WAS-ND 5.1.1.13 - LTPA problem
pier...@editus.lu
My environment is a 2 nodes cluster, with 4 AS (5.1.1.13) on each node. The ND is deployed on another machine.
I have stopped the ND service. Then I have stopped the node1 nodeagent and AppServers processes. I have restarted the ND and just after the node1 nodeagent.
Now I have a incomprehensive error. With the ND Administration Console, 4 AppServer of node1 have no icon state, and the nodeagent throws exceptions :
[31/05/07 01:48:47:573 CEST] 33ed0096 RoleBasedAuth A SECJ0305I: Le contrôle de l'autorisation basée sur le rôle a échoué pour le nom de sécurité <null>, ID d'accès NO_CRED_NO_ACCESS_ID, lors de l'appel de la méthode getProcessStatus:java.lang.String sur la ressource NodeAgent et le module NodeAgent.
[31/05/07 01:48:47:838 CEST] 36f7c096 LTPAServerObj E SECJ0375E: Non-concordance des domaines lors de la validation du jeton.
[31/05/07 01:48:47:838 CEST] 36f7c096 LTPAServerObj E SECJ0373E: Impossible de créer un justificatif pour l'utilisateur <null> car la validation du jeton LTPA a échoué. L'exception est : .
[31/05/07 01:48:47:838 CEST] 36f7c096 JaasLoginHelp A SECJ0222E: Une exception imprévue s'est produite en tentant de créer un LoginContext. L'alias du module de connexion (LoginModule) est system.RMI_INBOUND et l'exception est .
[31/05/07 01:48:47:838 CEST] 361f8096 LTPAServerObj E SECJ0375E: Non-concordance des domaines lors de la validation du jeton.
[31/05/07 01:48:47:838 CEST] 36f7c096 RoleBasedAuth E SECJ0306E: Aucun justificatif reçu ou d'appel n'existe sur l'unité d'exécution. Le contrôle d'autorisation basée sur le rôle n'aura pas d'ID d'accès à vérifier pour l'appelant. Les paramètres sont : méthode de contrôle d'accès getProcessStatus:java.lang.String sur la ressource NodeAgent et le module NodeAgent. La trace de pile est java.lang.Exception: dump thread stack for debugging
at com.ibm.ws.security.role.RoleBasedAuthorizerImpl.checkAccess(RoleBasedAuthorizerImpl.java:292)
at com.ibm.ws.management.AdminServiceImpl.preInvoke(AdminServiceImpl.java:1347)
at com.ibm.ws.management.AdminServiceImpl.invoke(AdminServiceImpl.java:657)
at com.ibm.ws.management.connector.AdminServiceDelegator.invoke(AdminServiceDelegator.java:130)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:85)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:58)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:60)
at java.lang.reflect.Method.invoke(Method.java:391)
at com.ibm.ws.management.connector.soap.SOAPConnector.invoke(SOAPConnector.java:324)
at com.ibm.ws.management.connector.soap.SOAPConnector.service(SOAPConnector.java:192)
at com.ibm.ws.management.connector.soap.SOAPConnection.handleRequest(SOAPConnection.java:55)
at com.ibm.ws.http.HttpConnection.readAndHandleRequest(HttpConnection.java:652)
at com.ibm.ws.http.HttpConnection.run(HttpConnection.java:448)
at com.ibm.ws.util.ThreadPool$Worker.run(ThreadPool.java:937)
.
[31/05/07 01:48:47:838 CEST] 361f8096 LTPAServerObj E SECJ0373E: Impossible de créer un justificatif pour l'utilisateur <null> car la validation du jeton LTPA a échoué. L'exception est : .
[31/05/07 01:48:47:838 CEST] 36f7c096 RoleBasedAuth A SECJ0305I: Le contrôle de l'autorisation basée sur le rôle a échoué pour le nom de sécurité <null>, ID d'accès NO_CRED_NO_ACCESS_ID, lors de l'appel de la méthode getProcessStatus:java.lang.String sur la ressource NodeAgent et le module NodeAgent.
[31/05/07 01:48:47:838 CEST] 361f8096 JaasLoginHelp A SECJ0222E: Une exception imprévue s'est produite en tentant de créer un LoginContext. L'alias du module de connexion (LoginModule) est system.RMI_INBOUND et l'exception est .
