Zum Inhalt springen

Resource Access Control Facility

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 1. September 2005 um 11:36 Uhr durch 213.221.100.98 (Diskussion) (Ressourcen). Sie kann sich erheblich von der aktuellen Version unterscheiden.

RACF (Resource Access Control Facility) ist IBMs Implementation der Sicherheitschnittstelle SAF (System Authorization Facility) des Großrechnerbetriebssystems MVS (Kern des z/OS). Der heutige Name lautet Secure Way Security Server - RACF.

Die Hauptfunktionen, die es erfüllt sind:

  • Identifikation und Verifikation der User mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
  • Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte (Autorisierung)
  • Logging der Zugriffe auf geschützte Ressourcen (Auditing).

Der RACF-Administrator pflegt mittels RACF-Kommandos die RACF-Datenbank. Diese enthält in sogenannten Profilen die Benutzerschlüssel (Userids), die zu schützenden Ressourcen (Resources) und Gruppen (Groups).

Userids

User des Systems sind natürliche Personen, die sich mit einer RACF-Userid in einem Onlinesystem wie TSO, CICS oder IMS an einem Terminal einloggen oder auch Server-Prozesse ("Started Tasks" im MVS-Sprachgebrauch), denen die RACF-Administration eine Userid zugeordnet hat.

In einem User-Profil speichert RACF neben Namen des Users statistische und weitere Informationen:

  • Änderungsdatum des Passwords
  • Letzte Benutzung der Userid
  • Vermerke, ob die Userid gesperrt (revoked) ist, ob sie einem RACF-Systemadministrator (special) gehört.
  • Weitere Eigenschaften, die die Nutzung der MVS-Teilsysteme wie Unix, CICS, TSO oder des Dateisystems beschreiben und festlegen.

Ressourcen

Ressourcen sind klassisch Dateien, Bänder, Terminals, heute jedoch ganz abstrakt alles, was eine Installation für schützenswert erachtet, z.B. Konsolenbefehle, Namen von Online-Transaktionen oder die Erlaubnis, das Passwort eines anderen Benutzers zurückzusetzen.

Eine Ressource wird durch ein Ressourcen-Profil geschützt. Ein Ressourcen-Profil wird identifiziert durch einen Klassennamen (z.B. DATASET) und einen Namen, der die zu schützende Ressource vollständig (diskretes Profil) oder teilweise (generisches Profil) beschreibt.

Z.B. schützt das generische DATASET-Profile SYS1.** alle Dateien, die mit SYS1. beginnen.

Ein Profil legt den sogenannten Universal Access fest, welches um eine Liste spezifischer Zugriffsrechte für einzelene Benutzer oder Benutzergruppen erweitert werden kann.

RACF kennt fünf Stufen von Zugriffsrechten, die von den Ressourcenmanagern des z/OS (siehe unten) in naheliegender Weise interpretiert werden:

  • NONE: Kein Zugriff
  • READ: Bei Dateien lesender Zugriff
  • UPDATE: Bei Dateien schreibender Zugriff, beinhaltet READ
  • CONTROL: Bei Dateien schreibender Zugriff, beinhaltete UPDATE
  • ALTER: Bei Dateien uneingeschränkter Zugriff: Anlegen, Löschen, Umbenennen der Datei, beinhaltet CONTROL

RACF-Gruppen

Hinter RACF-Gruppen steht ein komplexes Konzept:

  • Zum einen können sie verwendet werden, um Userids zusammenzufassen und dann Vollmachten an diese Gruppe statt an jeden einzelnen User zu geben. Ein User kann beliebig vielen Gruppen angehören und genießt die Summe der Vollmachten aller Gruppen, denen der angehört.
  • Gruppen sind hierarchisch organisiert: Die oberste Gruppe heißt SYS1. Diese Hierarchie ist die Basis dafür, die RACF-Administration nach organisatorischen Gesichtspunkten zu dezentralisieren. Wenn ein User mit Administrationsrechten zu einer Gruppe verbunden ist, hat er auch Administrationsrechte für alle Untergruppen dieser Gruppe.

Ressource-Manager

RACF, d.h. eigentlich SAF, arbeitet passiv. Die Nutzer des Systems greifen mittels eines Ressourcenmanagers auf eine Ressource zu. Der jeweilige Ressourcenmanager bildet einen Ressourcenamen und fragt dann SAF, ob der Zugriff gestattet ist. SAF/RACF antwortet mit ja, nein oder "weiß nicht" (nämlich dann, wenn die Resource nicht durch ein Profil geschützt ist). Das Subsystem gestattet daraufhin die Nutzung der Ressource (oder auch nicht).

Beispiele für Ressource-Manager sind das Dateisystem des Betriebssystems zOS mit der Ressource Datei oder CICS mit der Ressource (unter vielen anderen) Transaktionskode. Es ist auch möglich, das Datenbanksystem DB2 so zu fahren, dass es die Datenbank-Vollmachten nicht mit SQL-Grants im eigenen Katalog sondern als RACF-Ressourcen im RACF ablegt.

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Resource_Access_Control_Facility&oldid=8969780