RACF

RACF

Resource Access Control Facility (RACF) ist IBMs Implementation der Sicherheitschnittstelle SAF (System Authorization Facility) der Großrechnerbetriebssysteme MVS (Kern des z/OS) und – in einer älteren Version – z/VM. Der heutige Name lautet SecureWay Security Server – RACF.

Die Hauptfunktionen, die es erfüllt sind:

  • Identifikation und Verifikation der User mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
  • Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte (Autorisierung)
  • Logging der Zugriffe auf geschützte Ressourcen (Auditing).

Der RACF-Administrator pflegt mittels RACF-Kommandos die RACF-Datenbank. Diese enthält in sogenannten Profilen die Benutzerschlüssel (Userids), die zu schützenden Ressourcen (Resources) und Gruppen (Groups).

Inhaltsverzeichnis

Userids

User des Systems sind natürliche Personen und auch technische User, die sich mit einer RACF-Userid in einem Onlinesystem wie TSO, CICS oder IMS an einem Terminal einloggen oder auch Server-Prozesse ("Started Tasks" im MVS-Sprachgebrauch), denen die RACF-Administration eine Userid zugeordnet hat.

In einem User-Profil speichert RACF neben Namen des Users statistische und weitere Informationen:

  • Änderungsdatum des Passwortes
  • Letzte Benutzung der Userid
  • Passwort (verschlüsselt), Passwort-Historie
  • Gruppenzugehörigkeit
  • Benutzerattribute wie REVOKED welches anzeigt, dass die Userid gesperrt ist und besondere, administrative Berechtigungen.
  • Weitere Eigenschaften, die die Nutzung der MVS-Teilsysteme wie Unix System Services, CICS, TSO oder des Dateisystems beschreiben und festlegen.

Administrative Berechtigungen für Userids

Im Benutzerprofil können für einen User auch administrative Berechtigungen eingestellt werden:

  • SPECIAL: Macht den Benutzer zum RACF Systemverwalter. Ein solcher Benutzer kann alle RACF Einstellungen administrieren.
  • AUDITOR: erlaubt es dem Benutzer (z. B. einem Revisor) die Zugriffsüberwachtung (Protokollierung) zu steuern.
  • OPERATIONS: erlaubt dem Benutzer vollen Zugriff auf alle Dateiressourcen. Dies Attribut wird oft an Mitarbeiter des Storage Managements vergeben. Zugriffe, die über dieses Attribut erfolgen, werden optional protokolliert.

Überwachung (Auditing) von Userids

Kritische oder hoch autorisierte User können optional auditiert werden. Zu diesem Zweck wird im RACF das Attribut UAUDIT für die entsprechenden User gesetzt. D. h. alle Aktionen dieser User werden als so genannter SMF-Record in den Betriebssystem-Logdateien abgelegt. Eine Auswertung kann dann mit speziellen Utilities durchgeführt werden.

Ressourcen

Ressourcen sind klassisch Dateien, Bänder, Terminals, heute jedoch ganz abstrakt alles, was eine Installation für schützenswert erachtet, z. B. Konsolenbefehle, Namen von Online-Transaktionen oder die Erlaubnis, das Passwort eines anderen Benutzers zurückzusetzen.

Eine Ressource wird durch ein Ressourcen-Profil geschützt. Ein Ressourcen-Profil wird identifiziert durch einen Klassennamen (z. B. DATASET) und einen Namen, der die zu schützende Ressource vollständig (diskretes Profil) oder teilweise (generisches Profil) beschreibt. Z. B. schützt das generische DATASET-Profile SYS1.** alle Dateien, die mit SYS1. beginnen.

Ein Profil legt den sogenannten Universal Access fest, der für alle Benutzer gilt. In der Zugriffsliste können für einzelne Benutzer oder Benutzergruppen andere Berechtigungen definiert werden.

RACF kennt sechs Stufen von Zugriffsrechten, die von den Ressourcenmanagern des z/OS (siehe unten) in nahe liegender Weise interpretiert werden:

  • NONE: Kein Zugriff
  • EXECUTE: Ausführungsrecht für ein Programm, das Programm kann aber nicht kopiert werden und wird sogar im Speicherauszug unterdrückt.
  • READ: Bei Dateien lesender Zugriff, beinhaltet EXECUTE
  • UPDATE: Bei Dateien schreibender Zugriff, beinhaltet READ
  • CONTROL: Bei Dateien schreibender Zugriff, beinhaltet UPDATE
  • ALTER: Bei Dateien uneingeschränkter Zugriff: Anlegen, Löschen, Umbenennen der Datei, beinhaltet CONTROL

Ursprünglich war RACF nur zum Schutz von Dateien vorgesehen. Die Erweiterung auf weitere Ressourcen wurde erst später realisiert. Aus diesem Grunde beziehen sich die Namen der Zugriffsstufen auf Dateizugriffe.

