Resource Access Control Facility - de.LinkFang.org

Resource Access Control Facility

Resource Access Control Facility (RACF) ist IBMs Implementierung der Sicherheitschnittstelle SAF (System Authorization Facility) der Großrechnerbetriebssysteme MVS (Kern des z/OS) und – in einer älteren Version – z/VM. Der heutige Name lautet SecureWay Security Server – RACF. Die erste Einführung erfolgte 1976.

Die Hauptfunktionen, die es erfüllt sind:

Der RACF-Administrator pflegt mittels RACF-Kommandos die RACF-Datenbank. Diese enthält in sogenannten Profilen die Benutzerschlüssel (Userids), die zu schützenden Ressourcen (Resources) und Gruppen (Groups).

Inhaltsverzeichnis

Userids


Benutzer des Systems sind natürliche Personen und auch technische Benutzer, die sich mit einer RACF-Userid in einem Onlinesystem wie TSO, CICS oder IMS an einem Terminal einloggen oder auch Server-Prozesse ("Started Tasks" im MVS-Sprachgebrauch), denen die RACF-Administration eine Userid zugeordnet hat.

In einem Benutzer-Profil speichert RACF neben Namen des Benutzers statistische und weitere Informationen:

Administrative Berechtigungen für Userids

Im Benutzerprofil können für einen Benutzer auch administrative Berechtigungen eingestellt werden:

SPECIAL
Macht den Benutzer zum RACF-Systemverwalter. Ein solcher Benutzer kann alle RACF-Einstellungen administrieren.
AUDITOR
erlaubt es dem Benutzer (z. B. einem Revisor) die Zugriffsüberwachung (Protokollierung) zu steuern.:
ROAUDIT
(READ ONLY AUDITOR) erlaubt es dem Benutzer die Daten anzuzeigen wie sie ein SPECIAL oder AUDITOR zu sehen bekommt, jedoch ohne die Rechte die Zugriffsüberwachung (Protokollierung) zu steuern[1]. (Ab ZOS 2.2.0)
OPERATIONS
erlaubt dem Benutzer vollen Zugriff auf alle Dateiressourcen. Dies Attribut wird oft an Mitarbeiter der Speicherverwaltung vergeben. Zugriffe, die über dieses Attribut erfolgen, werden optional protokolliert.

Überwachung (Auditing) von Userids

Kritische oder hoch autorisierte Benutzer können optional auditiert werden. Zu diesem Zweck wird im RACF das Attribut UAUDIT für die entsprechenden Benutzer gesetzt. D. h. alle Aktionen dieser Benutzer werden als sogenannter SMF-Record in den Betriebssystem-Logdateien abgelegt. Eine Auswertung kann dann mit speziellen Anwendungen durchgeführt werden.

Ressourcen


Ressourcen sind klassisch Dateien, Bänder, Terminals, heute jedoch ganz abstrakt alles, was eine Installation für schützenswert erachtet, z. B. Konsolenbefehle, Namen von Online-Transaktionen oder die Erlaubnis, das Passwort eines anderen Benutzers zurückzusetzen.

Eine Ressource wird durch ein Ressourcen-Profil geschützt. Ein Ressourcen-Profil wird identifiziert durch einen Klassennamen (z. B. DATASET) und einen Namen, der die zu schützende Ressource vollständig (diskretes Profil) oder teilweise (generisches Profil) beschreibt. Z. B. schützt das generische DATASET-Profile SYS1.** alle Dateien, die mit SYS1. beginnen, sofern diese nicht durch ein spezifischeres Profil geschützt werden.

Ein Profil legt den sogenannten Universal Access fest, der für alle Benutzer gilt. In der Zugriffsliste können für einzelne Benutzer oder Benutzergruppen andere Berechtigungen definiert werden.

RACF kennt sechs Stufen von Zugriffsrechten, die von den Ressourcenmanagern des z/OS (siehe unten) in nahe liegender Weise interpretiert werden:

Ursprünglich war RACF nur zum Schutz von Dateien vorgesehen. Die Erweiterung auf weitere Ressourcen wurde erst später realisiert. Aus diesem Grunde beziehen sich die Namen der Zugriffsstufen auf Dateizugriffe.

RACF-Gruppen


Hinter RACF-Gruppen steht ein komplexes Konzept:

Ressource-Manager


RACF, d. h. eigentlich SAF, arbeitet passiv. Die Nutzer des Systems greifen mittels eines Ressourcenmanagers auf eine Ressource zu. Der jeweilige Ressourcenmanager bildet einen Ressourcenamen und fragt dann SAF, ob der Zugriff gestattet ist. SAF/RACF antwortet mit ja, nein oder „weiß nicht“ (nämlich dann, wenn die Ressource nicht durch ein Profil geschützt ist). Das Subsystem gestattet daraufhin die Nutzung der Ressource (oder auch nicht).

Beispiele für Ressource-Manager sind das Dateisystem des Betriebssystems z/OS mit der Ressource-Datei oder CICS mit der Ressource (unter vielen anderen) Transaktionscode. Es ist auch möglich, das Datenbanksystem DB2 so zu fahren, dass es die Datenbank-Vollmachten nicht mit SQL-Grants im eigenen Katalog, sondern als RACF-Ressourcen im RACF ablegt. Ab Version 8 der DB2 z/OS können durch Multilevel Security (MLS) mit Row Level Granularity sogar Zugriffsberechtigungen zu einzelnen Datensätzen in einer DB2-Tabelle über RACF vergeben werden.

Weblinks


Einzelnachweise


  1. IBM Knowledge Center. Abgerufen am 26. Juni 2017 (amerikanisches Englisch).
  2. IBM Knowledge Center. Abgerufen am 28. Februar 2017.



Kategorien: Großrechner-Betriebssystem (IBM)


Quelle: Wikipedia - https://de.wikipedia.org/wiki/Resource Access Control Facility (Autoren [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Veränderungen: Alle Bilder und die meisten Designelemente, die mit ihnen in Verbindung stehen, wurden entfernt. Icons wurden teilweise durch FontAwesome-Icons ersetzt. Einige Vorlagen wurden entfernt (wie „Lesenswerter Artikel“, „Exzellenter Artikel“) oder umgeschrieben. CSS-Klassen wurden zum Großteil entfernt oder vereinheitlicht.
Wikipedia spezifische Links, die nicht zu Artikeln oder Kategorien führen (wie „Redlink“, „Bearbeiten-Links“, „Portal-Links“) wurden entfernt. Alle externen Links haben ein zusätzliches FontAwesome Icon erhalten. Neben weiteren kleinen Designanpassungen wurden Media-Container, Karten, Navigationsboxen, gesprochene Versionen & Geo-Mikroformate entfernt.


Stand der Informationen: 20.10.2019 04:47:06 CEST - Wichtiger Hinweis Da die gegebenen Inhalte zum angegebenen Zeitpunkt maschinell von Wikipedia übernommen wurden, war und ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.org nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein oder Fehler in der Darstellung vorliegen, bitten wir Sie darum uns per zu kontaktieren: E-Mail.
Beachten Sie auch : Impressum & Datenschutzerklärung.