,请参阅管理目标角色,并移除任何具有 CN 组名的组,然后将它们替换为具有 DN 组名的组。
  • 如果在将主题发送至主题空间时发生问题,请参阅管理主题空间根角色,并移除任何具有 CN 组名的组,然后将它们替换为具有 DN 组名的组。
  • 对于任何其他问题,请参阅管理许可权中有关修改组名的相应部分。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjr_prob0
文件名:rjr_prob0.html