Zugriffsfehler nach Aktivierung der Sicherheitskomponente

• Wenn Sie nicht auf die Administrationskonsole zugreifen oder bestimmte Objekte anzeigen und aktualisieren können, suchen Sie im SystemOut -Protokoll des Anwendungsservers, der die Seite der Administrationskonsole enthält, nach einer zugehörigen Fehlernachricht.
• Möglicherweise hat Ihre ID keine Berechtigung für Verwaltungstasks. Dieses Problem wird angezeigt durch Fehlermeldungen wie die folgenden:
  • [8/2/02 10:36:49:722 CDT] 4365c0d9 RoleBasedAuth A CWSCJ0305A: Role based authorization check failed for security name MyServer/myUserId, accessId MyServer/S-1-5-21-882015564-4266526380-2569651501-1005 while invoking method getProcessType on resource Server and module Server.
  • Ausnahmebedingungsnachricht:CWWMN0022E: Access denied for the getProcessType operation on Server MBean
  • When running the command: wsadmin -username j2ee -password j2ee: CWWAX7246E: Cannot establish "SOAP" connection to host "BIRKT20" because of an authentication failure. Ensure that user and password are correct on the command line or in a properties file.
  Um eine ID-Administratorberechtigung zu erteilen, klicken Sie in der Administrationskonsole auf Systemverwaltung > Konsolbenutzer und prüfen Sie, ob die ID ein Mitglied ist. Ist dies nicht der Fall, erteilen Sie der ID mindestens die Berechtigung "Überwachung" und fügen Sie sie für den Lesezugriff (Read-Only) hinzu.
• Vergewissern Sie sich, dass die Funktionalität der gesicherten Anwendung aktiviert ist. Die Funktionalität für vertrauenswürdige Anwendungen wird aktiviert, wenn WebSphere® Application Server Lesezugriff (READ) auf die RACF -Klasse FACILITY und das Profil von BBO.TRUSTEDAPPS. < Zellenkurzname>. < Clusterkurzname>.

• Authentifizierungsfehler-Die WebSphere Application Server -Sicherheit kann die ID der Person oder des Prozesses nicht identifizieren. Symptome von Authentifizierungsfehlern:
  • Authorization failed. Retry?Nach einem Anmeldeversuch wird eine Nachricht angezeigt.
  • Akzeptiert eine beliebige Anzahl von Versuchen, die Anmeldung zu wiederholen, und zeigt anError 401Nachricht, wenn auf Abbrechen geklickt wird, um die Wiederholung zu stoppen.
  • Eine typische Browsernachricht wird angezeigt:Error 401: Basic realm='Default Realm'.
  • Nach einem Anmeldeversuch wird der Anmeldedialog erneut angezeigt.
  • AnzeigenError 401Nachricht nach drei nicht erfolgreichen Wiederholungen.
• Berechtigungsfehler - Die Sicherheitskomponente hat festgestellt, dass die Person bzw. der Prozess, die bzw. der die Anforderung abgesetzt hat, nicht berechtigt ist, auf die geschützte Ressource zuzugreifen. Symptome von Berechtigungsfehlern:
  • Die Nachricht Error 403: AuthorizationFailed wird angezeigt.
  • Nachricht You are not authorized to view this page message wird angezeigt.
  • Es wird HTTP 403 Forbidden- Fehler angezeigt.
• SSL-Fehler-Die WebSphere Application Server -Sicherheit verwendet intern die SSL-Technologie (Secure Sockets Layer), um ihre eigene Kommunikation zu sichern und zu verschlüsseln. Eine falsche Konfiguration der internen SSL-Einstellungen kann Probleme verursachen. Möglicherweise haben Sie auch die SSL-Verschlüsselung für den Datenverkehr Ihrer eigenen Webanwendung oder Ihres Enterprise-Bean-Clients aktiviert, was bei falscher Konfiguration zu Problemen führen kann, unabhängig davon, ob die Sicherheit von WebSphere Application Server aktiviert ist.
  • SSL-bezogene Probleme werden häufig durch Fehlernachrichten angezeigt, die eine Anweisung wie die folgende enthalten: ERROR: Could not get the initial context or unable to look up the starting context.Exiting. gefolgt von javax.net.ssl.SSLHandshakeException

• Lesen Sie nach, mit welchen Schritten Sie die Ressourcen schützen und die Zugriffsberechtigung für die Ressourcen erteilen.

• Durchsuchen Sie die JVM-Protokolle des Servers nach Fehlern, die sich auf den Zugriff auf Enterprise-Beans und die Sicherheit beziehen. Prüfen Sie alle Fehler in der Nachrichtentabelle.

