RACFパスワードルールの設定

パスワードイメージ

TSOを利用してシステムにログインする場合、ユーザーIDとパスワードを入力しますが、ユーザーIDは利用者が誰なのかを知らせるため、パスワードは本人であることを証明するために利用されます。入力されたパスワードはRACFデータベース内の値と比較してログオンが許可されます。尚、RACFデータベースには利用者が入力したパスワードがそのまま保存されている訳ではなく、ユーザーIDを入力したパスワードを使用し、一方向関数アルゴリズムにより暗号化した値が保存されています。

パスワードのルール

RACFでは利用するパスワードに対してルールを設定することができ、パスワードの文字数や文字の種類(英字、英数字、母音、子音、国別文字、混合文字など)を位置で設定することができます。入力形式は以下の通り。

RULEn (LENGTH (m1:m2) content-keyword (position))

RACFに標準で提供されているルール機能ですが、残念ながら以下のような禁止を設定する使い方には不向きです。

  • 同一文字の連続(AAAA..)
  • ユーザーIDで始まる文字列(user01、user02…)
  • 前回と類似する文字列
  • 辞書にあるような文字列(PASSWORDなど)
  • 安直な文字列(ABCDEF、123456、QWERTY…)

従って、標準で提供されていない上記のようなルールを適用したい場合、EXITを作成して対応する必要があります。サンプルも提供されておりますが、肝心の処理内容は新たに作成しなければならないため、ハードルが高くなります。又、作成したEXITはz/OSのバージョンアップ、RACF機能変更などにより検証作業が必要となるだけでなく、将来に亘って保守の問題も発生するため、自社開発よりは動作保証されたツールを利用する方が望ましいと思われます。

IRRXUTIL

IBM社が提供しているIRRXUTILと言うユーティリティをご存知でしょうか?
このユーティリティはRACF運用で利用できる便利なツール群でREXXやプログラムソースコード、ロードモジュールが提供されています。元々はRACF機能を補完する目的で作られたようですが、弊社が取り扱っているVanguard製品の名前も便利ツールとしてREADMEで紹介されています。IRRXUTILではパスワードに関してもいくつかのツールが提供されておりますので、詳細は以下を参照ください。

Policy Managerパスワードルール

Vanguard Policy Manager製品は、セキュリティ管理者が発行するRACFコマンドについてきめ細かな制限を設定するためのソリューションですが、利用者が入力するパスワードについてもルールを設けることができます。例えば、RACF標準では設定できない以下のようなルールについて設定が可能です。

  • 前回のパスワードと違う文字がn文字含まれている(n:1~8文字)
  • 2文字以上の連続した文字列を含まない
  • 辞書の文字列は使用できない
  • 利用者が指定した文字列は使用できない
  • ユーザーIDで始まる文字列は使用できない
  • デフォルトグループ名や接続グループ名で始まる文字列は使用できない

以下の画面はパスワードルールを有効化するパネルです。

パスワードルールを有効化するパネル

有効化/無効化 による柔軟な運用

Vanguard Policy Manager製品ではポリシー更新権限のある管理者(SPECIALのみでは不可)が、標準で提供されている13種類のパスワードルールから適用したいルールを組み合わせて設定することができるため柔軟な運用が可能で、パスワードルールはポリシー変更時点で即有効になります。尚、パスワードに関するルール化のため、既にパスワードEXITを作成されている場合でも、Policy Manager用EXITとの共存が可能となる仕様になっております。

Vanguard Policy Managerについてはこちらもご参照下さい

関連製品 エンドユーザー自身によるパスワード再設定の実現