[31/05/07 01:48:47:838 CEST] 361f8096 RoleBasedAuth E SECJ0306E: Aucun justificatif reçu ou d'appel n'existe sur l'unité d'exécution. Le contrôle d'autorisation basée sur le rôle n'aura pas d'ID d'accès à vérifier pour l'appelant. Les paramètres sont : méthode de contrôle d'accès getProcessStatus:java.lang.String sur la ressource NodeAgent et le module NodeAgent. La trace de pile est java.lang.Exception: dump thread stack for debugging
at com.ibm.ws.security.role.RoleBasedAuthorizerImpl.checkAccess(RoleBasedAuthorizerImpl.java:292)
at com.ibm.ws.management.AdminServiceImpl.preInvoke(AdminServiceImpl.java:1347)
at com.ibm.ws.management.AdminServiceImpl.invoke(AdminServiceImpl.java:657)
at com.ibm.ws.management.connector.AdminServiceDelegator.invoke(AdminServiceDelegator.java:130)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:85)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:58)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:60)
at java.lang.reflect.Method.invoke(Method.java:391)
at com.ibm.ws.management.connector.soap.SOAPConnector.invoke(SOAPConnector.java:324)
at com.ibm.ws.management.connector.soap.SOAPConnector.service(SOAPConnector.java:192)
at com.ibm.ws.management.connector.soap.SOAPConnection.handleRequest(SOAPConnection.java:55)
at com.ibm.ws.http.HttpConnection.readAndHandleRequest(HttpConnection.java:652)
at com.ibm.ws.http.HttpConnection.run(HttpConnection.java:448)
at com.ibm.ws.util.ThreadPool$Worker.run(ThreadPool.java:937)
Now it was not possible to proceed start/stop with node1 (with 4 appserver shutdown), and with node2. On node 2 nodeagent is OK, appservers are OK, but i'm not able to do adminstrative tasks.
If I try to start servers the admin console display :
javax.management.JMRuntimeException: ADMN0022E: Accès refusé pour l'opération getProcessStatus sur le MBean NodeAgent en raison de droits insuffisants ou vides.
at com.ibm.ws.management.connector.soap.SOAPConnectorClient.handleAdminFault(SOAPConnectorClient.java:627)
at com.ibm.ws.management.connector.soap.SOAPConnectorClient.invokeTemplate(SOAPConnectorClient.java:596)
at com.ibm.ws.management.connector.soap.SOAPConnectorClient.invoke(SOAPConnectorClient.java:467)
at com.ibm.ws.management.connector.soap.SOAPConnectorClient.invoke(SOAPConnectorClient.java:292)
at $Proxy0.invoke(Unknown Source)
at com.ibm.ws.management.AdminClientImpl.invoke(AdminClientImpl.java:162)
at com.ibm.ws.management.AdminServiceImpl.invoke(AdminServiceImpl.java:663)
at com.ibm.ws.console.core.mbean.MBeanHelper.invoke(MBeanHelper.java:141)
at com.ibm.ws.console.core.mbean.ServerMBeanHelper.getOSProcessStatus(ServerMBeanHelper.java:119)
at com.ibm.ws.console.core.servlet.StatusServlet.getServerStatus(StatusServlet.java:100)
at com.ibm.ws.console.core.servlet.StatusServlet.getStatus(StatusServlet.java:57)
at com.ibm.ws.console.core.servlet.StatusServlet.doGet(StatusServlet.java:31)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:740)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:853)
at com.ibm.ws.cache.servlet.ServletWrapper.serviceProxied(ServletWrapper.java:264)
at com.ibm.ws.cache.servlet.CacheHook.handleFragment(CacheHook.java:326)
at com.ibm.ws.cache.servlet.CacheHook.handleServlet(CacheHook.java:168)
at com.ibm.ws.cache.servlet.ServletWrapper.service(ServletWrapper.java:246)
at com.ibm.ws.webcontainer.servlet.StrictServletInstance.doService(StrictServletInstance.java:110)
So could you help me please ?
Dexthor
Looks like you have not configured the Global Security properly.
NodeAgent has different Security information/configuration that what
Dmgr is using. So, when Dmgr is trying to contact & discover the
nodeagent on the defined ports, nodeagent is rejecting with invalid
security exceptions.
Try this:
shutdown nodeagent 1.
cd $noderoot/config/cells/{cellname}
backup security.xml
copy the security.xml from the Dmgr into this location.
restart the nodeagent.
If it does not work, then consider diabling Global Security in the
Cell. Restart Dmgr.
go back to the nodeagent
cd $noderoot/config/cells/{cellname}
edit security.xml
look for - enabled="true"
change this to enabled="false"
save
restart the nodeagent.
At this time nodeagent should showup properly on in the console.
Node enable the Global Security.
Restart NodeAgents first from the AdminConsole->SystemAdministration-
>nodes menu.
After they come back normally without whining about security (check
logs) restart Dmgr.
That should do it.
-Dexthor.