【2009/10/06 original author WATANABE】
RACFを運用しているシステムでは、パスワード間違いによるユーザーIDのREVOKE(無効化)、パスワード失念といった事態は日常茶飯事です。こういう日常茶飯事に発生するような作業は、他の人に任せてしまいたい、という要件も当然生まれます。
通常、RACFパスワードのリセット処理や回復処理、というものは、RACF Special権限が必要ですが、RACFパスワードのリセット処理や回復処理をするためだけに、この権限を付与する、というのは、非常にリスキーです。
OS/390 V2.6以降では、RACFパスワードのリセット処理や回復処理に限ってですがRACF Special権限を保持していなくても、処理ができるような仕組みが提供されました。ただし、当然のことながら、このプロファイルの運用を間違えるとセキュリティ上の問題になることがありますから、このプロファイルはUACC(NONE)で登録し、誰でも使えないようにすること、また、必要な人にだけ許可するようにする必要があります。
セットアップ
FACILITYクラスの資源 ‘IRR.PASSWORD.RESET’、’IRR.LISTUSER’を登録します。
RDEFINE FACILITY IRR.LISTUSER UACC(NONE) AUDIT(ALL(READ))RDEFINE FACILITY IRR.PASSWORD.RESET UACC(NONE) AUDIT(ALL(READ))
使用できるRACFユーザーを登録します。
PE IRR.LISTUSER CLASS(FACILITY) ID(userid) ACC(READ)PE IRR.PASSWORD.RESET CLASS(FACILITY) ID(userid) ACC(READ)SETR RACLIST(FACILITY) REFRESH
使い方
RACFパスワードのリセット処理や回復処理を処理するために、RACFユーザーIDの状態を確認します。
*通常は、自分のRACFユーザーIDしかLISTUSERが効きませんが、’IRR.LISTUSER’プロファイルによって他のユーザーも表示することができます。ただし、下記のように、余分な情報(TSO・OMVS・NETVIEWなどのセグメント情報)は表示できません。
LU TESTUSR TSOUSER=TESTUSR NAME=TEST USER OWNER=SYS1 CREATED=yy.dddDEFAULT-GROUP=SYS1 PASSDATE=yy.ddd PASS-INTERVAL= 90ATTRIBUTES=NONEREVOKE DATE=NONE RESUME DATE=NONELAST-ACCESS=yy.ddd/hh:mm:ssCLASS AUTHORIZATIONS=NONENO-INSTALLATION-DATANO-MODEL-NAMELOGON ALLOWED (DAYS) (TIME)---------------------------------------------ANYDAY ANYTIMEGROUP=SYS1 AUTH=USE CONNECT-OWNER=SYS1 CONNECT-DATE=yy.dddCONNECTS= 69 UACC=NONE LAST-CONNECT=yy.ddd/hh:mm:ssCONNECT ATTRIBUTES=NONEREVOKE DATE=NONE RESUME DATE=NONESECURITY-LEVEL=NONE SPECIFIEDCATEGORY-AUTHORIZATIONNONE SPECIFIEDSECURITY-LABEL=NONE SPECIFIEDYou are not authorized to view TSO segments.***
また、RACF特権を持っているユーザーの場合は、表示できません。
NOT AUTHORIZED TO LIST userid***
REVOKEしてしまった場合は、RESUMEしてあげましょう。
ALTUSER userid RESUME
パスワード失念の場合は、初期パスワードを設定しましょう。
ALTUSER userid RESUME PASSWORD(password)
【2009/10/06 original author WATANABE】