Zugriffsfehler nach Aktivierung der Sicherheitskomponente

• Wenn Sie nicht auf die Administrationskonsole zugreifen oder bestimmte Objekte nicht anzeigen und aktualisieren können, schauen Sie im SystemOut Protokoll des Anwendungsservers, der die Verwaltungskonsolenseite für eine zugehörige Fehlermeldung hostet.
• Sollten Sie nicht auf die Administrationskonsole zugreifen können oder bestimmte Objekte nicht anzeigen oder aktualisieren können, suchen Sie in den Protokollen des Anwendungsservers, in dem sich die Seite der Administrationskonsole befindet, nach einer diesbezüglichen Fehlernachricht.
  Notiz: Zum Abschließen der nächsten beiden Elemente müssen Sie die Verwaltungskonsole verwenden. Sollten Sie Probleme beim Zugriff auf die Administrationskonsole haben, müssen Sie die Sicherheit inaktivieren und die Administrationskonsole erneut starten. Geben Sie zum Inaktivieren der Sicherheit an der Eingabeaufforderung den folgenden Befehl ein:

  wsadmin.sh -conntype NONE

  Geben Sie Folgendes ein, wenn die Eingabeaufforderung wieder angezeigt wird:

  securityoff

  Starten Sie den Deployment Manager erneut, nachdem Sie die Sicherheit inaktiviert haben.
• Möglicherweise hat Ihre ID keine Berechtigung für Verwaltungstasks. Dieses Problem wird angezeigt durch Fehlermeldungen wie die folgenden:
  • [8/2/02 10:36:49:722 CDT] 4365c0d9 RoleBasedAuth A CWSCJ0305A: Role based authorization check failed for security name MyServer/myUserId, accessId MyServer/S-1-5-21-882015564-4266526380-2569651501-1005 while invoking method getProcessType on resource Server and module Server.
  • Ausnahmebedingungsnachricht:CWWMN0022E: Access denied for the getProcessType operation on Server MBean
  • When running the command: wsadmin -username j2ee -password j2ee: CWWAX7246E: Cannot establish "SOAP" connection to host "BIRKT20" because of an authentication failure. Ensure that user and password are correct on the command line or in a properties file.
  Um einer ID Verwaltungsberechtigung zu erteilen, klicken Sie in der Verwaltungskonsole auf Systemadministration > Konsolenbenutzer und überprüfen Sie, ob die ID ein Mitglied ist. Ist dies nicht der Fall, erteilen Sie der ID mindestens die Berechtigung "Überwachung", und fügen Sie sie für den Lesezugriff (Read-Only) hinzu.
• Vergewissern Sie sich, dass die Funktionalität der gesicherten Anwendung aktiviert ist. Die Funktionalität vertrauenswürdiger Anwendungen ist aktiviert, wenn WebSphere Application Server hat SAF-Zugriff von READ auf die RACF Klasse der EINRICHTUNG und Profil der BBO.TRUSTEDAPPS.<Kurzname der Zelle>.<Kurzname des Clusters>.

Erinnern: Es können Synchronisationsprobleme auftreten, wenn Sie sich in einem WebSphere Application Server Network Deployment Umgebung und speichern Sie Ihre Sicherheitseinstellungen. Der Knotenagent war ausgefallen.

