M 2.290 Einsatz von RACF-Exits
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Neben den Anpassungsmöglichkeiten von RACF (Resource Access Control Facility) durch Kommandos und Parameter ist es darüber hinaus möglich, zusätzliche Sicherheitsregeln durch den Einsatz von RACF-Exits zu implementieren. Exits werden an verschiedenen Stellen der RACF-Funktionen durchlaufen und erlauben dort individuelle Eingriffe. Ihr Einsatz erfordert ein hohes Maß an Wissen und Erfahrung in der Assembler-Programmierung.
Die folgenden Empfehlungen sollten beim Einsatz von Exits beachtet werden:
Wartung der Exits
Wenn Exits zur Erweiterung der RACF-Funktionalität notwendig sind, müssen diese per SMP/E (System Management Program/Enhanced) als Usermod eingebaut werden (siehe M 2.293 Wartung von zSeries-Systemen).
DES-Algorithmus zur Authentisierung
RACF verschlüsselt die Kennung mit Hilfe des DES-Algorithmus (Data Encryption Standard), wobei als Schlüssel das eingegebene Passwort benutzt wird (das Passwort selbst wird dabei nicht gespeichert). Um sicherzustellen, dass der DES-Algorithmus (und nicht der schwächere Masking-Algorithmus) benutzt wird, darf der in der SYS1.LINKLIB mitgelieferte Exit ICHDEX01 nicht in der Link Pack Area eingesetzt werden. Es wird daher empfohlen, dieses Lade-Modul zu entfernen und den entsprechenden Eintrag in SMP/E zu deaktivieren (Usermod), damit zukünftige Wartungsaktivitäten dieses Lade-Modul nicht eventuell wieder installieren. Der DES-Algorithmus ist normalerweise die Standardeinstellung bei der Auslieferung von RACF unter z/OS.
Änderungen von Exits
Es ist zu beachten, dass bei Änderungen von Exits ein IPL (Initial Program Load) notwendig ist. Eine Ausnahme hiervon stellt IRREVX01 dar; er lässt sich dynamisch nachladen.
Erweiterte Passwortregeln
Es sollte überlegt werden, ob die über die SETROPTS-Funktion von RACF zur Verfügung gestellten Mechanismen der Passwortregeln ausreichen oder ob über den New Password Exit ICHPWX01 erweiterte Passwortregeln eingeführt werden sollen.
Verwendung von Tools
Beim Einsatz von Tools zur Passwort-Synchronsierung oder von Produkten zum Tape-Management ist zu überprüfen, ob RACF-Exits mit dem Produkt geliefert werden oder sogar Voraussetzung für das Funktionieren des jeweiligen Produktes sind.
Exit-Kontrolle
Der Einsatz von Exits kann über die Funktion DSMON kontrolliert werden. Eine solche Kontrolle sollte regelmäßig im Rahmen von Audits erfolgen (siehe auch M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS). Eine
Ausnahme stellt IRREVX01 dar. Dieser Exit sollte jedoch ebenfalls kontrolliert werden, wenn er verwendet wird.
Ergänzende Kontrollfragen:
- Ist der Exit ICHDEX01 und damit der Masking-Algorithmus ausgeschaltet?
- Wurden alle verwendeten RACF-Exits per SMP/E als Usermod eingebaut?
- Steht die Exit-Auswertung über DSMON zur Verfügung?