Categories
IBM WebSphere Application Server Middleware

WebSphere Application Server Support bis 2030

IBM hat für WebSphere Application Server die Support Laufzeit bis mindestens Ende 2030 verlängert. Das gilt für diese Produkte:
– IBM WebSphere Application Server V8.5.5
– IBM WebSphere Application Server V9.0.5
– IBM WebSphere Application Server Network Deployment V8.5.5
– IBM WebSphere Application Server Network Deployment V9.0.5
– IBM WebSphere Application Server Family Edition V8.5.5
– IBM WebSphere Application Server Family Edition V9.0.5
– IBM WebSphere Application Server – Express® V8.5.5
– IBM WebSphere Application Server for z/OS®, V8.5.5
– IBM WebSphere Application Server for z/OS, V9.0.5

Original Bekanntmachung

Categories
IBM WebSphere Application Server Middleware

WebSphere Application Server Configuration Comparison Tool

A few days ago a found the WebSphere Configuration Comparison Tool (WCCT), developed by IBM. Is is a comparison utility written in python for WebSphere Application Server traditional.

The sources can be found in Github project websphere-cct. IBM announced it here: www.ibm.com/support/pages/node/711615

In times of automated installations, such a tool should actually no longer be necessary.

Categories
IBM WebSphere Application Server Middleware

 WebSphere AS Global Security – ADMS0036E: The configuration synchronization failed

Nach dem Aktivieren der Global Security schlägt die Node Synchronisation aus dem Deployment Manager fehl.

Das Problem ist mir zumindest in diesen WebSphere Versionen begegnet:

  • IBM WebSphere Application Server Network Deployment 8.5
  • WAS ND bis 8.5.5 Fixpack 15

In den Protokollen finden sich folgende Fehlermeldungen:

[3/25/19 19:53:27:932 CET] 0000008a NodeSyncTask  A    ADMS0036E: The configuration synchronization failed.
[3/25/19 19:53:30:636 CET] 00000048 FfdcProvider  W com.ibm.ws.ffdc.impl.FfdcProvider logIncident FFDC1003I: FFDC Incident emitted on /log/HSL_CELL85/ffdc/nodeagent_2875f3_19.03.25_19.53.30.628307621416607723793.txt com.ibm.ejs.util.am._Alarm.run 95
[3/25/19 19:54:04:409 CET] 00000044 DefaultTokenP I   HMGR0149E: An attempt to open a connection to core group DefaultCoreGroup has been rejected. The sending process has a name of HSL_CELL85\DMGR1\dmgr and an IP address of 192.168.1.100. Global security in the local process is Disabled. Global security in the sending process is Enabled. The received token starts with . The exception is .
[3/25/19 19:54:27:370 CET] 00000087 FfdcProvider  W com.ibm.ws.ffdc.impl.FfdcProvider logIncident FFDC1003I: FFDC Incident emitted on /log/HSL_CELL85/ffdc/nodeagent_c0ba1e0f_19.03.25_19.54.27.1057436260776741690282.txt com.ibm.ws.management.status.NodeAgentStatusCache$StatusCacheTimedThread.run 1371
[3/25/19 19:54:27:785 CET] 0000009f NodeSync    ADMS0005E: The system is unable to generate synchronization request java.lang.reflect.UndeclaredThrowableException
        at com.sun.proxy.$Proxy15.queryNames(Unknown Source)
        at com.ibm.ws.management.AdminClientImpl.queryNames(AdminClientImpl.java:108)

Lösung

Eine erste Synchronisation vom DMGR funktioniert nicht nach dem Einschalten der Global Security. Der Node muss die Synchronisation einmalig starten: 

cd Profile_dir/bin/
./stopServer.sh nodeagent

./syncNode.sh localhost SOAPPORT
ADMU0116I: Tool information is being logged in file /logs/syncNode.log
ADMU0128I: Starting tool with the node profile
ADMU0401I: Begin syncNode operation for node NODE01 with Deployment Manager
ADMU0016I: Synchronizing configuration between node and cell.
ADMU0402I: The configuration for node NODE01 has been synchronized with Deployment Manager

./startServer.sh nodeagent
ADMU3000I: Server nodeagent open for e-business; process id is 20059

Danach kann die Synchronisation auch erfolgreich vom WebSphere Deployment Manager aus gestartet werden.

Categories
IBM WebSphere Application Server Middleware

Neuerungen in WebSphere 8.5.5 Fixpack 14

Mit Fixpack 14 für IBM WebSphere Application Server entfällt Java 6:

When updating to 8.5.5.14, any existing profile that uses Java SDK 6 is replaced by Java SDK 8. You can continue to use the optional Java SDK Java Technology Edition Version 7.0 and Version 7.1, but no service can be provided after the end of support in September 2019, which could expose your environment to security risks.

