Wenn Sie eine SAF-Benutzerregistry verwenden, muss eine SAF-Benutzer-ID angegeben werden, die den nicht authentifizierten
Zustand darstellt. Der Name der nicht authentifizierten Benutzer-ID wird mit dem Attribut
unauthenticatedUser des Elements SAFCredentials in der Dateiserver.xml
angegeben. Es ist wichtig, diese Benutzer-ID ordnungsgemäß in Ihrer SAF-Registry zu definieren.
Wenn Sie eine RACF-SAF-Benutzerregistry verwenden, benötigt der nicht authentifizierte Benutzer (standardmäßig WSGUEST)
eine eindeutige Standardgruppe (DFLTGRP) ohne weitere verbundene Benutzer-IDs, ein OMVS-Segment, aber kein TSO-Segment und die Optionen
NOPASSWORD,
NOOIDCARD und RESTRICTED. wenn Sie eine andere SAF-Benutzerregistry anstelle einer RACF-Registry haben,
müssen Sie die Benutzer-ID-Optionen, die von dieser SAF-Registry bereitgestellt werden und diesen RACF-Optionen entsprechen, ermitteln.
Informationen zu diesem Vorgang
Durch Ausführung der entsprechenden Befehle können Sie einen nicht authentifizierten Benutzer ordnungsgemäß in Ihrer
SAF-Benutzerregistry konfigurieren. Ein nicht authentifizierter Benutzer, der nicht ordnungsgemäß konfiguriert ist, kann ein Sicherheitsrisiko darstellen.
Vorgehensweise
- Führen Sie den Befehl ADDGROUP aus. Verwenden Sie WSGUESTG als Gruppennamen.
ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
DATA('WAS Unauthenticated User Group')
OMVS(AUTOGID)
- Führen Sie den Befehl ADDUSER aus. Verwenden Sie WSGUEST als Benutzer-ID-Namen.
ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
OMVS(AUTOUID
HOME(/u/WSGUEST)
PROGRAM(/bin/sh))
NAME('WAS unauth')
NOPASSWORD NOOIDCARD
RESTRICTED
Die Optionen NOPASSWORD und NOOIDCARD schützen diese Benutzer-ID vor dem Widerruf
durch wiederholte Versuche, das Kennwort zu erraten.
Die Option RESTRICTED bedeutet, dass diese Benutzer-ID nur dann Zugriff auf geschützte
Ressourcen erhält, wenn sie explizit für diese Ressource berechtigt wurde, selbst wenn für die Ressource die allgemeine Zugriffseinstellung
UACC(READ) definiert ist.
Anmerkung: Nachdem Sie die nicht authentifizierte Benutzer-ID (WSGUEST) in der SAF-Registry definiert haben, müssen Sie sicherstellen,
dass die Benutzer-ID nur für die Mindestanzahl an SAF-Ressourcen berechtigt ist. Wenn der Liberty-Server die SAF-APPL-Ressourcenprüfung verwendet, um zu steuern, welche Benutzer eine Verbindung zur Liberty
z/OS System Security Access Domain herstellen können, muss der nicht authentifizierten Benutzer-ID Zugriff auf das APPL-Profil erteilt werden.
Führen Sie den Befehl PERMIT aus. PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)
Nächste Schritte
Wenn Sie die Fehlernachricht
ICH408I bezüglich der RACF-Berechtigung empfangen,
weil der nicht authentifizierte Benutzer (WSGUEST) keinen Zugriff auf eine RACF-Ressource hat (z. B. ein
EJBROLE-Profil), ist es nahezu immer falsch, der nicht authentifizierten Benutzer-ID
den Zugriff auf Ressourcenprofil zu erteilen, um das Problem zu beheben. Das bedeutet gewöhnlich, dass die Anforderung in einem
nicht authentifizierten Zustand ausgeführt wird, obwohl sie in einem authentifizierten Zustand ausgeführt werden muss. Das tatsächliche
Problem ist wahrscheinlich eine nicht ordnungsgemäße Authentifizierung. In Fällen, in denen es erforderlich zu sein scheint, der nicht authentifizierten
Benutzer-ID den Zugriff auf ein SAF-Ressourcenprofil zu teilen, müssen Sie sorgfältig überlegen, ob dies die richtige Maßnahme ist. Der nicht
authentifizierten Benutzer-ID Zugriff auf ein SAF-Ressourcenprofil zu erteilen, bedeutet, dass die Ressource für jeden zugänglich ist, einschließlich
Benutzern, die nicht authentifiziert sind. Es gibt fast eine Fälle, in denen dies erforderlich. Das APPL-Profil, das den Zugriff auf WZSSAD steuert,
bildet jedoch eine Ausnahme.