WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

セキュリティー許可プロバイダーのトラブルシューティングのヒント

この項目では Java Authorization Contract for Containers (JACC) 許可プロバイダーを使用する際に遭遇する 可能性のある問題を説明します。Tivoli Access Manager は、許可プロバイダーとして WebSphere Application Server にバンドルされています。 しかし、ユーザーが独自の許可プロバイダーをプラグインすることもできます。

Java Authorization Contract for Containers 許可プロバイダーとしての Tivoli Access Manager

Java Authorization Contract for Container 許可プロバイダーのための外部プロバイダー

JACC 許可に外部プロバイダーを使用した場合に、以下のような問題に遭遇することがあります。

JACC の構成ができないことがある

JACC の構成で問題がある場合は、以下の項目を確認してください。

JACC の構成後にサーバーが始動できないことがある

JACC が構成された後にサーバーが始動しない場合は、以下の項目をチェックしてください。

アプリケーションが正しくデプロイできないことがある

保管」をクリックすると、ポリシーと役割の情報が Tivoli Access Manager ポリシーに伝搬されます。このプロセスは、終了までに若干の時間がかかる場合があります。 保管に失敗した場合、アプリケーションをアンインストールして、それから再インストールする必要があります。

アプリケーションをインストールした後アクセスするには、保管してから アプリケーションの始動にデフォルトで 30 秒待つ必要があります。

Tivoli Access Manager を 構成した後に startServer コマンドが失敗することがある、または JACC の構成解除後に クリーン・アンインストールが実行されない

JACC を構成した後に JACC 構成解除のクリーンアップまたはサーバーの始動に失敗した場合は、以下のアクションを実行します。
  • WebSphere Application Server から Tivoli Access Manager プロパ ティー・ファイルを除去します。
    以下のファイルを除去する必要があります。
    profile_root/etc/pd/PolicyDirector/PDPerm.properties 
    profile_root/etc/pd/PolicyDirector/PdPerm.ks
    profile_root/etc/tam/*
  • ユーティリティーを使用してセキュリティー構成をクリアし、Tivoli Access Manager 用の JACC プロバイダーが構成される前の状態にシステムを戻します。 このユーティリティーは、 すべての PDLoginModuleWrapper エントリーと Tivoli Access Manager 許可テーブル・エントリーを security.xml ファイルから除去するので、Tivoli Access Manager 用の JACC プロバイダーを効率的に除去できます。 このユーティリティーを実行する前に security.xml ファイルをバックアップしてください。
    以下のコマンドを入力します。
    java -Djava.version=1.5 -classpath 
    "app_server_root/lib/AMJACCProvider.jar:CLASSPATH"
    com.tivoli.pd.as.jacc.cfg.CleanSecXML fully_qualified_path/security.xml
    

「HPDIA0202w An unknown user name was presented to Access Manager」エラーが起こる可能性がある

Tivoli Access Manager と一緒に、Local Directory Access Protocol (LDAP) ユーザー・レジストリーにある既存ユーザーを使用しようとした場合、次のエラー・メッセージが表示されることがあります。
AWXJR0008E   Failed to create a PDPrincipal for principal mgr1.:
AWXJR0007E   A Tivoli Access Manager exception was caught.
Details are:
「HPDIA0202W   An unknown user name was presented to Access
Manager.」
ホスト名が MS アクティブ・ ディレクトリーに対して構成されている場合、Tivoli Access Manager の定義済みの制限を超えたときに、 この問題が生じる可能性があります。 WebSphere Application Server では、ホスト名の最大長は 46 文字を超えることができません。

ホスト名が完全修飾されていないことを確認します。 ホスト名にホスト・ドメインが含まれないよう、マシンを構成します。

このエラーを訂正するには、以下のステップを実行してください。
  1. コマンド行で以下の情報を入力して Tivoli Access Manager コマンド ・プロンプトを取得します。
    pdadmin -a administrator_name -p administrator_password
    pdadmin administrator_name プロンプトが表示されます。以下に例を示します。
    pdadmin -a administrator1 -p passw0rd
  2. pdadmin コマンド・プロンプトで以下の情報を入力することにより、 LDAP ユーザー・レジストリーから Tivoli Access Manager にユーザーをインポートします。
    user import user_name cn=user_name,o=organization_name,c=country
    
    以下に例を示します。
    user import jstar cn=jstar,o=ibm,c=us
    
ユーザーを Tivoli Access Manager にインポートしたら、user modify コマンドを使用してユーザー・アカウントを valid に設定します。 以下の構文はこのコマンドの使用方法を説明しています。
user modify user_name account-valid yes
以下に例を示します。
user modify jstar account-valid yes

LDAP から Tivoli Access Manager へグループをインポートする方法については、Tivoli Access Manager の資料を参照してください。

「HPDAC0778E The specified user's account is set to invalid」エラーが起こる可能性がある

ユーザーを Tivoli Access Manager にインポートし、クライアントを再始動した後で、次のようなエラー・メッセージが表示される場合があります。
AWXJR0008E   Failed to create a PDPrincipal for principal mgr1.:
AWXJR0007E   A Tivoli Access Manager exception was caught.
詳細:「HPDAC0778E   The specified user's account is set to invalid」
このエラーを訂正するためには、user modify コマンドを使用してユーザー・アカウントを有効に設定します。 以下の構文はこのコマンドの使用方法を説明しています。
user modify user_name account-valid yes
以下に例を示します。
user modify jstar account-valid yes