  Ähnliche Fehler wieAuthorization failed for /UNAUTHENTICATED while invoking resource securityName:/UNAUTHENTICATED;accessId:UNAUTHENTICATED not granted any of the required roles rolesAngabe, dass

  • Ein ungeschütztes Servlet oder eine JSP hat auf eine geschützte Enterprise-Bean zugegriffen. Wenn auf ein ungeschütztes Servlet zugegriffen wird, wird der Benutzer nicht aufgefordert, sich anzumelden, daher wird das Servlet mit der Benutzer-ID UNAUTHENTICATED ausgeführt. Wenn das Servlet eine geschützte Enterprise-Bean aufruft, schlägt der Aufruf fehl.

    Zur Behebung dieses Fehlers müssen Sie das Servlet, das auf die geschützte Enterprise-Bean zugreift, schützen. Vergewissern Sie sich, dass für die RunAs-Eigenschaft eine ID angegeben ist, die auf die Enterprise-Bean zugreifen kann.

  • Ein nicht authentifiziertes Java™ -Clientprogramm greift auf eine geschützte Enterprise-Bean-Ressource zu. Das kann der Fall sein, wenn für die von der Eigenschaftendatei sas.client.props gelesene und vom Clientprogramm verwendete Datei das Flag securityEnabled auf true gesetzt wurde.

    Zur Lösung dieses Problems müssen Sie sicherstellen, dass für die Datei sas.client.props auf der Clientseite das Flag securityEnabled auf true gesetzt wurde.

  Fehler wie "Authentifizierung für gültiger_Benutzer beim Aufrufen von Ressource securityName:/username fehlgeschlagen;accessId:xxxxxx wurden keine der erforderlichen Rollen erteilt." zeigen an, dass ein Client versucht hat, auf eine geschützte Enterprise-Bean-Ressource zuzugreifen und der bereitgestellten Benutzer-ID die erforderlichen Rollen für diese Enterprise-Bean nicht zugeordnet wurden.

  • Prüfen Sie, ob der Zugriff auf die erforderlichen Rollen für die Enterprise-Bean-Ressource erfolgt. Zeigen Sie die erforderlichen Rollen für die Enterprise-Bean-Ressource im Implementierungsdeskriptor der Webressource an.
  • Prüfen Sie die Berechtigungstabelle und vergewissern Sie sich, dass dem Benutzer bzw. der Gruppe, zu der der Benutzer gehört, eine der erforderlichen Rollen zugeordnet wurde. Sie können die Berechtigungstabelle für die Anwendung, die die Enterprise-Bean-Ressource enthält, auch in der Administrationskonsole anzeigen.

1. Beginnen Sie damit, dass Sie den Text der Ausnahme hinter WSSecurityContext.acceptSecContext(), reason: anzeigen. Normalerweise wird der Fehler ohne weitere Analyse beschrieben.
2. Ist diese Beschreibung nicht ausreichend, prüfen Sie die CORBA-Minor-Codes. Die Codes sind in der Referenz zur Fehlerbehebung bei Sicherheitskomponentenaufgelistet.
   In der folgenden Ausnahme ist z. B. der CORBA-Minor-Code 49424300 aufgeführt: Die Fehlerursache gemäß der Tabelle mit dem CORBA-Minor-Code lautet:

   authentication failed error

   Mit anderen Worten, in diesem Fall ist die Benutzer-ID bzw. das Kennwort, die bzw. das vom Clientprogramm bereitgestellt wurde, wahrscheinlich ungültig:

   org.omg.CORBA.NO_PERMISSION: Caught WSSecurityContextException in 
   WSSecurityContext.acceptSecContext(), reason: Major Code[0] Minor Code[0] 
   Message[ Exception caught invoking authenticateBasicAuthData from SecurityServer 
   for user jdoe. Ursache: com.ibm.WebSphereSecurity.AuthenticationFailedException] 
   minor code: 49424300 completed: 
   No at com.ibm.ISecurityLocalObjectBaseL13Impl.PrincipalAuthFailReason.map_auth_fail_to_minor_code 
   (PrincipalAuthFailReason.java:83)

