Besondere Konfigurationsschritte bei der Verwendung von 'Authentifizierung nur anhand der Identität' und LDAP

Informationen zu diesem Vorgang

Bei Verwendung der Authentifizierung nur anhand der Identität in Kombination mit WebSphere Application Server for z/OS und LDAP müssen möglicherweise zusätzliche manuelle Konfigurationsschritte durchgeführt werden, unabhängig davon, ob die Konfiguration über die Administrationskonsole von WebSphere Application Server for z/OS oder das Ziel configure erfolgt. Wenn Sie bei einer solchen Kombination feststellen, dass WebSphere Application Server for z/OS nicht erfolgreich startet, liegt es daran, dass der Ausschlusslisteneigenschaft (exclude_usernames) des Anmeldemoduls, die in Anmeldemodul hinzufügen beschrieben wird, ein von WebSphere Application Server for z/OS generierter Benutzername hinzugefügt werden muss. Wenn der Start von WebSphere Application Server for z/OS fehlzuschlagen droht, erscheint zuvor die Fehlernachricht 'SECJ0270E' in der Datei SystemOut.log.

Folgende Schritte sind für die Behebung dieses Problems erforderlich:

Vorgehensweise

  1. Ermitteln Sie den Benutzernamen, der den Start von WebSphere Application Server for z/OS fehlschlagen lässt. Konfigurieren Sie den Trace des Anmeldemoduls wie in Authentifizierungsprozess protokollieren (in Bezug auf das Ziel configure) oder Anmeldemodul hinzufügen (in Bezug auf die Konfiguration über die Administrationskonsole) beschrieben, und starten Sie WebSphere Application Server for z/OS erneut. Wenn der Trace des Anmeldemoduls aktiv ist, ermitteln die Trace-Daten vor Erscheinen der SECJ0270E-Fehlermeldung in der Datei SystemOut.log den Benutzernamen, der das Fehlschlagen verursacht, und geben einen Eintrag ähnlich dem folgenden aus: 
    SystemOut     O Username: server:MyNodeCell_MyNode_CuramServer

    Wobei "MyNode" der Knotenname, "MyNodeCell" der Zellenname und "CuramServer" der Servername des WebSphere Application Server for z/OS ist. Auf die Trace-Daten des Anmeldemoduls folgt der Fehler, der folgendermaßen aussieht:

    SECJ0270E: Failed to get actual credentials.
   Die Ausnahmebedingung ist 'javax.security.auth.login.LoginException':
   Kontext: MyNodeCell/nodes/MyNode/servers/CuramServer,
   Name: curamejb/LoginHome:
   Erste Komponente im Namen 'curamejb/LoginHome' nicht gefunden.
  2. Geben Sie den Benutzernamen, der das Fehlschlagen des Starts verursacht, in der Eigenschaft 'exclude_usernames' des Anmeldemoduls in der Konfiguration für WebSphere Application Server for z/OS an. Da sich WebSphere Application Server for z/OS nicht starten lässt, kann diese Änderung nicht über die Administrationskonsole erfolgen, sondern nur über die direkte Bearbeitung der Konfigurationsdatei des WebSphere Application Server for z/OS. Bearbeiten Sie im Konfigurationsdateisystem des WebSphere Application Server for z/OS die Datei config\cells\MyNodeCell\security.xml, in der es drei Vorkommen der Eigenschaft 'exclude_usernames' gibt, für jeden Alias eine, z.B.: 
    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin"
   required="false"/>

    Alle drei Vorkommen müssen modifiziert werden, so dass sie den neu ermittelten Benutzernamen aus dem obigen Traceeintrag einschließen, z.B.:

    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin,server:MyNodeCell_MyNode_CuramServer"
   required="false"/>

    Beachten Sie, dass in den Vorkommen der Eigenschaft 'exclude_usernames' das id-Attribut je nach Ihrer Systemkonfiguration unterschiedlich sein kann und das Kommatrennzeichen des Beispielwertattributs den Standardwert 'curam.security.usernames.delimiter' darstellt, der in Ihrem Fall anders ausfallen kann.

  3. Starten Sie WebSphere Application Server for z/OS erneut.
Übergeordnetes Thema: Sicherheitskonfiguration