TSOを利用してシステムにログインする場合、ユーザーIDとパスワードを入力しますが、ユーザーIDは利用者が誰なのかを知らせるため、パスワードは本人であることを証明するために利用されます。入力されたパスワードはRACFデータベース内の値と比較してログオンが許可されます。尚、RACFデータベースには利用者が入力したパスワードがそのまま保存されている訳ではなく、ユーザーIDを入力したパスワードを使用し、一方向関数アルゴリズムにより暗号化した値が保存されています。
パスワードのルール
RACFでは利用するパスワードに対してルールを設定することができ、パスワードの文字数や文字の種類(英字、英数字、母音、子音、国別文字、混合文字など)を位置で設定することができます。入力形式は以下の通り。
RULEn (LENGTH (m1:m2) content-keyword (position))
RACFに標準で提供されているルール機能ですが、残念ながら以下のような禁止を設定する使い方には不向きです。
- 同一文字の連続(AAAA..)
- ユーザーIDで始まる文字列(user01、user02…)
- 前回と類似する文字列
- 辞書にあるような文字列(PASSWORDなど)
- 安直な文字列(ABCDEF、123456、QWERTY…)
従って、標準で提供されていない上記のようなルールを適用したい場合、EXITを作成して対応する必要があります。サンプルも提供されておりますが、肝心の処理内容は新たに作成しなければならないため、ハードルが高くなります。又、作成したEXITはz/OSのバージョンアップ、RACF機能変更などにより検証作業が必要となるだけでなく、将来に亘って保守の問題も発生するため、自社開発よりは動作保証されたツールを利用する方が望ましいと思われます。
複雑なRACFの管理、正しくできていますか?Vanguard RACF研修コース
IRRXUTIL
IBM社が提供しているIRRXUTILと言うユーティリティをご存知でしょうか?
このユーティリティはRACF運用で利用できる便利なツール群でREXXやプログラムソースコード、ロードモジュールが提供されています。元々はRACF機能を補完する目的で作られたようですが、弊社が取り扱っているVanguard製品の名前も便利ツールとしてREADMEで紹介されています。IRRXUTILではパスワードに関してもいくつかのツールが提供されておりますので、詳細は以下を参照ください。
https://github.com/IBM/IBM-Z-zOS/tree/master/zOS-RACF/Downloads
Policy Managerパスワードルール
Vanguard Policy Manager製品は、セキュリティ管理者が発行するRACFコマンドについてきめ細かな制限を設定するためのソリューションですが、利用者が入力するパスワードについてもルールを設けることができます。例えば、RACF標準では設定できない以下のようなルールについて設定が可能です。
- 前回のパスワードと違う文字がn文字含まれている(n:1~8文字)
- 2文字以上の連続した文字列を含まない
- 辞書の文字列は使用できない
- 利用者が指定した文字列は使用できない
- ユーザーIDで始まる文字列は使用できない
- デフォルトグループ名や接続グループ名で始まる文字列は使用できない
以下の画面はパスワードルールを有効化するパネルです。
有効化/無効化 による柔軟な運用
Vanguard Policy Manager製品ではポリシー更新権限のある管理者(SPECIALのみでは不可)が、標準で提供されている13種類のパスワードルールから適用したいルールを組み合わせて設定することができるため柔軟な運用が可能で、パスワードルールはポリシー変更時点で即有効になります。尚、パスワードに関するルール化のため、既にパスワードEXITを作成されている場合でも、Policy Manager用EXITとの共存が可能となる仕様になっております。