Ausnahme empfangen: org.omg.CORBA.INITIALIZE: 
CWWSA1477W: SECURITY CLIENT/SERVER CONFIG MISMATCH: 
Clientsicherheitskonfiguration (sas.client.props oder Einstellungen für abgehende Daten in 
Administrationskonsole) unterstützt nicht die Serversicherheitskonfiguration für 
die folgenden Gründe: 
FEHLER 1: CWWSA0607E: Der Client erfordert SSL-Vertraulichkeit, aber der Server nicht. 
         unterstützen. 
FEHLER 2: CWWSA0610E: Der Server erfordert SSL-Integrität, aber der Client nicht. 
         unterstützen. 
FEHLER 3: CWWSA0612E: Der Client erfordert einen Client (z. B. Benutzer-ID/Kennwort oder Token). 
         Der Server unterstützt dies jedoch nicht. 
     minor code: 0 
     completed: No at 
com.ibm.ISecurityLocalObjectBaseL13Impl.SecurityConnectionInterceptor.getConnectionKey
(SecurityConnectionInterceptor.java:1770)

• Im Fall von Fehler 1 erfordert der Client SSL-Vertraulichkeit, der Server unterstützt die SSL-Vertraulichkeit jedoch nicht. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Ändern Sie die Einstellungen des Servers so, dass er die SSL-Vertraulichkeit unterstützt, oder ändern Sie die Einstellungen des Clients so, dass er die SSL-Vertraulichkeit nicht mehr erfordert.
• Im Fall von Fehler 2 erfordert der Server die SSL-Integrität, aber der Client unterstützt die SSL-Integrität nicht. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Ändern Sie die Einstellungen des Servers so, dass er die SSL-Vertraulichkeit unterstützt, oder ändern Sie die Einstellungen des Clients so, dass er die SSL-Vertraulichkeit nicht mehr erfordert.
• Im Fall von Fehler 3 schließlich erfordert der Client die Clientauthentifizierung über Benutzer-ID/Kennwort, aber der Server unterstützt diesen Typ der Clientauthentifizierung nicht. Auch in diesem Fall muss entweder die Clientkonfiguration oder die Serverkonfiguration geändert werden. Zum Ändern der Clientkonfiguration müssen Sie die Datei SAS.CLIENT.PROPS so konfigurieren, dass Sie einen reinen Client erhalten, oder die Ausgangskonfiguration des Servers in der Administrationskonsole für die Sicherheit ändern. Um die Konfiguration des Zielservers zu ändern, müssen Sie die Eingangskonfiguration in der Administrationskonsole für die Sicherheit ändern.

• Für den Server, mit dem Sie kommunizieren, wurde die Sicherheitskomponente nicht aktiviert. Wenden Sie sich an den WebSphere Application Server , um sicherzustellen, dass die Serversicherheit aktiviert ist. Der Zugriff auf die Sicherheitseinstellungen erfolgt über den Abschnitt Sicherheit der Administrationskonsole.
• Für den Client wurde die Sicherheitskomponente in der Datei sas.client.props nicht aktiviert. Editieren Sie die Datei sas.client.props, um sicherzustellen, dass die Eigenschaft "com.ibm.CORBA.securityEnabled" auf true gesetzt ist.
• Für den Client wurde kein ConfigURL angegeben. Überprüfen Sie, ob die Eigenschaft com.ibm.CORBA.ConfigURL in der Befehlszeile des Java-Clients mit dem Parameter -D angegeben ist.
• Der angegebene ConfigURL hat eine ungültige URL-Syntax oder die Datei sas.client.props, auf die er verweist, kann nicht ermittelt werden. Vergewissern Sie sich, dass die Eigenschaft "com.ibm.CORBA.ConfigURL" gültig ist. In der Java-Dokumentation finden Sie eine Beschreibung der Formatierungsregeln URL. Prüfen Sie auch, ob die Datei unter dem angegebenen Pfad angegeben ist.

  Ein Beispiel für eine gültige Eigenschaft ist C:/WebSphere/AppServer/properties/sas.client.props.

• Die Clientkonfiguration unterstützt keine Clientauthentifizierung auf Nachrichtenebene (Benutzer-ID und Kennwort). Vergewissern Sie sich, dass in der Datei sas.client.props eines der folgenden Eigenschaften auf true gesetzt ist:
  • com.ibm.CSI.performClientAuthenticationSupported=true
  • com.ibm.CSI.performClientAuthenticationRequired=true
• Die Serverkonfiguration unterstützt keine Clientauthentifizierung auf Nachrichtenebene, die aus einer Benutzer-ID und einem Kennwort besteht. Wenden Sie sich an den Administrator von WebSphere Application Server , um sicherzustellen, dass die Benutzer-ID und das Kennwort für die eingehende Konfiguration des Servers im Abschnitt "Systemverwaltung" des Verwaltungstools der Administrationskonsole angegeben sind.

• ./stopServer serverName -username name -password password
• ./stopNode -username name -password password
• ./stopManager -username name -password password