Si vous utilisez un registre d'utilisateurs SAF, il est nécessaire de spécifier un ID utilisateur SAF qui présente l'état non authentifié. Le nom de l'ID utilisateur non authentifié est spécifié dans l'attribut unauthenticatedUser de l'élément SAFCredentials
dans le fichier server.xml. Il est important de définir cet ID utilisateur correctement dans votre registre SAF. Si vous utilisez un
registre d'utilisateurs SAF RACF, l'utilisateur non authentifié (WSGUEST par défaut) requiert un groupe par défaut unique (DFLTGRP) sans autre ID
utilisateur connecté à ce groupe, un segment OMVS, mais pas de segment TSO, et les options NOPASSWORD,
NOOIDCARD et RESTRICTED. Si vous disposez d'un registre d'utilisateurs SAF autre que RACF, recherchez les
options d'ID utilisateur qui sont fournies pour ce registre SAF et qui sont équivalentes à ces options RACF.
Pourquoi et quand exécuter cette tâche
En exécutant les commandes appropriées, vous pouvez configurer correctement un utilisateur non authentifié dans votre registre d'utilisateurs
SAF. Un utilisateur non authentifié mal configuré peut entraîner un risque lié à la sécurité.
Procédure
- Exécutez la commande ADDGROUP. Utilisez WSGUESTG comme nom de groupe.
ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
DATA('WAS Unauthenticated User Group')
OMVS(AUTOGID)
- Exécutez la commande ADDUSER. Utilisez WSGUEST comme nom d'ID utilisateur.
ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
OMVS(AUTOUID
HOME(/u/WSGUEST)
PROGRAM(/bin/sh))
NAME('WAS unauth')
NOPASSWORD NOOIDCARD
RESTRICTED
Les options NOPASSWORD et NOOIDCARD empêchent la révocation de cet ID utilisateur suite à plusieurs saisies
incorrectes du mot de passe.
L'option RESTRICTED spécifie que cet ID utilisateur ne peut pas accéder aux ressources protégées sauf s'il y est autorisé
explicitement, même si le paramètre d'accès de la ressource est UACC(READ).
Remarque : Une fois l'ID utilisateur non authentifié (WSGUEST) défini dans le registre SAF, assurez-vous qu'il ne peut accéder qu'au nombre minimal de
ressources SAF. Si le serveur Liberty utilise la vérification des ressources SAF APPL pour contrôler quels sont les utilisateurs qui peuvent se connecter
au domaine d'accès de la sécurité du système z/OS Liberty, l'ID utilisateur non authentifié doit se voir
attribuer l'accès au profil APPL.
Exécutez la commande PERMIT. PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)
Que faire ensuite
Si vous recevez le message d'échec d'autorisation RACF
ICH408I, cela signifie que l'utilisateur non authentifié (WSGUEST) ne
possède pas l'accès à une ressource RACF, par exemple un profil
EJBROLE. Il est presque toujours incorrect d'autoriser l'ID utilisateur
non authentifié à accéder au profil de ressource pour résoudre le problème. En général, la demande s'exécute dans un état non authentifié alors qu'elle doit s'exécuter dans un état authentifié. Le problème réel
est probablement un échec d'authentification. A chaque fois qu'il semble nécessaire d'autoriser l'ID utilisateur non authentifié à accéder à un profil de ressource SAF, déterminez soigneusement s'il s'agit de l'action appropriée. Si vous autorisez un ID utilisateur non authentifié à accéder à un profil de
ressource SAF, tout le monde pourra y accéder, y compris les utilisateurs qui ne sont pas authentifiés. Les cas dans lesquels cette opération est requise
sont très rares ; toutefois, le profil APPL qui contrôle l'accès à WZSSAD constitue une exception.