Nicht authentifizierten System Authorization Facility (SAF)-Benutzer konfigurieren

Wenn Sie eine SAF-Benutzerregistry verwenden, muss eine SAF-Benutzer-ID angegeben werden, die den nicht authentifizierten Zustand darstellt. Der Name der nicht authentifizierten Benutzer-ID wird mit dem Attribut unauthenticatedUser des Elements SAFCredentials in der Dateiserver.xml angegeben. Es ist wichtig, diese Benutzer-ID ordnungsgemäß in Ihrer SAF-Registry zu definieren. Wenn Sie eine RACF-SAF-Benutzerregistry verwenden, benötigt der nicht authentifizierte Benutzer (standardmäßig WSGUEST) eine eindeutige Standardgruppe (DFLTGRP) ohne weitere verbundene Benutzer-IDs, ein OMVS-Segment, aber kein TSO-Segment und die Optionen NOPASSWORD, NOOIDCARD und RESTRICTED. wenn Sie eine andere SAF-Benutzerregistry anstelle einer RACF-Registry haben, müssen Sie die Benutzer-ID-Optionen, die von dieser SAF-Registry bereitgestellt werden und diesen RACF-Optionen entsprechen, ermitteln.

Informationen zu diesem Vorgang

Durch Ausführung der entsprechenden Befehle können Sie einen nicht authentifizierten Benutzer ordnungsgemäß in Ihrer SAF-Benutzerregistry konfigurieren. Ein nicht authentifizierter Benutzer, der nicht ordnungsgemäß konfiguriert ist, kann ein Sicherheitsrisiko darstellen.

Vorgehensweise

  1. Führen Sie den Befehl ADDGROUP aus. Verwenden Sie WSGUESTG als Gruppennamen.
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. Führen Sie den Befehl ADDUSER aus. Verwenden Sie WSGUEST als Benutzer-ID-Namen.
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    Die Optionen NOPASSWORD und NOOIDCARD schützen diese Benutzer-ID vor dem Widerruf durch wiederholte Versuche, das Kennwort zu erraten.

    Die Option RESTRICTED bedeutet, dass diese Benutzer-ID nur dann Zugriff auf geschützte Ressourcen erhält, wenn sie explizit für diese Ressource berechtigt wurde, selbst wenn für die Ressource die allgemeine Zugriffseinstellung UACC(READ) definiert ist.

  3. Anmerkung: Nachdem Sie die nicht authentifizierte Benutzer-ID (WSGUEST) in der SAF-Registry definiert haben, müssen Sie sicherstellen, dass die Benutzer-ID nur für die Mindestanzahl an SAF-Ressourcen berechtigt ist. Wenn der Liberty-Server die SAF-APPL-Ressourcenprüfung verwendet, um zu steuern, welche Benutzer eine Verbindung zur Liberty z/OS System Security Access Domain herstellen können, muss der nicht authentifizierten Benutzer-ID Zugriff auf das APPL-Profil erteilt werden.
    Führen Sie den Befehl PERMIT aus.
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

Nächste Schritte

Wenn Sie die Fehlernachricht ICH408I bezüglich der RACF-Berechtigung empfangen, weil der nicht authentifizierte Benutzer (WSGUEST) keinen Zugriff auf eine RACF-Ressource hat (z. B. ein EJBROLE-Profil), ist es nahezu immer falsch, der nicht authentifizierten Benutzer-ID den Zugriff auf Ressourcenprofil zu erteilen, um das Problem zu beheben. Das bedeutet gewöhnlich, dass die Anforderung in einem nicht authentifizierten Zustand ausgeführt wird, obwohl sie in einem authentifizierten Zustand ausgeführt werden muss. Das tatsächliche Problem ist wahrscheinlich eine nicht ordnungsgemäße Authentifizierung. In Fällen, in denen es erforderlich zu sein scheint, der nicht authentifizierten Benutzer-ID den Zugriff auf ein SAF-Ressourcenprofil zu teilen, müssen Sie sorgfältig überlegen, ob dies die richtige Maßnahme ist. Der nicht authentifizierten Benutzer-ID Zugriff auf ein SAF-Ressourcenprofil zu erteilen, bedeutet, dass die Ressource für jeden zugänglich ist, einschließlich Benutzern, die nicht authentifiziert sind. Es gibt fast eine Fälle, in denen dies erforderlich. Das APPL-Profil, das den Zugriff auf WZSSAD steuert, bildet jedoch eine Ausnahme.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_config_security_saf.html