Besondere Konfigurationsschritte bei der Verwendung von 'Authentifizierung nur anhand der Identität' und LDAP

Bei der Verwendung von 'Authentifizierung nur anhand der Identität' in Kombination mit WebSphere Application Server und LDAP kann es sein, dass zusätzliche manuelle Konfigurationsschritte ausgeführt werden müssen, unabhängig davon, ob die Konfiguration über die WebSphere Application Server-Administrationskonsole oder das Ziel configure vorgenommen wird. Bei einer solchen Kombination stellen Sie möglicherweise fest, dass WebSphere Application Server nicht erfolgreich startet. Das liegt daran, dass das Hinzufügen eines von WebSphere Application Server generierten Benutzernamens zur Ausschlusslisten-Eigenschaft 'exclude_usernames' des Anmeldemoduls notwendig ist, wie unter Anmeldemodul hinzufügen beschrieben. Wenn der Start von WebSphere Application Server fehlzuschlagen droht, erscheint zuvor eine SECJ0270E-Fehlernachricht in der Datei SystemOut.log.

Folgende Schritte sind für die Behebung dieses Problems erforderlich:

Es muss der Benutzername identifiziert werden, der das Fehlschlagen des Starts von WebSphere Application Server verursacht. Konfigurieren Sie den Trace des Anmeldemoduls wie unter Authentifizierungsprozess protokollieren (bezogen auf das Ziel configure) oder Anmeldemodul hinzufügen (bezogen auf das Konfigurieren über die Administrationskonsole) beschrieben und starten Sie WebSphere Application Server erneut. Wenn der Trace des Anmeldemoduls aktiv ist, ermitteln die Trace-Daten vor Erscheinen der SECJ0270E-Fehlermeldung in der Datei SystemOut.log den Benutzernamen, der das Fehlschlagen verursacht, und geben einen Eintrag ähnlich dem folgenden aus:
```
SystemOut     O Username: server:MyNodeCell_MyNode_CuramServer
```
Wobei "MyNode" der Knotenname, "MyNodeCell" der Zellenname und "CuramServer" der Name des WebSphere-Servers ist. Auf die Trace-Daten des Anmeldemoduls folgt der Fehler, der folgendermaßen aussieht:
```
SECJ0270E: Die tatsächlichen Identifikationsdaten konnten nicht abgerufen werden.
   Die Ausnahmebedingung ist 'javax.security.auth.login.LoginException':
   Kontext: MyNodeCell/nodes/MyNode/servers/CuramServer,
   Name: curamejb/LoginHome:
   Erste Komponente im Namen 'curamejb/LoginHome' nicht gefunden.
```
Geben Sie den Benutzernamen, der das Fehlschlagen des Starts verursacht, in der Eigenschaft 'exclude_usernames' des Anmeldemoduls in der WebSphere Application Server-Konfiguration an. Da das Starten von WebSphere Application Server fehlschlägt, können Sie diese Änderung nicht über die Administrationskonsole vornehmen und müssen die Konfigurationsdatei von WebSphere Application Server direkt bearbeiten. Bearbeiten Sie im Konfigurationsdateisystem von WebSphere Application Server die Datei config\cells\MyNodeCell\security.xml, in der die Eigenschaft 'exclude_usernames' dreimal vorhanden ist (für jeden Alias einmal), z.B.:
```
<options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin"
   required="false"/>
```
Alle drei Vorkommen müssen modifiziert werden, so dass sie den neu ermittelten Benutzernamen aus dem obigen Traceeintrag einschließen, z.B.:
```
<options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin,server:MyNodeCell_MyNode_CuramServer"
   required="false"/>
```
Beachten Sie, dass in den Vorkommen der Eigenschaft 'exclude_usernames' das ID-Attribut je nach Ihrer Systemkonfiguration unterschiedlich sein kann und das Kommatrennzeichen des Beispielwertattributs den Standardwert 'curam.security.usernames.delimiter' darstellt, der in Ihrem Fall anders ausfallen kann.
Starten Sie WebSphere Application Server erneut.