• Authentifizierungsfehler - WebSphere Application Server Die Sicherheit kann die ID der Person oder des Prozesses nicht identifizieren. Symptome von Authentifizierungsfehlern:
  • Authorization failed. Retry?Nach einem Anmeldeversuch wird eine Meldung angezeigt.
  • Akzeptiert eine beliebige Anzahl von erneuten Anmeldeversuchen und zeigtError 401Meldung, wenn auf „Abbrechen“ geklickt wird, um den erneuten Versuch zu stoppen.
  • Eine typische Browsermeldung zeigt:Error 401: Basic realm='Default Realm'.
  • Nach einem Anmeldeversuch wird der Anmeldedialog erneut angezeigt.
  • AnzeigenError 401Meldung nach drei erfolglosen Wiederholungsversuchen.
• Berechtigungsfehler - Die Sicherheitskomponente hat festgestellt, dass die Person bzw. der Prozess, die bzw. der die Anforderung abgesetzt hat, nicht berechtigt ist, auf die geschützte Ressource zuzugreifen. Symptome von Berechtigungsfehlern:
  • Fehler 403: AuthorizationFailed wird eine entsprechende Meldung angezeigt.
  • Nachricht You are not authorized to view this page message wird angezeigt.
  • HTTP 403 Verboten Fehler wird angezeigt.
• SSL-Fehler - WebSphere Application Server Die Sicherheit verwendet intern die Secure Sockets Layer (SSL)-Technologie, um die eigene Kommunikation zu sichern und zu verschlüsseln, und eine falsche Konfiguration der internen SSL-Einstellungen kann zu Problemen führen. Möglicherweise haben Sie auch die SSL-Verschlüsselung für den Datenverkehr Ihrer eigenen Webanwendung oder Ihres Enterprise Bean-Clients aktiviert. Bei falscher Konfiguration kann dies zu Problemen führen, unabhängig davon, ob WebSphere Application Server Sicherheit ist aktiviert.
  • SSL-bezogene Probleme werden häufig durch Fehlermeldungen angezeigt, die eine Aussage wie die folgende enthalten: FEHLER: Der Ausgangskontext konnte nicht abgerufen werden oder der Ausgangskontext konnte nicht nachgeschlagen werden. context.Exiting. gefolgt von javax.net.ssl.SSLHandshakeException

• Lesen Sie nach, mit welchen Schritten Sie die Ressourcen schützen und die Zugriffsberechtigung für die Ressourcen erteilen.

• Durchsuchen Sie den Server JVM-Protokolle für Fehler im Zusammenhang mit Enterprise Bean-Zugriff und Sicherheit. Prüfen Sie alle Fehler in der Nachrichtentabelle.

  Durchsuchen Sie die Serverprotokolle nach Fehlern, die sich auf den Enterprise-Bean-Zugriff und -Schutz beziehen. Prüfen Sie alle Fehler in der Nachrichtentabelle.

  Fehler ähnlich wieAuthorization failed for /UNAUTHENTICATED while invoking resource securityName:/UNAUTHENTICATED;accessId:UNAUTHENTICATED not granted any of the required roles rolesweisen darauf hin, dass:

  • Ein ungeschütztes Servlet oder eine JSP hat auf eine geschützte Enterprise-Bean zugegriffen. Wenn auf ein ungeschütztes Servlet zugegriffen wird, wird der Benutzer nicht aufgefordert, sich anzumelden, daher wird das Servlet mit der Benutzer-ID UNAUTHENTICATED ausgeführt. Wenn das Servlet eine geschützte Enterprise-Bean aufruft, schlägt der Aufruf fehl.

    Zur Behebung dieses Fehlers müssen Sie das Servlet, das auf die geschützte Enterprise-Bean zugreift, schützen. Vergewissern Sie sich, dass für die RunAs-Eigenschaft eine ID angegeben ist, die auf die Enterprise-Bean zugreifen kann.

  • Ein nicht authentifiziertes Java-Clientprogramm greift auf eine geschützte Enterprise Bean-Ressource zu. Das kann der Fall sein, wenn für die von der Eigenschaftendatei sas.client.props gelesene und vom Clientprogramm verwendete Datei das Flag securityEnabled auf true gesetzt wurde.

    Zur Lösung dieses Problems müssen Sie sicherstellen, dass für die Datei sas.client.props auf der Clientseite das Flag securityEnabled auf true gesetzt wurde.

  Fehler wie "Authentifizierung für gültiger_Benutzer beim Aufrufen von Ressource securityName:/username fehlgeschlagen;accessId:xxxxxx wurden keine der erforderlichen Rollen erteilt." zeigen an, dass ein Client versucht hat, auf eine geschützte Enterprise-Bean-Ressource zuzugreifen und der bereitgestellten Benutzer-ID die erforderlichen Rollen für diese Enterprise-Bean nicht zugeordnet wurden.

