この情報を使用して、セキュリティーを構成または使用可能にする際の問題をトラブルシューティングします。
セキュリティー関連の問題を診断および解決するための一般的なヒントについては、セキュリティー・コンポーネントのトラブルシューティングを参照してください。
set CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:%WAS_HOME%/properties/soap.client.props
CLIENTSOAP=-Dcom.ibm.SOAP.ConfigURL=file:$WAS_HOME/properties/soap.client.props
Java HotSpot(TM) Server VM warning: Unexpected Signal 11 occurred under user-defined signal handler 0x7895710aこのエラーを回避するには、URL: http://www.hp.com/products1/unix/java/infolibrary/patches.html にある、Hewlett Packard for Java 推奨の修正を適用します。
grant codeBase "file:/<EWLM_Install_Home>/classes/ARM/arm4.jar" { permission java.security.AllPermission; };それ以外では、Java 2 セキュリティー権限に抵触することによる Java 2 セキュリティー例外が発生する場合があります。
server.policy ファイルの構成について詳しくは、server.policy ファイルのアクセス権 を参照してください。
IBM サポートから入手可能な既知の問題およびその解決法に関する最新の情報については、IBM サポート・ページを参照してください。
IBM サポートの資料を利用すると、 この問題の解決に必要な情報収集の時間を節約できます。 PMR を開く前に、IBM サポート・ページを参照してください。
If you use CSIv2 inbound authentication, basic authentication is required, and Java™ clients running with com.ibm.CORBA.validateBasicAuth=true might fail with the following exception: NMSV0610I: A NamingException is being thrown from a javax.naming.Context implementation. Details follow: Context implementation: com.ibm.ws.naming.jndicos.CNContextImpl Context method: lookupExt Context name: TestaburgerNode01Cell/nodes/TestaburgerNode01/servers/server1 Target name: SecurityServer Other data: "" Exception stack trace: javax.naming.NoPermissionException: NO_PERMISSION exception caught. Root exception is org.omg.CORBA.NO_PERMISSION: vmcid: 0x49421000 minor code: 92 completed: No ... SECJ0395E: Could not locate the SecurityServer at host/port:9.42.72.27/9100 to validate the userid and password entered. You may need to specify valid securityServerHost/Port in (WAS_INSTALL_ROOT)/properties/sas.client.props file.
この問題を修正するには、clients.sas.clients.props ファイルの com.ibm.CORBA.validateBasicAuth=false プロパティーを変更してからクライアントを実行します。
WebSphere Application Server バージョン 6.1 では、 管理セキュリティーが使用可能になっていると、管理サービスがロックされます。 ただし、アプリケーション・セキュリティーが使用不可になっている場合は、 着信要求に対して認証の要求が発生せず、したがって、パフォーマンス・サーブレットが 管理サービスにアクセスするためのクレデンシャルが存在しません。
管理セキュリティーが有効になっている場合は、パフォーマンス・サーブレットが着信要求を処理できるように、 アプリケーション・セキュリティーも有効にする必要があります。
Tivoli Access Manager の JACC プロバイダーの構成後に コンソールのユーザーおよびグループに行った変更をマイグレーションするのに migrateEAR ユーティリティーを使用した場合、systemOut.log ファイルに以下の構成エラーが表示されます。
<specialSubjects> 名前値が無効です
migrateEAR ユーティリティーは、 admin-authz.xml ファイルに含まれるユーザーおよびグループのデータを マイグレーションします。ただし、マイグレーション以前に Tivoli Access Manager の 管理者のアクセス制御リスト (ACL) に pdwas-admin グループが追加されると、 migrateEAR ユーティリティーは admin-authz.xml ファイルにリストされる XML タグは 変換しません。
このエラーを解決するには、padadmin で 次のコマンドを入力して、pdwas-admin グループがマイグレーションの前に管理者の ACL に 入ったかどうかを確認します。
acl show _WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL
結果は 以下のように表示されます。
ACL Name: _WebAppServer_deployedResources_Roles_administrator_admin-authz_ACL Description: Created by the Tivoli Access Manager for Websphere Application Server Migration Tool. Entries: User sec_master TcmdbsvaBR1 Group pdwas-admin T[WebAppServer]i
pdwas-admin グループが リストされていない場合は、pdadmin で以下のコマンドを入力して、pdwas-admin グループを 追加するように ACL を変更します。
acl modify _WebAppServer_deployedResources_Roles_administrator_admin -authz_ACL set gruop pdwas-admin T [WebAppServer]i
Sun JDK は、Application Server で作成された PKCS12 鍵ストアを読み取ることができません。 これの理由は、 IBM SDK および Application Server が使用する PKCS12 実装が、Sun JDK で使用される 実装と異なるためです。Application Server で作成されたデフォルトのトラストストア trust.p12、 または鍵ストア key.P12 を読み取るのに Sun JDK が使用された場合、この違いが原因で問題が発生します。
Sun JDK ではトラストストアは読み取れないので、まず IBM SDK を使用して、 トラストストアから証明書を抽出する必要があります。その後は、これらの証明書を、 Sun JDK が正しく認識できる鍵ストア (JKS 鍵ストアなど) にインポートします。