IZUG846W: Uma solicitação HTTP para um serviço REST z / OSMF foi recebida de um site remoto

3

Eu configurei o z / OSMF e estou recebendo este erro ao tentar acessar o url https://my.zos.com/zosmf/restjobs/jobs .

{ “errorID”:“IZUG846W”,“errorMsg”:“IZUG846W: An HTTP request for a z/OSMF REST service was received from a remote site. The request was rejected, however, because the remote site \“\” is not permitted to z/OSMF server \“IZUSVR\” on target system \“my.zos.com\” .“}

A mensagem de erro não fornece informações suficientes para identificar a causa raiz. Alguém mais atingiu esse problema?

    
por Hogstrom 06.09.2018 / 03:45

3 respostas

4

É preferível, e acredito que é o padrão, manter o CSRF_SWITCH (ON), que requer que uma lista de permissões seja configurada para que apenas hosts na lista de permissões possam originar solicitações.

A lista de permissões é um perfil de classe de recurso RACF ZMFAPLA do formulário IZUDFLT.ZOSMF.REST.<zosmf-service>.<reversed-host-name> . Todos esses perfis devem ser definidos com o UACC (NONE) e permitir o acesso READ ao ID do servidor (o padrão é IZUSVR).

Um exemplo de perfil IZUDFLT.ZOSMF.REST.*.com.whoa.test.myserver permitirá solicitações de origem cruzada de entrada do nome do host myserver.test.whoa.com. As mesmas solicitações de origem, como as de um navegador da Web que está acessando diretamente o host z / OSMF, não estão sujeitas à proteção contra CSRF.

    
por 06.09.2018 / 03:57
2

Se você está gerando a solicitação REST você mesmo pode adicionar o cabeçalho X-CSRF-ZOSMF-HEADER com qualquer valor para contornar isso. O carteiro do Firefox, por exemplo, permite que você adicione o cabeçalho Eu tenho uma foto de antes e depois no carteiro

Outra boa maneira de lidar com um servidor exigente do z / OSMF é direcionar a API por meio de CURL

curl -k -H "X-CSRF-ZOSMF-CABEÇALHO: fictício" -u: https: //: / zosmf / restfiles / ds? dslevel = T *

No zowe.org nós fornecemos um conjunto de APIs REST que não insistem no cabeçalho e abstraem algumas nuances do z / OSMF, bem como uma interface de linha de comando e um explorador JES bacana, assim como pares de exploradores de arquivos para conjuntos de dados e arquivos USS que são executados em um navegador, por isso, se você tiver um momento de giro pelo zowe.org e nos informar se isso ajuda em nada.

Felicidades,

Joe

    
por 06.09.2018 / 20:34
1

Por padrão, o z / OSMF é configurado em um modo seguro para não abrir uma falha de segurança acidental. A mensagem fornecida indica que o sistema remoto (origem da chamada REST) pode estar potencialmente inseguro. Isso significa que a solicitação é negada.

Uma maneira de evitar esse problema é modificar o membro IZUPRMnn que inicializa o z / OSMF. O parâmetro:

CSRF_SWITCH(ON) , que é o padrão, pode ser alterado para CSRF_SWITCH(OFF) isso desativa o mecanismo de segurança de script entre sites.

Os parâmetros para o z / OSMF podem ser encontrados aqui .

A entrada específica para CSRF_SWITCH é incluída para referência abaixo e é baseada no z / OS 2.3.

CSRF_SWITCH(ON|OFF)

Indicates whether Cross Site Request Forgery (CSRF) custom header checking is enabled for REST API requests. By default, CSRF_SWITCH is set to ON to ensure that your installation is protected against CSRF attacks. However, in some limited cases, such as for testing, you might choose to temporarily disable CSRF checking by setting CSRF_SWITCH=OFF. However, it is recommended that you leave this setting enabled to prevent CSRF attacks. For more information, see IBM z/OS Management Facility Programming Guide. Default: ON

Mais informações sobre a Configuração do z / OSMF podem ser encontradas aqui

    
por 06.09.2018 / 03:45