  • Prüfen Sie, ob der Zugriff auf die erforderlichen Rollen für die Enterprise-Bean-Ressource erfolgt. Zeigen Sie die erforderlichen Rollen für die Enterprise-Bean-Ressource im Implementierungsdeskriptor der Webressource an.
  • Prüfen Sie die Berechtigungstabelle, und vergewissern Sie sich, dass dem Benutzer bzw. der Gruppe, zu der der Benutzer gehört, eine der erforderlichen Rollen zugeordnet wurde. Sie können die Berechtigungstabelle für die Anwendung, die die Enterprise-Bean-Ressource enthält, auch in der Administrationskonsole anzeigen.
• Wenn Sie LocalOS- und SAF-Berechtigung verwenden, überprüfen Sie die SAF-EJBROLEs-Konfiguration. Stellen Sie Folgendes sicher:
  • Die Klasse EJBROLE wurde aktiviert.
  • Die Rolle wurde in SAF definiert.
  • Die Benutzer-ID wurde für den die Rolle payroll-department berechtigt.
  • Die Klasse wurde nach der Berechtigungserteilung aktualisiert.

1. Beginnen Sie damit, dass Sie den Text der Ausnahme hinter WSSecurityContext.acceptSecContext(), reason: anzeigen. Normalerweise wird der Fehler ohne weitere Analyse beschrieben.
2. Ist diese Beschreibung nicht ausreichend, prüfen Sie die CORBA-Minor-Codes. Die Codes sind im Artikel mit dem Titel aufgeführt Fehlerbehebung bei der Sicherheitskomponentenreferenz.
   In der folgenden Ausnahme ist z. B. der CORBA-Minor-Code 49424300 aufgeführt: Die Fehlerursache gemäß der Tabelle mit dem CORBA-Minor-Code lautet:

   authentication failed error

   Mit anderen Worten, in diesem Fall ist die Benutzer-ID bzw. das Kennwort, die bzw. das vom Clientprogramm bereitgestellt wurde, wahrscheinlich ungültig:

   org.omg.CORBA.NO_PERMISSION: Caught WSSecurityContextException in 
   WSSecurityContext.acceptSecContext(), reason: Major Code[0] Minor Code[0] 
   Message[ Exception caught invoking authenticateBasicAuthData from SecurityServer 
   for user jdoe. Ursache: com.ibm.WebSphereSecurity.AuthenticationFailedException] 
   minor code: 49424300 completed: 
   No at com.ibm.ISecurityLocalObjectBaseL13Impl.PrincipalAuthFailReason.map_auth_fail_to_minor_code 
   (PrincipalAuthFailReason.java:83)

Ausnahme empfangen: org.omg.CORBA.INITIALIZE: 
CWWSA1477W: SECURITY CLIENT/SERVER CONFIG MISMATCH: 
Die Client-Sicherheitskonfiguration (sas.client.props oder ausgehende Einstellungen in 
Administrationskonsole) unterstützt nicht die Server-Sicherheitskonfiguration für 
aus folgenden Gründen: 
FEHLER 1: CWWSA0607E: Der Client erfordert SSL-Vertraulichkeit, der Server jedoch nicht 
         unterstütze es. 
FEHLER 2: CWWSA0610E: Der Server erfordert SSL-Integrität, der Client jedoch nicht 
         unterstütze es. 
FEHLER 3: CWWSA0612E: Der Client erfordert Client (z. B. Benutzer-ID/Passwort oder Token), 
         aber der Server unterstützt es nicht. 
     minor code: 0 
     completed: No at 
com.ibm.ISecurityLocalObjectBaseL13Impl.SecurityConnectionInterceptor.getConnectionKey
(SecurityConnectionInterceptor.java:1770)

