System Authorization Facility (SAF) 非認証ユーザーのセットアップ

SAF ユーザー・レジストリーを使用している場合、非認証状態を表す SAF ユーザー ID を指定する必要があります。非認証ユーザー ID の名前は、server.xml 内の SAFCredentials エレメントの unauthenticatedUser 属性で指定されています。SAF レジストリーでこのユーザー ID を正しく定義することが重要です。RACF SAF ユーザー・レジストリーを使用している場合、非認証ユーザー (デフォルトでは WSGUEST) は、他のユーザー ID が接続されていない固有のデフォルト・グループ (DFLTGRP)、OMVS セグメント (TSO セグメントではない)、およびオプション NOPASSWORDNOOIDCARDRESTRICTED を必要とします。RACF ではなく、別の SAF ユーザー・レジストリーがある場合、その SAF レジストリーで提供されている、これらの RACF オプションと同等のユーザー ID オプションを探してください。

このタスクについて

適切なコマンドを実行することで、SAF ユーザー・レジストリーで非認証ユーザーを正しくセットアップできます。非認証ユーザーが正しくセットアップされていない場合、機密漏れが生じることがあります。

手順

  1. ADDGROUP コマンドを実行します。 グループ名として WSGUESTG を使用します。
    ADDGROUP WSGUESTG SUPGROUP(SYS1)OWNER(SYS1)
             DATA('WAS Unauthenticated User Group')
             OMVS(AUTOGID) 
  2. ADDUSER コマンドを実行します。 ユーザー ID 名として WSGUEST を使用します。
     ADDUSER WSGUEST DFLTGRP(WSGUESTG) OWNER(SYS1)
             OMVS(AUTOUID          
             HOME(/u/WSGUEST)
             PROGRAM(/bin/sh))
             NAME('WAS unauth')
             NOPASSWORD NOOIDCARD
             RESTRICTED 

    オプション NOPASSWORD および NOOIDCARD により、反復的なパスワード推測試行でこのユーザー ID が取り消されないように保護しています。

    オプション RESTRICTED は、保護リソースに一般アクセス設定 UACC(READ) が構成されている場合でも、そのリソースに対する明示的な許可がない限り、当該ユーザー IDがそのリソースにアクセスできないことを意味します。

  3. 注: 非認証ユーザー ID (WSGUEST) を SAF レジストリーに定義した後に、そのユーザー ID に許可されている SAF リソース数が最小限に抑えられていることを確認してください。Liberty サーバーが SAF APPL リソース検査を使用して、Liberty z/OS® システム・セキュリティー・アクセス・ドメインに接続できるユーザーを制御している場合、非認証ユーザー ID に APPL プロファイルへのアクセス権限を付与する必要があります。
    PERMIT コマンドを実行します。
    PERMIT BBGZDFLT CLASS(APPL) ID(WSGUEST) ACCESS(READ)

次のタスク

非認証ユーザー (WSGUEST) が RACF リソース (EJBROLE プロファイルなど) にアクセスできないために、RACF 許可障害メッセージ ICH408I を受け取る場合があります。この問題を解決するためにリソース・プロファイルに非認証ユーザー ID を許可することが適切なケースはほぼありません。これは通常、認証状態で実行されている必要がある要求が非認証状態で実行されていることを意味します。実際の問題はおそらく、適切に認証できていないことです。SAF リソース・プロファイルに非認証ユーザー ID を許可する必要があるように思われる場合には常に、それが実行すべき適切なアクションなのかどうかを慎重に検討してください。いずれかの SAF リソース・プロファイルに非認証ユーザー ID を許可すると、そのリソースが全ユーザー (認証されていないユーザーも含む) にとって使用可能になります。これが必要になるケースはほとんどありません。ただし、例外が 1 つあり、それは、WZSSAD へのアクセスを制御する APPL プロファイルです。

トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_config_security_saf.html