Etapes de configuration spécifiques lors de l'utilisation de l'identité uniquement et de LDAP

Pourquoi et quand exécuter cette tâche

Lors de l'utilisation de l'identité uniquement avec WebSphere Application Server for z/OS et LDAP, il se peut que vous deviez effectuer des étapes de configuration manuelle supplémentaires, que la configuration soit effectuée via la console d'administration WebSphere Application Server for z/OS ou la cible configure. En utilisant cette combinaison, il se peut que le démarrage de WebSphere Application Server for z/OS échoue, car il est nécessaire d'ajouter un nom d'utilisateur généré par WebSphere Application Server for z/OS à la propriété de la liste d'exclusion du module de connexion (exclude_usernames) décrite dans Ajout du module de connexion. Dans ce cas d'échec de démarrage de WebSphere Application Server for z/OS, un message d'erreur SECJ0270E apparaît dans le fichier SystemOut.log avant l'échec.

Procédez comme suit pour résoudre cette erreur :

Procédure

  1. Identifiez le nom d'utilisateur à l'origine de l'échec de démarrage de WebSphere Application Server for z/OS. Configurez le suivi du module de connexion comme indiqué dans Journalisation du processus d'authentification (concernant la cible configure) ou Ajout du module de connexion (concernant la configuration via la console d'administration), puis redémarrez WebSphere Application Server for z/OS. Lorsque le suivi du module de connexion est en cours d'exécution, avant l'apparition de l'erreur SECJ0270E dans le fichier SystemOut.log, les données de suivi identifient le nom d'utilisateur à l'origine de l'erreur avec l'enregistrement suivant : 
    SystemOut     O Username: server:MyNodeCell_MyNode_CuramServer

    Où "MyNode" correspond au nom de noeud, "MyNodeCell" au nom de la cible et "CuramServer" au nom du serveur WebSphere Application Server for z/OS. L'erreur figure à la suite des données de suivi du module de connexion, et ressemble à ceci :

    SECJ0270E: Failed to get actual credentials.
   The exception is javax.security.auth.login.LoginException:
   Context: MyNodeCell/nodes/MyNode/servers/CuramServer,
   name: curamejb/LoginHome:
   First component in name curamejb/LoginHome not found.
  2. Indiquez le nom d'utilisateur à l'origine de l'échec dans la propriété exclude_usernames du module de connexion de la configuration de WebSphere Application Server for z/OS. Dans la mesure où le démarrage de WebSphere Application Server for z/OS échoue, vous ne pouvez pas effectuer ce changement via la console d'administration et vous devez modifier le fichier de configuration de WebSphere Application Server for z/OS directement. Dans le système de fichiers de configuration de WebSphere Application Server for z/OS, modifiez config\cells\MyNodeCell\security.xml, qui doit comporter trois occurrences de la propriété exclude_usernames (une par alias) ; par exemple : 
    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin"
   required="false"/>

    Vous devez modifier les trois occurrences pour inclure le nom d'utilisateur nouvellement identifié à partir de l'entrée de suivi ci-dessus ; par exemple :

    <options xmi:id="Property_1301940482165"
   name="exclude_usernames"
   value="websphere,db2admin,server:MyNodeCell_MyNode_CuramServer"
   required="false"/>

    Notez que dans les occurrences de la propriété exclude_usernames, l'attribut id varie selon votre configuration système et la virgule de l'exemple d'attribut de valeur représente la valeur curam.security.usernames.delimiter par défaut, qui peut différer dans votre cas.

  3. Redémarrez WebSphere Application Server for z/OS.
Rubrique parent : Configuration des paramètres de sécurité