• Im Fall von Fehler 1 erfordert der Client SSL-Vertraulichkeit, der Server unterstützt die SSL-Vertraulichkeit jedoch nicht. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Ändern Sie die Einstellungen des Servers so, dass er die SSL-Vertraulichkeit unterstützt, oder ändern Sie die Einstellungen des Clients so, dass er die SSL-Vertraulichkeit nicht mehr erfordert.
• Im Fall von Fehler 2 erfordert der Server die SSL-Integrität, aber der Client unterstützt die SSL-Integrität nicht. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Ändern Sie die Einstellungen des Servers so, dass er die SSL-Vertraulichkeit unterstützt, oder ändern Sie die Einstellungen des Clients so, dass er die SSL-Vertraulichkeit nicht mehr erfordert.
• Im Fall von Fehler 3 schließlich erfordert der Client die Clientauthentifizierung über Benutzer-ID/Kennwort, aber der Server unterstützt diesen Typ der Clientauthentifizierung nicht. Auch in diesem Fall muss entweder die Clientkonfiguration oder die Serverkonfiguration geändert werden. Zum Ändern der Clientkonfiguration müssen Sie die Datei SAS.CLIENT.PROPS so konfigurieren, dass Sie einen reinen Client erhalten, oder die Ausgangskonfiguration des Servers in der Administrationskonsole für die Sicherheit ändern. Um die Konfiguration des Zielservers zu ändern, müssen Sie die Eingangskonfiguration in der Administrationskonsole für die Sicherheit ändern.

• Für den Server, mit dem Sie kommunizieren, wurde die Sicherheitskomponente nicht aktiviert. Erkundigen Sie sich bei der WebSphere Application Server Administrator, um sicherzustellen, dass die Serversicherheit aktiviert ist. Der Zugriff auf die Sicherheitseinstellungen erfolgt über den Abschnitt Sicherheit der Administrationskonsole.
• Für den Client wurde die Sicherheitskomponente in der Datei sas.client.props nicht aktiviert. Editieren Sie die Datei sas.client.props, um sicherzustellen, dass die Eigenschaft "com.ibm.CORBA.securityEnabled" auf true gesetzt ist.
• Für den Client wurde kein ConfigURL angegeben. Überprüfen Sie, ob die Eigenschaft com.ibm.CORBA.ConfigURL wird in der Kommandozeile des Java-Clients angegeben, mit dem -D Parameter.
• Der angegebene ConfigURL hat eine ungültige URL-Syntax oder die Datei sas.client.props, auf die er verweist, kann nicht ermittelt werden. Vergewissern Sie sich, dass die Eigenschaft "com.ibm.CORBA.ConfigURL" gültig ist. Eine Beschreibung der URL-Formatierungsregeln finden Sie in der Java-Dokumentation. Prüfen Sie auch, ob die Datei unter dem angegebenen Pfad angegeben ist.

  Ein Beispiel für eine gültige Eigenschaft istC:/WebSphere/AppServer/properties/sas.client.props .

• Die Clientkonfiguration unterstützt keine Clientauthentifizierung auf Nachrichtenebene (Benutzer-ID und Kennwort). Vergewissern Sie sich, dass in der Datei sas.client.props eines der folgenden Eigenschaften auf true gesetzt ist:
  • com.ibm.CSI.performClientAuthenticationSupported=true
  • com.ibm.CSI.performClientAuthenticationRequired=true
• Die Serverkonfiguration unterstützt keine Client-Authentifizierung auf Nachrichtenebene, die aus einer Benutzer-ID und einem Kennwort besteht. Erkundigen Sie sich bei der WebSphere Application Server Der Administrator muss überprüfen, ob die Benutzer-ID und die Kennwortauthentifizierung für die eingehende Konfiguration des Servers im Abschnitt „Systemadministration“ des Verwaltungstools der Verwaltungskonsole angegeben sind.

• ./stopServer serverName -username name -password password
• ./stopNode -username name -password password
• ./stopManager -username name -password password