RACF – Special権限を持たずしてパスワードリセット

By 渡辺 - Posted: 2009/10/06 Last updated: 2009/10/06 - Leave a Comment
RACFで運用されているようなシステムでは、パスワード間違いによるユーザーID REVOKE,
パスワード失念といった事態は、日常茶飯事です。

こういう日常茶飯事に発生するような作業は、他の人に任せてしまいたい、という要件も
当然生まれます。

通常、RACFパスワードのリセット処理や回復処理、というものは、RACF Special権限が
必要ですが、RACFパスワードのリセット処理や回復処理をするためだけに、この権限を
付与する、というのは、非常にリスキーです。

OS/390 V2.6以降では、RACFパスワードのリセット処理や回復処理に限ってですが
RACF Special権限を保持していなくても、処理ができるような仕組みが提供されました。
ただし、当然のことながら、このプロファイルの運用を間違えるとセキュリティ上の
問題になることがありますから、このプロファイルはUACC(NONE)で登録し、
誰でも使えないようにすること、また、必要な人にだけ許可するようにする必要があります。

 ■セットアップ
・FACILITYクラスの資源”IRR.PASSWORD.RESET”・”IRR.LISTUSER”を登録します。
RDEFINE FACILITY IRR.LISTUSER UACC(NONE) AUDIT(ALL(READ))
RDEFINE FACILITY IRR.PASSWORD.RESET UACC(NONE) AUDIT(ALL(READ))
・使用できるRACFユーザーを登録します。
PE IRR.LISTUSER CLASS(FACILITY) ID(userid) ACC(READ)
PE IRR.PASSWORD.RESET CLASS(FACILITY) ID(userid) ACC(READ)
SETR RACLIST(FACILITY) REFRESH
 ■使い方
  ・RACFパスワードのリセット処理や回復処理を処理するために、RACFユーザーIDの
   状態を確認します。
    *通常は、自分のRACFユーザーIDしか、LISTUSERが効きませんが
     ”IRR.LISTUSER”プロファイルによって他のユーザーも表示することができます。
     ただし、下記のように、余計な情報(TSO・OMVS・NETVIEWなどのセグメント情報)は
     表示できません。
LU TESTUSR TSO
 USER=TESTUSR  NAME=TEST USER             OWNER=SYS1      CREATED=yy.ddd
  DEFAULT-GROUP=SYS1      PASSDATE=yy.ddd  PASS-INTERVAL= 90
  ATTRIBUTES=NONE
  REVOKE DATE=NONE   RESUME DATE=NONE
  LAST-ACCESS=yy.ddd/hh:mm:ss
  CLASS AUTHORIZATIONS=NONE
  NO-INSTALLATION-DATA
  NO-MODEL-NAME
  LOGON ALLOWED   (DAYS)          (TIME)
  ---------------------------------------------
  ANYDAY                          ANYTIME
   GROUP=SYS1      AUTH=USE      CONNECT-OWNER=SYS1      CONNECT-DATE=yy.ddd
     CONNECTS=    69  UACC=NONE     LAST-CONNECT=yy.ddd/hh:mm:ss
     CONNECT ATTRIBUTES=NONE
     REVOKE DATE=NONE   RESUME DATE=NONE
 SECURITY-LEVEL=NONE SPECIFIED
 CATEGORY-AUTHORIZATION
  NONE SPECIFIED
 SECURITY-LABEL=NONE SPECIFIED
 You are not authorized to view TSO segments.
 ***
     また、RACF特権を持っているユーザーの場合は、表示できません。
 NOT AUTHORIZED TO LIST userid
 ***
  ・REVOKEしてしまった場合は、RESUMEしてあげましょう。
ALTUSER userid RESUME
  ・パスワード失念の場合は、初期パスワードを設定しましょう。
ALTUSER userid RESUME PASSWORD(password)
Posted in 知っておくと便利なテクニックなど • • Top Of Page