適用於 z/OS 平台

設定系統授權機能 (SAF) 未經鑑別的使用者

如果您使用 SAF 使用者登錄,則需要指定一個 SAF 使用者 ID,來代表未經鑑別的狀態。在 server.xml 中,未經鑑別使用者 ID 的名稱指定在 SAFCredentials 元素的 unauthenticatedUser 屬性上。請務必在您的 SAF 登錄中,正確定義這個使用者 ID。如果您使用 RACF SAF 使用者登錄,未經鑑別的使用者(預設為 WSGUEST)需要一個唯一預設群組 (DFLTGRP),且沒有其他使用者 ID 連接該群組,同時也需要 OMVS 區段(但不是 TSO 區段),以及 NOPASSWORDNOOIDCARDRESTRICTED 選項。如果您有另一項 SAF 使用者登錄(不是 RACF),請尋找該 SAF 登錄所提供並等同於這些 RACF 選項的使用者 ID 選項。

關於這項作業

執行適當的指令,以便在您的 SAF 使用者登錄中正確設定未經鑑別的使用者。未經鑑別的使用者如果設定不正確,可能造成安全漏洞。

程序

  1. 執行 ADDGROUP 指令。 使用 WSGUESTG 作為群組名稱。
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. 執行 ADDUSER 指令。 使用 WSGUEST 作為使用者 ID 名稱。
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    NOPASSWORDNOOIDCARD 選項可讓這個使用者 ID 不會因重複嘗試猜測密碼而遭到撤消。

    RESTRICTED 選項表示除非明確允許這個使用者 ID 存取受保護資源,該使用者 ID 無法獲得該資源的存取權,即使該資源具有一般存取設定 UACC(READ) 也一樣。

  3. 註: 將未經鑑別的使用者 ID (WSGUEST) 定義給 SAF 登錄之後,請確定只允許該使用者 ID 存取最少數量的 SAF 資源。如果 Liberty 伺服器使用 SAF APPL 資源檢查,來控制哪些使用者可以連接「Liberty z/OS® 系統安全存取網域」,必須將 APPL 設定檔的存取權授與未經鑑別的使用者 ID。
    執行 PERMIT 指令。
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

下一步

如果您收到 RACF 授權失敗訊息 ICH408I 的原因是,未經鑑別的使用者 (WSGUEST) 對於 RACF 資源(例如 EJBROLE 設定檔)不具備存取權。為了解決問題,而允許未經鑑別的使用者 ID 存取資源設定檔,這樣做幾乎都是不正確的。這通常表示當要求必須在已鑑別狀態下執行時,卻是在未經鑑別的狀態下執行。實際問題可能是無法適當地鑑別。每當看似有需要允許未經鑑別的使用者 ID 存取 SAF 資源設定檔時,請仔細考量這樣的動作是否正確。允許未經鑑別的使用者 ID 存取任何 SAF 資源設定檔,等於讓每個人都能使用該資源,包括未獲授權的使用者也可以。幾乎沒有什麼情況需要這樣做,不過,用來控制 WZSSAD 存取權的 APPL 設定檔例外。

指示主題類型的圖示 作業主題

檔名:twlp_config_security_saf.html