IZUG846W:z / OSMF RESTサービスのHTTP要求がリモートサイトから受信されました
Z/OSMFをセットアップしましたが、URLにアクセスしようとするとこのエラーが発生しますhttps://my.zos.com/zosmf/restjobs/jobs。
{“ errorID”:“ IZUG846W”、“ errorMsg”:“ IZUG846W:az/OSMF RESTサービスのHTTP要求がリモート・サイトから受信されました。ただし、要求は拒否されました。リモートサイト\“ \”は、ターゲットシステム\“ my.zos.com \”上のz/OSMFサーバー\“ IZUSVR \”には許可されていません。“}
エラーメッセージは、根本原因を特定するための十分な情報を提供していません。他の誰かがこの問題にぶつかったことがありますか?
ホワイトリスト内のホストのみがリクエストを発信できるようにホワイトリストを設定する必要があるCSRF_SWITCH(ON)を維持することが、デフォルトであることが望ましいと思います。
ホワイトリストは、IZUDFLT.ZOSMF.REST.<zosmf-service>.<reversed-Host-name>形式のRACFZMFAPLAリソースクラスプロファイルです。このようなプロファイルはすべてUACC(NONE)で定義し、サーバーのIDへのREADアクセスを許可する必要があります(デフォルトはIZUSVR)。
サンプルプロファイルIZUDFLT.ZOSMF.REST.*.com.whoa.test.myserverは、ホスト名myserver.test.whoa.comからのインバウンドクロスオリジンリクエストを許可します。 z/OSMFホストに直接アクセスしているWebブラウザーからのリクエストなど、同一生成元リクエストはCSRF保護の対象ではありません。
RESTリクエストを自分で生成する場合は、ヘッダーX-CSRF-ZOSMF-HEADERを任意の値で追加して、これを回避できます。たとえば、Firefox postmanではヘッダーを追加できます 郵便配達員の前後の写真があります
面倒なz/OSMFサーバーに対処するもう1つの良い方法は、CURLを介してAPIを駆動することです。
curl -k -H "X-CSRF-ZOSMF-HEADER:ダミー" -u:https://:/ zosmf/restfiles/ds?dslevel = T *
Zowe.orgでは、ヘッダーを主張せず、z/OSMFのニュアンスの一部を抽象化する、一連のREST API、コマンドラインインターフェイス、見栄えの良いAPIを提供しています。 JES Explorerと、ブラウザーで実行されるデータセットおよびUSSファイル用のいくつかのファイルエクスプローラー。少し時間があれば、zowe.orgにアクセスして、役立つかどうかをお知らせください。
乾杯、
ジョー
デフォルトでは、z/OSMFは、偶発的なセキュリティホールを開かないようにセキュアモードで構成されています。提供されたメッセージは、リモートシステム(REST呼び出しのソース)が潜在的に安全でない可能性があることを示しています。これは、要求が拒否されたことを意味します。
この問題を回避する1つの方法は、z/OSMFを初期化するIZUPRMnnメンバーを変更することです。パラメータ:
デフォルトのCSRF_SWITCH(ON)はCSRF_SWITCH(OFF)に変更できます。これにより、クロスサイトスクリプティングの安全メカニズムが無効になります。
Z/OSMFのパラメーターは ここ にあります。
CSRF_SWITCHの特定のエントリーは、以下の参照用に含まれており、z/OS2.3に基づいています。
CSRF_SWITCH(ON | OFF)
クロスサイトリクエストフォージェリ(CSRF)カスタムヘッダーチェックがREST APIリクエストに対して有効になっているかどうかを示します。デフォルトでは、CSRF_SWITCHはONに設定されており、インストールがCSRF攻撃から保護されています。テストなど、一部の限定されたケースでは、CSRF_SWITCH = OFFを設定して、CSRFチェックを一時的に無効にすることを選択できます。ただし、CSRF攻撃を防ぐために、この設定を有効のままにしておくことをお勧めします。詳細については、IBM z/OS管理機能を参照してください。プログラミングガイドデフォルト:オン
Z/OSMF構成の詳細については、次を参照してください ここ