RACF-Gruppen

Hinter RACF-Gruppen steht ein komplexes Konzept:

  • Zum einen können sie verwendet werden um Userids zusammenzufassen und dann Vollmachten an diese Gruppe, statt an jeden einzelnen User zu geben. Ein User kann maximal 8191 Gruppen (maximal 65536 Bytes) angehören und genießt die Summe der Vollmachten aller Gruppen, denen er angehört (wenn RACF Option 'LIST OF GROUPS ACCESS CHECKING IS ACTIVE' gesetzt ist).
  • Gruppen sind hierarchisch organisiert: Die oberste Gruppe heißt SYS1. Diese Hierarchie ist die Basis dafür, die RACF-Administration nach organisatorischen Gesichtspunkten zu dezentralisieren. Wenn ein User mit Administrationsrechten zu einer Gruppe verbunden ist, hat er auch Administrationsrechte für alle Untergruppen dieser Gruppe.

Ressource-Manager

RACF, d. h. eigentlich SAF, arbeitet passiv. Die Nutzer des Systems greifen mittels eines Ressourcenmanagers auf eine Ressource zu. Der jeweilige Ressourcenmanager bildet einen Ressourcenamen und fragt dann SAF, ob der Zugriff gestattet ist. SAF/RACF antwortet mit ja, nein oder „weiß nicht“ (nämlich dann, wenn die Ressource nicht durch ein Profil geschützt ist). Das Subsystem gestattet daraufhin die Nutzung der Ressource (oder auch nicht).

Beispiele für Ressource-Manager sind das Dateisystem des Betriebssystems z/OS mit der Ressource Datei oder CICS mit der Ressource (unter vielen anderen) Transaktionskode. Es ist auch möglich, das Datenbanksystem DB2 so zu fahren, dass es die Datenbank-Vollmachten nicht mit SQL-Grants im eigenen Katalog sondern als RACF-Ressourcen im RACF ablegt. Seit der DB2 z/OS Version 8 können durch MLS (=Multilevel Secutity) mit Row Level Granularity sogar Zugriffsberechtigungen zu einzelnen Datensätzen in einer DB2-Tabelle über RACF vergeben werden.

Quellenangabe

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • RACF — Resource Access Control Facility Resource Access Control Facility est un composant de l’OS/390. RACF est un programme de sécurité qui contrôle toutes les opérations effectuées sur le système d’exploitation. Ce programme a été concu à l origine en …   Wikipédia en Français

  • RACF — Resource Access Control Facility (Governmental » Military) Resource Access Control Facility (Computing » General) …   Abbreviations dictionary

  • RACF — Resource Access Control Facility (IBM) …   Acronyms

  • RACF — Resource Access Control Facility ( IBM) …   Acronyms von A bis Z

  • RACF —    Resource Access Control Facility (IBM) …   IT glossary of terms, acronyms and abbreviations

  • RACF — abbr. Resource Access Control Facility (IBM, MVS/ESA) comp. abbr. Resource Access Control Facility …   United dictionary of abbreviations and acronyms

  • Resource Access Control Facility — RACF, short for Resource Access Control Facility, is an IBM software product. It is a security system that provides access control and auditing functionality for the z/OS and z/VM operating systems. Its primary market competitors have been ACF2… …   Wikipedia

  • Abréviations en informatique R — RACF : Resource Access Control Facility RAD : Rapid Application Design/Development RADSL : Rate Adaptive DSL RAID : Redundant Array of Inexpensive Disks RAM : Random Access Memory, Mémoire vive RAR : Roshal ARchive RAS : Remote… …   Wikipédia en Français

  • Resource Access Control Facility — (RACF) ist IBMs Implementierung der Sicherheitschnittstelle SAF (System Authorization Facility) der Großrechnerbetriebssysteme MVS (Kern des z/OS) und – in einer älteren Version – z/VM. Der heutige Name lautet SecureWay Security Server – RACF.… …   Deutsch Wikipedia

  • Resource Access Control Facility — est un composant de l’OS/390. RACF est un programme de sécurité qui contrôle toutes les opérations effectuées sur le système d’exploitation. Ce programme a été conçu à l origine en septembre 1976. Il est utilisé pour : protéger les… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”