この項目では Java Authorization Contract for Containers (JACC) 許可プロバイダーを使用する際に遭遇する 可能性のある問題を説明します。Tivoli Access Manager は、許可プロバイダーとして WebSphere Application Server にバンドルされています。 しかし、ユーザーが独自の許可プロバイダーをプラグインすることもできます。
JACC の構成で問題がある場合は、以下の項目を確認してください。
JACC が構成された後にサーバーが始動しない場合は、以下の項目をチェックしてください。
「保管」をクリックすると、ポリシーと役割の情報が Tivoli Access Manager ポリシーに伝搬されます。このプロセスは、終了までに若干の時間がかかる場合があります。 保管に失敗した場合、アプリケーションをアンインストールして、それから再インストールする必要があります。
アプリケーションをインストールした後アクセスするには、保管してから アプリケーションの始動にデフォルトで 30 秒待つ必要があります。
profile_root/etc/pd/PolicyDirector/PDPerm.properties profile_root/etc/pd/PolicyDirector/PdPerm.ks profile_root/etc/tam/*
java -Djava.version=1.5 -classpath "app_server_root/lib/AMJACCProvider.jar:CLASSPATH" com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: AWXJR0007E A Tivoli Access Manager exception was caught. Details are: 「HPDIA0202W An unknown user name was presented to Access Manager.」ホスト名が MS アクティブ・ ディレクトリーに対して構成されている場合、Tivoli Access Manager の定義済みの制限を超えたときに、 この問題が生じる可能性があります。 WebSphere Application Server では、ホスト名の最大長は 46 文字を超えることができません。
ホスト名が完全修飾されていないことを確認します。 ホスト名にホスト・ドメインが含まれないよう、マシンを構成します。
pdadmin -a administrator_name -p administrator_passwordpdadmin administrator_name プロンプトが表示されます。以下に例を示します。
pdadmin -a administrator1 -p passw0rd
user import user_name cn=user_name,o=organization_name,c=country以下に例を示します。
user import jstar cn=jstar,o=ibm,c=us
user modify user_name account-valid yes以下に例を示します。
user modify jstar account-valid yes
LDAP から Tivoli Access Manager へグループをインポートする方法については、Tivoli Access Manager の資料を参照してください。
AWXJR0008E Failed to create a PDPrincipal for principal mgr1.: AWXJR0007E A Tivoli Access Manager exception was caught. 詳細:「HPDAC0778E The specified user's account is set to invalid」
user modify user_name account-valid yes以下に例を示します。
user modify jstar account-valid yes
AWXJR0035E An error occurred while attempting to add member, cn=agent3,o=ibm,c=us, to role AgentRole HPDJA0506E Invalid argument: Null or zero-length user name field for the ACL entry
このエラーを訂正するには、Tivoli Access Manager のセキュリティー役割にマップされるユーザーを作成またはインポートします。 セキュリティー・ポリシー情報の伝搬に関する情報について詳しくは、ご使用の許可プロバイダーの資料を参照してください。
WASX7017E: Exception received while running file "InsuranceServicesSingle.jacl"; exception information: com.ibm.ws.scripting.ScriptingException: WASX7111E: Cannot find a match for supplied option: "[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers
$AdminApp MapRolesToUsers タスク・オプションは、Tivoli Access Manager が許可サーバーとして使用された場合に無効になります。 このエラーを訂正するには、MapRolesToUsers を TAMMapRolesToUsers に変更します。
AWXJR0044E: The access decision for Permission, {0}, was denied because either the PolicyConfiguration or RoleConfiguration objects did not get created successfully at application installation time. RoleConfiguration exists = {false}, PolicyConfiguration exists = {false}."
アクセス拒否例外がアプリケーションに予期されていない場合、SystemOut.log ファイルを確認し、セキュリティー・ポリシー情報が正しくプロバイダーに伝搬されたかを確認してください。
アプリケーションのセキュリティー・ポリシー情報が正常にプロバイダーへ伝搬されている場合、メッセージ・キー SECJ0415I の監査ステートメントが表示されます。 しかし、 セキュリティー・ポリシー情報のプロバイダーへの伝搬に問題があった場合 (例えば、 ネットワークの問題、JACC プロバイダーが使用できないなど)、SystemOut.log ファイルには、 メッセージ・キー SECJ0396E (インストール時) または SECJ0398E (変更時) のエラー・メッセージが 記録されます。アプリケーションのインストールは、 セキュリティー・ポリシーの JACC プロバイダーへの伝搬の失敗によって停止されません。 また、失敗した場合、保管操作中に、例外またはエラー・メッセージは表示されません。 この失敗の原因である問題が 修正されたら、propagatePolicyToJaccProvider ツールを実行して、セキュリティー・ポリシー情報をプロバイダーに伝搬してください。 その際、アプリケーションは再インストールしないでください。