Bisher war im WebSphere-Verzeichnis Java SDK 6 installiert, jetzt findet man dort das Java SDK 8. In der WebSphere Konsole schaut das dann so aus:

Installierte Java SDKs bis WebSphere 8.5.5 Fixpack 13

Ab WebSpehre 8.5.5 FP14 fehlt Java SDK 6:

Installierte Java SDKs bis WebSphere 8.5.5 Fixpack 14

Daher ist vor dem Ausbringen von Fixpack 14 zu prüfen, ob Java 6 auch wirklich nicht mehr verwendet wird. Eine Übersicht über die verwendeten Java-Versionen erhält man einfachsten mit dem Tool managesdk.sh:

<PROFILE_DIR>/bin/managesdk.sh -listEnabledProfileAll
CWSDK1004I: Profile node-profile1 :
CWSDK1006I: PROFILE_COMMAND_SDK = 1.7_64
CWSDK1008I: Node node01 SDK name: 1.7_64
CWSDK1009I: Server jvm01 SDK name: 1.8_64_bundled
CWSDK1009I: Server nodeagent SDK name: 1.8_64
 
CWSDK1004I: Profile dmgr :
CWSDK1006I: PROFILE_COMMAND_SDK = 1.7_64
CWSDK1008I: Node dmgr SDK name: 1.7_64
CWSDK1009I: Server dmgr SDK name: 1.8_64
CWSDK1001I: Successfully performed the requested managesdk task.

Version 1.6 sollte in dieser Ausgabe nicht mehr erscheinen.

Categories
IBM WebSphere Application Server Java

Java unrestricted policy Dateien in IBM WebSphere als Standard

IBM wird in den zukünftigen Versionen des Websphere Application Servers die Java unrestricted policy files als default ausliefern. Die originale Ankündigung kann hier gelesen werden.

Damit entfällt beim Bauen der Archive für einen Server dieser Schritt in Zukunft. Für IBM Websphere 8.5 und 9.0 mit Java 8 gilt ist diese Voreinstellung ab Fixpack 10.

Categories
IBM WebSphere Application Server Middleware Security

XOR Passwort Encode/Decode für IBM Websphere XML Konfigurationsdateien

IBM Websphere speichert Passwörter der WebSphere Application Server Konfiguration in XML Dateien im Profilpfad der WAS Adminkonsole (IBM Integrated Solutions Console – ISC). Diese Passwörter sind nicht verschlüsselt, sondern nur per XOR kodiert. Da

a xor b xor b = a

gilt, kann ein XOR kodiertes Passwort auch wieder im Klartext ausgegeben werden. IBM liefert Werkzeuge für den Decode/Encode Vorgang gleich mit.

Um dies zu verdeutlichen, betrachte ich einen Passwordhash einer IBM WebSphere Application Server Zelle (security.xml). Die kodierten Passwörter können einfach gefunden werden:

grep xor security.xml

Vorgehensweise für Websphere 8.0 und 8.5 – Decoding
Zuerst in das Verzeichnis <WAS_HOME> wechseln. Von dort den Decoder Prozess ausführen:

java/bin/java -Djava.ext.dirs=./plugins:./lib com.ibm.ws.security.util.PasswordDecoder {xor}HDc6PDQZNjM6Hjw8OiwsfQ==

Das Passwort ist mit dem führenden “{xor}” zu übergeben.

Vorgehensweise für Websphere 9.0 – Decoding
Wie bei WAS 8.x Installationen in das Verzeichnis <WAS_HOME> wechseln. Von dort den Decoder Prozess starten, die Pfade für Java sind in WAS 9.0 unter Umständen abweichend (je nachdem, wie es installiert wurde). Ich habe es in Beispiel mit Java 8.0 aufgerufen:

java/8.0/bin/java -Djava.ext.dirs=./plugins:./lib com.ibm.ws.security.util.PasswordDecoder {xor}HDc6PDQZNjM6Hjw8OiwsfQ==

 

Der Zugriff auf die Konfigurationsdateien ist daher unbedingt besonders zu schützen!

Encoding
Der Prozess des Encodings ist durch Austauschen von PasswordDecoder durch PasswordEncoder möglich:

java/8.0/bin/java -Djava.ext.dirs=./plugins:./lib com.ibm.ws.security.util.PasswordEncoder CheckFileAccess!

 

Die Thematik wird auch von IBM auf developerworks diskutiert: devloperworks – Encrypting WebSphere Application Server system passwords