RACF – Special権限を持たずしてパスワードリセット
By 渡辺 - Posted: 2009/10/06 Last updated: 2009/10/06
- Leave a Comment
RACFで運用されているようなシステムでは、パスワード間違いによるユーザーID REVOKE,
パスワード失念といった事態は、日常茶飯事です。
こういう日常茶飯事に発生するような作業は、他の人に任せてしまいたい、という要件も
当然生まれます。
通常、RACFパスワードのリセット処理や回復処理、というものは、RACF Special権限が
必要ですが、RACFパスワードのリセット処理や回復処理をするためだけに、この権限を
付与する、というのは、非常にリスキーです。
OS/390 V2.6以降では、RACFパスワードのリセット処理や回復処理に限ってですが
RACF Special権限を保持していなくても、処理ができるような仕組みが提供されました。
ただし、当然のことながら、このプロファイルの運用を間違えるとセキュリティ上の
問題になることがありますから、このプロファイルはUACC(NONE)で登録し、
誰でも使えないようにすること、また、必要な人にだけ許可するようにする必要があります。
■セットアップ
・FACILITYクラスの資源”IRR.PASSWORD.RESET”・”IRR.LISTUSER”を登録します。
・RACFパスワードのリセット処理や回復処理を処理するために、RACFユーザーIDの
状態を確認します。
*通常は、自分のRACFユーザーIDしか、LISTUSERが効きませんが
”IRR.LISTUSER”プロファイルによって他のユーザーも表示することができます。
ただし、下記のように、余計な情報(TSO・OMVS・NETVIEWなどのセグメント情報)は
表示できません。
パスワード失念といった事態は、日常茶飯事です。
こういう日常茶飯事に発生するような作業は、他の人に任せてしまいたい、という要件も
当然生まれます。
通常、RACFパスワードのリセット処理や回復処理、というものは、RACF Special権限が
必要ですが、RACFパスワードのリセット処理や回復処理をするためだけに、この権限を
付与する、というのは、非常にリスキーです。
OS/390 V2.6以降では、RACFパスワードのリセット処理や回復処理に限ってですが
RACF Special権限を保持していなくても、処理ができるような仕組みが提供されました。
ただし、当然のことながら、このプロファイルの運用を間違えるとセキュリティ上の
問題になることがありますから、このプロファイルはUACC(NONE)で登録し、
誰でも使えないようにすること、また、必要な人にだけ許可するようにする必要があります。
■セットアップ
・FACILITYクラスの資源”IRR.PASSWORD.RESET”・”IRR.LISTUSER”を登録します。
RDEFINE FACILITY IRR.LISTUSER UACC(NONE) AUDIT(ALL(READ)) RDEFINE FACILITY IRR.PASSWORD.RESET UACC(NONE) AUDIT(ALL(READ))・使用できるRACFユーザーを登録します。
PE IRR.LISTUSER CLASS(FACILITY) ID(userid) ACC(READ) PE IRR.PASSWORD.RESET CLASS(FACILITY) ID(userid) ACC(READ) SETR RACLIST(FACILITY) REFRESH■使い方
・RACFパスワードのリセット処理や回復処理を処理するために、RACFユーザーIDの
状態を確認します。
*通常は、自分のRACFユーザーIDしか、LISTUSERが効きませんが
”IRR.LISTUSER”プロファイルによって他のユーザーも表示することができます。
ただし、下記のように、余計な情報(TSO・OMVS・NETVIEWなどのセグメント情報)は
表示できません。
LU TESTUSR TSO
USER=TESTUSR NAME=TEST USER OWNER=SYS1 CREATED=yy.ddd
DEFAULT-GROUP=SYS1 PASSDATE=yy.ddd PASS-INTERVAL= 90
ATTRIBUTES=NONE
REVOKE DATE=NONE RESUME DATE=NONE
LAST-ACCESS=yy.ddd/hh:mm:ss
CLASS AUTHORIZATIONS=NONE
NO-INSTALLATION-DATA
NO-MODEL-NAME
LOGON ALLOWED (DAYS) (TIME)
---------------------------------------------
ANYDAY ANYTIME
GROUP=SYS1 AUTH=USE CONNECT-OWNER=SYS1 CONNECT-DATE=yy.ddd
CONNECTS= 69 UACC=NONE LAST-CONNECT=yy.ddd/hh:mm:ss
CONNECT ATTRIBUTES=NONE
REVOKE DATE=NONE RESUME DATE=NONE
SECURITY-LEVEL=NONE SPECIFIED
CATEGORY-AUTHORIZATION
NONE SPECIFIED
SECURITY-LABEL=NONE SPECIFIED
You are not authorized to view TSO segments.
***
また、RACF特権を持っているユーザーの場合は、表示できません。 NOT AUTHORIZED TO LIST userid
***
・REVOKEしてしまった場合は、RESUMEしてあげましょう。ALTUSER userid RESUME・パスワード失念の場合は、初期パスワードを設定しましょう。
ALTUSER userid RESUME PASSWORD(password)
Posted in 知っておくと便利なテクニックなど • • Top Of Page