「HPDJA0506E Invalid argument: Null or zero-length user name field for the ACL entry」エラーが起こる可能性がある

wsadmin propagatePolicyToJACCProvider コマンドを使用してアプリケーションから プロバイダーへセキュリティー・ポリシー情報を伝搬するときに、以下のメッセージのようなエラーが表示される場合があります。
AWXJR0035E   An error occurred while  attempting to add member,
                cn=agent3,o=ibm,c=us, to role AgentRole
HPDJA0506E   Invalid argument: Null or zero-length user name field for
                the ACL entry

このエラーを訂正するには、Tivoli Access Manager のセキュリティー役割にマップされるユーザーを作成またはインポートします。 セキュリティー・ポリシー情報の伝搬に関する情報について詳しくは、ご使用の許可プロバイダーの資料を参照してください。

「WASX7017E: Exception received while running file "InsuranceServicesSingle.jacl"」エラーが起こる可能性がある

JACC プロバイダーおよび Tivoli Access Manager を使用可能にして、wsadmin コマンドを使用してセキュリティー役割で構成したアプリケーションをインストールしようとした場合に、以下のエラーが起こる可能性があります。
WASX7017E: Exception received while running file "InsuranceServicesSingle.jacl"; 
exception information: com.ibm.ws.scripting.ScriptingException: WASX7111E: 
Cannot find a match for supplied option: 
"[RuleManager, , , cn=mgr3,o=ibm,c=us|cn=agent3,o=ibm,c=us, cn=ManagerGro
up,o=ibm,c=us|cn=AgentGroup,o=ibm,c=us]" for task "MapRolesToUsers

$AdminApp MapRolesToUsers タスク・オプションは、Tivoli Access Manager が許可サーバーとして使用された場合に無効になります。 このエラーを訂正するには、MapRolesToUsers を TAMMapRolesToUsers に変更します。

JACC を使用してアプリケーションにアクセスする際に出されるアクセス拒否例外

Tivoli Access Manager の場合、以下のエラー・メッセージが表示されることがあります。
AWXJR0044E: The access decision for Permission, {0}, was denied because either the
PolicyConfiguration or RoleConfiguration objects did not get created successfully at 
application installation time. RoleConfiguration exists = {false}, PolicyConfiguration 
exists = {false}."

アクセス拒否例外がアプリケーションに予期されていない場合、SystemOut.log ファイルを確認し、セキュリティー・ポリシー情報が正しくプロバイダーに伝搬されたかを確認してください。

アプリケーションのセキュリティー・ポリシー情報が正常にプロバイダーへ伝搬されている場合、メッセージ・キー SECJ0415I の監査ステートメントが表示されます。 しかし、 セキュリティー・ポリシー情報のプロバイダーへの伝搬に問題があった場合 (例えば、 ネットワークの問題、JACC プロバイダーが使用できないなど)、SystemOut.log ファイルには、 メッセージ・キー SECJ0396E (インストール時) または SECJ0398E (変更時) のエラー・メッセージが 記録されます。アプリケーションのインストールは、 セキュリティー・ポリシーの JACC プロバイダーへの伝搬の失敗によって停止されません。 また、失敗した場合、保管操作中に、例外またはエラー・メッセージは表示されません。 この失敗の原因である問題が 修正されたら、propagatePolicyToJaccProvider ツールを実行して、セキュリティー・ポリシー情報をプロバイダーに伝搬してください。 その際、アプリケーションは再インストールしないでください。

FileNotFoundException エラーが発生する可能性がある

WebSphere Application Server が Tivoli Access Manager を JACC プロバイダーとして使用して実行されている場合は、 メモリー不足問題が発生する場合があります。 Tivoli Access Manager を Java Authorization Contract for Containers (JACC) プロバイダーとして構成した後にこの問題を修正するには、以下のステップを実行します。
  1. amwas.amjacc.template.properties ファイルの com.tivoli.pd.as.atcc.ATCCache.enabled プロパティーを、false に設定します。 このファイルは、PROFILE_HOME/config/cells/cell_name/ ディレクトリーにあります。
  2. amwas.NODENAME_SERVERNAME.amjacc.template.properties ファイルの com.tivoli.pd.as.atcc.ATCCache.enabled プロパティーを false に設定します。 このファイルは、PROFILE_HOME/etc/tam ディレクトリーにあります。
  3. WebSphere Application Server を再始動します。



関連概念
許可プロバイダー
JACC プロバイダーとしての Tivoli Access Manager の統合
JACC プロバイダー
WebSphere Application Server での JACC サポート
関連タスク
外部 JACC プロバイダーの使用可能化
Tivoli Access Manager を使用した J2EE リソースへのアクセスの許可
JACC プロバイダーへのインストール済みアプリケーションのセキュリティー・ポリシーの wsadmin スクリプトを使用した伝搬
セキュリティー構成のトラブルシューティング
関連資料
JACC をサポートするインターフェース
関連情報
IBM Tivoli Access Manager for e-business information center
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/rsec_jacctroubles.html