Pasos de configuración especiales al usar sólo identidad y LDAP

Cuando se utiliza sólo la identidad en combinación con WebSphere Application Server y LDAP, es posible que se deban realizar pasos adicionales de configuración manual; es decir, independientemente de si la configuración se realiza a través de la consola administrativa de WebSphere Application Server o el destino configure. Con esta combinación, puede ver que WebSphere Application Server no se puede iniciar correctamente debido a la necesidad de añadir un nombre de usuario generado por WebSphere Application Server a la propiedad de la lista de exclusión del módulo de inicio de sesión (exclude_usernames) descrita en el apartado Añadir el módulo de inicio de sesión. En este caso de incapacidad de WebSphere Application Server de iniciarse se producirá un mensaje de error SECJ0270E en el archivo SystemOut.log antes del fallo.

Estos son los pasos necesarios para resolver este error:

  1. Identifique el nombre de usuario que está provocando que WebSphere Application Server empiece a fallar. Configure el rastreo del módulo de inicio de sesión como se describe en el apartado Registro del proceso de autenticación (en relación con el destino configure) o Añadir el módulo de inicio de sesión (en relación con la configuración a través de la consola administrativa) y reinicie WebSphere Application Server. Con el rastreo del módulo de inicio de sesión en ejecución, antes del error de SECJ0270E en el archivo SystemOut.log, los datos de rastreo identificarán el nombre de usuario fallido con un registro como el siguiente: 
    SystemOut     O Username: server:MyNodeCell_MyNode_CuramServer

    Donde "MyNode" es el nombre del nodo, "MyNodeCell" es el nombre de la celda y "CuramServer" es el nombre del servidor de WebSphere. Después de los datos de rastreo de módulo de inicio de sesión aparecerá el error, que será similar al siguiente: 

    SECJ0270E: No se han podido obtener las credenciales reales.
   La excepción es javax.security.auth.login.LoginException:
   Contexto: MyNodeCell/nodes/MyNode/servers/CuramServer,
   Nombre: curamejb/LoginHome:
   No se ha encontrado el primer componente en el nombre curamejb/LoginHome.
  2. Especifique el nombre de usuario erróneo en la propiedad exclude_usernames del módulo de inicio de sesión en la configuración de WebSphere Application Server. Puesto que WebSphere Application Server no consigue iniciarse, realice este cambio a través de la consola administrativa y edite directarmentre el archivo de configuración de WebSphere Application Server. En el sistema de archivos de configuración de WebSphere Application Server edite config\cells\MyNodeCell\security.xml, que tendrá tres apariciones de la propiedad exclude_usernames (una para cada alias); por ejemplo: 
    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin"
   required="false"/>

    Debe modificar las tres apariciones para que incluyan el nombre de usuario recién identificado a partir de la entrada de rastreo anterior; por ejemplo: 

    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin,server:MyNodeCell_MyNode_CuramServer"
   required="false"/>

    Tenga en cuenta que en las apariciones de exclude_usernames el atributo de ID variará según la configuración del sistema y el separador de coma en el atributo del valor de ejemplo representa el valor curam.security.usernames.delimiter predeterminado, que puede ser diferente en su caso.

  3. Reinicie WebSphere Application Server.
Tema principal: Configuración de la seguridad