设置系统授权工具 (SAF) 未认证用户

如果您使用的是 SAF 用户注册表,那么需要指定一个表示未认证状态的 SAF 用户标识。在 server.xml 中的 SAFCredentials 元素的 unauthenticatedUser 属性中指定未认证用户标识的名称。在 SAF 注册表中正确定义此用户标识至关重要。如果您使用的是 RACF SAF 用户注册表,那么未认证的用户(缺省值为 WSGUEST)需要唯一的缺省组 (DFLTGRP)(没有其他用户标识连接到该组),一个 OMVS 段(而不是 TSO 段)以及 NOPASSWORDNOOIDCARDRESTRICTED 选项。如果您有另一个 SAF 用户注册表(而不是 RACF SAF 用户注册表),那么查找由该 SAF 注册表提供的等价于这些 RACF 选项的用户标识选项。

关于此任务

通过运行适当的命令,您可以在 SAF 用户注册表中正确设置未认证的用户。如果未认证用户的设置不正确,可能会导致安全漏洞。

过程

  1. 运行 ADDGROUP 命令。 使用 WSGUESTG 作为组名。
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. 运行 ADDUSER 命令。 使用 WSGUEST 作为用户标识名称。
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    NOPASSWORDNOOIDCARD 选项可防止反复尝试猜测密码来撤销此用户标识。

    RESTRICTED 选项表示此用户标识无法访问受保护资源,除非明确允许它访问该资源,即使该资源具有常规访问权设置 UACC(READ) 也是如此。

  3. 注: 对 SAF 注册表定义未认证的用户标识 (WSGUEST) 之后,请确保仅允许该用户标识访问最小数目的 SAF 资源。如果 Liberty 服务器正在使用 SAF APPL 资源检查来控制哪些用户可以连接到 Liberty z/OS® 系统安全性访问域,那么必须对未认证的用户标识授予对于 APPL 概要文件的访问权。
    运行 PERMIT 命令。
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

下一步做什么

如果您因为未认证的用户 (WSGUEST) 无权访问 RACF 资源(例如,EJBROLE 概要文件)而接收到 RACF 授权失败消息 ICH408I。允许未认证的用户标识访问资源概要文件来解决问题通常是不恰当的。这通常意味着,当请求必须以已认证状态运行时,却以未认证状态在运行。实际问题可能是未能正确认证。每当似乎需要允许未认证的用户标识访问 SAF 资源概要文件时,您应该谨慎考虑这是否是要执行的正确操作。允许未认证的用户标识访问任何 SAF 资源概要文件将使该资源可供任何人(包括未认证的用户)使用。但是,几乎没有必需的实例,用于控制对 WZSSAD 的访问权的 APPL 概要文件是例外情况。

用于指示主题类型的图标 任务主题

文件名:twlp_config_security_saf.html