Configuration de l'utilisateur authentifié SAF (fonction d'autorisation système)

Si vous utilisez un registre d'utilisateurs SAF, il est nécessaire de spécifier un ID utilisateur SAF qui présente l'état non authentifié. Le nom de l'ID utilisateur non authentifié est spécifié dans l'attribut unauthenticatedUser de l'élément SAFCredentials dans le fichier server.xml. Il est important de définir cet ID utilisateur correctement dans votre registre SAF. Si vous utilisez un registre d'utilisateurs SAF RACF, l'utilisateur non authentifié (WSGUEST par défaut) requiert un groupe par défaut unique (DFLTGRP) sans autre ID utilisateur connecté à ce groupe, un segment OMVS, mais pas de segment TSO, et les options NOPASSWORD, NOOIDCARD et RESTRICTED. Si vous disposez d'un registre d'utilisateurs SAF autre que RACF, recherchez les options d'ID utilisateur qui sont fournies pour ce registre SAF et qui sont équivalentes à ces options RACF.

Pourquoi et quand exécuter cette tâche

En exécutant les commandes appropriées, vous pouvez configurer correctement un utilisateur non authentifié dans votre registre d'utilisateurs SAF. Un utilisateur non authentifié mal configuré peut entraîner un risque lié à la sécurité.

Procédure

  1. Exécutez la commande ADDGROUP. Utilisez WSGUESTG comme nom de groupe.
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. Exécutez la commande ADDUSER. Utilisez WSGUEST comme nom d'ID utilisateur.
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    Les options NOPASSWORD et NOOIDCARD empêchent la révocation de cet ID utilisateur suite à plusieurs saisies incorrectes du mot de passe.

    L'option RESTRICTED spécifie que cet ID utilisateur ne peut pas accéder aux ressources protégées sauf s'il y est autorisé explicitement, même si le paramètre d'accès de la ressource est UACC(READ).

  3. Remarque : Une fois l'ID utilisateur non authentifié (WSGUEST) défini dans le registre SAF, assurez-vous qu'il ne peut accéder qu'au nombre minimal de ressources SAF. Si le serveur Liberty utilise la vérification des ressources SAF APPL pour contrôler quels sont les utilisateurs qui peuvent se connecter au domaine d'accès de la sécurité du système z/OS Liberty, l'ID utilisateur non authentifié doit se voir attribuer l'accès au profil APPL.
    Exécutez la commande PERMIT.
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

Que faire ensuite

Si vous recevez le message d'échec d'autorisation RACF ICH408I, cela signifie que l'utilisateur non authentifié (WSGUEST) ne possède pas l'accès à une ressource RACF, par exemple un profil EJBROLE. Il est presque toujours incorrect d'autoriser l'ID utilisateur non authentifié à accéder au profil de ressource pour résoudre le problème. En général, la demande s'exécute dans un état non authentifié alors qu'elle doit s'exécuter dans un état authentifié. Le problème réel est probablement un échec d'authentification. A chaque fois qu'il semble nécessaire d'autoriser l'ID utilisateur non authentifié à accéder à un profil de ressource SAF, déterminez soigneusement s'il s'agit de l'action appropriée. Si vous autorisez un ID utilisateur non authentifié à accéder à un profil de ressource SAF, tout le monde pourra y accéder, y compris les utilisateurs qui ne sont pas authentifiés. Les cas dans lesquels cette opération est requise sont très rares ; toutefois, le profil APPL qui contrôle l'accès à WZSSAD constitue une exception.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_config_security_saf.html