如果您使用 SAF 使用者登錄,則需要指定一個 SAF 使用者 ID,來代表未經鑑別的狀態。在 server.xml 中,未經鑑別使用者 ID 的名稱指定在 SAFCredentials 元素的 unauthenticatedUser 屬性上。請務必在您的 SAF 登錄中,正確定義這個使用者 ID。如果您使用 RACF SAF 使用者登錄,未經鑑別的使用者(預設為 WSGUEST)需要一個唯一預設群組 (DFLTGRP),且沒有其他使用者 ID 連接該群組,同時也需要 OMVS 區段(但不是 TSO 區段),以及 NOPASSWORD、NOOIDCARD 和 RESTRICTED 選項。如果您有另一項 SAF 使用者登錄(不是 RACF),請尋找該 SAF 登錄所提供並等同於這些 RACF 選項的使用者 ID 選項。
關於這項作業
執行適當的指令,以便在您的 SAF 使用者登錄中正確設定未經鑑別的使用者。未經鑑別的使用者如果設定不正確,可能造成安全漏洞。
程序
- 執行 ADDGROUP 指令。 使用 WSGUESTG 作為群組名稱。
ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
DATA('WAS Unauthenticated User Group')
OMVS(AUTOGID)
- 執行 ADDUSER 指令。 使用 WSGUEST 作為使用者 ID 名稱。
ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
OMVS(AUTOUID
HOME(/u/WSGUEST)
PROGRAM(/bin/sh))
NAME('WAS unauth')
NOPASSWORD NOOIDCARD
RESTRICTED
NOPASSWORD 和 NOOIDCARD 選項可讓這個使用者 ID 不會因重複嘗試猜測密碼而遭到撤消。
RESTRICTED 選項表示除非明確允許這個使用者 ID 存取受保護資源,該使用者 ID 無法獲得該資源的存取權,即使該資源具有一般存取設定 UACC(READ) 也一樣。
註: 將未經鑑別的使用者 ID (WSGUEST) 定義給 SAF 登錄之後,請確定只允許該使用者 ID 存取最少數量的 SAF 資源。如果 Liberty 伺服器使用 SAF APPL 資源檢查,來控制哪些使用者可以連接「Liberty
z/OS® 系統安全存取網域」,必須將 APPL 設定檔的存取權授與未經鑑別的使用者 ID。
執行 PERMIT 指令。 PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)
下一步
如果您收到 RACF 授權失敗訊息
ICH408I 的原因是,未經鑑別的使用者 (WSGUEST) 對於 RACF 資源(例如
EJBROLE 設定檔)不具備存取權。為了解決問題,而允許未經鑑別的使用者 ID 存取資源設定檔,這樣做幾乎都是不正確的。這通常表示當要求必須在已鑑別狀態下執行時,卻是在未經鑑別的狀態下執行。實際問題可能是無法適當地鑑別。每當看似有需要允許未經鑑別的使用者 ID 存取 SAF 資源設定檔時,請仔細考量這樣的動作是否正確。允許未經鑑別的使用者 ID 存取任何 SAF 資源設定檔,等於讓每個人都能使用該資源,包括未獲授權的使用者也可以。幾乎沒有什麼情況需要這樣做,不過,用來控制 WZSSAD 存取權的 APPL 設定檔例外。