For z/OS platforms

SAF(System Authorization Facility) 인증되지 않은 사용자 설정

SAF 사용자 레지스트리를 사용 중인 경우, 인증되지 않음 상태를 나타내는 SAF 사용자 ID를 지정해야 합니다. 인증되지 않은 사용자 ID의 이름은 server.xml에 있는 SAFCredentials 요소의 unauthenticatedUser 속성에 지정됩니다. SAF 레지스트리에서 이 사용자 ID를 올바르게 정의하는 것이 중요합니다. RACF SAF 사용자 레지스트리를 사용 중인 경우, 인증되지 않은 사용자(기본값 WSGUEST)는 다른 사용자 ID가 이 그룹에 연결되지 않고 OMVS 세그먼트는 있지만 TSO 세그먼트는 없으며 NOPASSWORD, NOOIDCARDRESTRICTED 옵션이 있는 고유한 기본 그룹(DFLTGRP)이 필요합니다. RACF 대신 다른 SAF 사용자 레지스트리가 있는 경우에는 SAF 레지스트리가 제공하는 사용자 ID 옵션 중에 이러한 RACF 옵션과 동등한 옵션을 찾으십시오.

이 태스크 정보

적절한 명령을 실행시켜서 사용자의 SAF 사용자 레지스트리에서 인증되지 않은 사용자를 올바르게 설정할 수 있습니다. 올바르게 설정되지 않은 인증되지 않은 사용자는 보안 노출의 원인이 될 수 있습니다.

프로시저

  1. ADDGROUP 명령을 실행하십시오. 그룹 이름으로 WSGUESTG를 사용하십시오.
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. ADDUSER 명령을 실행하십시오. 사용자 ID 이름으로 WSGUEST를 사용하십시오.
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    NOPASSWORDNOOIDCARD 옵션은 비밀번호를 추측하기 위한 반복적인 시도에 의해 해지되지 않도록 이 사용자 ID을 보호합니다.

    RESTRICTED 옵션은 보호되는 자원에 대해 명시적으로 허가되지 않으면 해당 자원에 일반 액세스 설정 UACC(READ)가 있더라도 이 사용자가 해당 자원에 대한 액세스를 얻을 수 없음을 의미합니다.

  3. 참고: 인증되지 않은 사용자 ID(WSGUEST)가 SAF 레지스트리에 정의된 후에는 해당 사용자 ID가 최소 수의 SAF 자원에만 허용되는지 확인하십시오. Liberty 서버가 SAF APPL 자원 검사를 사용하여 Liberty z/OS® 시스템 보안 액세스 도메인에 연결할 수 있는 사용자를 제어하는 경우에는 인증되지 않은 사용자 ID에 APPL 프로파일에 대한 액세스 권한이 부여되어야 합니다.
    PERMIT 명령을 실행하십시오.
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

다음에 수행할 작업

인증되지 않은 사용자(WSGUEST)에게 RACF 자원(예: EJBROLE 프로파일)에 대한 액세스 권한이 없어서 RACF 권한 부여 실패 메시지 ICH408I를 수신하는 경우입니다. 자원 프로파일에 대해 인증되지 않은 사용자 ID가 문제를 해결하도록 허용하는 것은 대부분 올바르지 않습니다. 이는 일반적으로 요청이 인증된 상태에서 실행되어야 하는 경우에 인증되지 않은 상태에서 실행 중임을 의미합니다. 실제 문제는 적절한 인증의 실패일 수 있습니다. SAF 자원 프로파일에 대해 인증되지 않은 사용자 ID를 허용해야 하는 것처럼 보일 때마다 그것이 올바른 조치인지 여부를 주의깊게 고려하십시오. SAF 자원 프로파일에 대해 인증되지 않은 사용자 ID를 허용하면 인증되지 않은 사용자를 포함하여 모든 사용자가 해당 자원을 사용할 수 있게 됩니다. 이러한 조치가 필요한 인스턴스는 거의 없지만 WZSSAD에 대한 액세스를 제어하는 APPL 프로파일은 예외입니다.

주제의 유형을 표시하는 아이콘 태스크 주제

파일 이름: twlp_config_security_saf.html