Si está utilizando un registro de usuarios SAF, es necesario especificar un ID de usuario SAF que representa el estado no autenticado. El nombre del ID de usuario autenticado se especifica en el atributo unauthenticatedUser del elemento SAFCredentials en server.xml. Es importante definir este ID de usuario correctamente en su registro SAF. Si está utilizando un registro de usuarios RACF SAF, el usuario no autenticado (valor predeterminado WSGUEST) necesita un grupo predeterminado (DFLTGRP) sin otros ID de usuario conectados a ese grupo, un segmento
OMVS, pero ningún segmento TSO y las opciones NOPASSWORD, NOOIDCARD y RESTRICTED. Si tiene otro registro de usuarios SAF, en lugar de RACF, busque a continuación las opciones del ID de usuario que proporciona ese registro SAF equivalentes a estas opciones
RACF.
Acerca de esta tarea
Al ejecutar los mandatos adecuados, puede configurar correctamente un usuario no autenticado en su registro de usuarios SAF. Un usuario no autenticado que se configura de forma incorrecta puede generar una exposición de seguridad.
Procedimiento
- Ejecute el mandato ADDGROUP. Utilice WSGUESTG como nombre de grupo.
ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
DATA('grupo de usuario no autenticado WAS')
OMVS(AUTOGID)
- Ejecute el mandato ADDUSER. Utilice WSGUEST como nombre de ID de usuario.
ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
OMVS(AUTOUID
HOME(/u/WSGUEST)
PROGRAM(/bin/sh))
NAME('WAS unauth')
NOPASSWORD NOOIDCARD
RESTRICTED
Las opciones NOPASSWORD y NOOIDCARD protegen este ID de usuario para que no se revoque por culpa de intentos repetidos para adivinar la contraseña.
La opción RESTRICTED significa que este ID de usuario no puede acceder a recursos protegidos a menos que se permita explícitamente en ese recurso, incluso si el recurso tiene un valor de acceso general de UACC(READ).
Nota: Tras definir el ID de usuario no autenticado (WSGUEST) en el registro SAF, asegúrese de que el ID de usuario se permita solamente para el número mínimo de recursos SAF. Si el servidor de Liberty utiliza la comprobación de recursos APPL de
SAF para controlar qué usuarios pueden conectase a z/OS System Security Access Domain de Liberty, el ID de usuario no autenticado debe disponer de acceso al perfil APPL.
Ejecute el mandato PERMIT. PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)
Qué hacer a continuación
Si recibe el mensaje de anomalía de la autorización de RACF
ICH408I porque el usuario no autenticado (WSGUEST) no tiene acceso a un recurso de RACF como, por ejemplo, un perfil de
EJBROLE. Casi siempre suele ser incorrecto permitir al ID de usuario no autenticado en el perfil de recursos para que resuelva el problema. Normalmente,
significa que la solicitud se está ejecutando en un estado no
autenticado, cuando se debe ejecutar en un estado autenticado. El problema real probablemente es una anomalía en la autenticación correcta. Siempre
que parezca necesario permitir al ID de usuario no autenticado o un
perfil de recurso SAF, considere detenidamente si es la acción
correcta que se debe llevar a cabo. Al permitir al ID de usuario no autenticado en cualquier perfil de recursos SAF se consigue que ese recurso esté disponible para todos, incluidos los usuarios que no disponen de autenticación. Casi no hay instancias donde sea necesario, sin embargo, el perfil APPL que controla el acceso a WZSSAD es una excepción.