Bundesamt für Sicherheit in der Informationstechnik

M 2.294 Synchronisierung von z/OS-Passwörtern und RACF-Kommandos

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In großen Mainframe-Verbünden kommunizieren oft viele z/OS-Betriebssysteme und ihre RACF-Datenbanken (Resource Access Control Facility) miteinander. Es besteht oftmals der Bedarf, Passwortänderungen oder RACF-Kommandos über mehrere z/OS-Systeme des Verbundes zu synchronisieren.

Bei der Passwort-Synchronisation werden die Passwörter der Anwender auf mehreren z/OS-Systemen automatisiert synchronisiert, so dass der Anwender nur ein Passwort verwenden muss.

Bei der RACF-Kommando-Synchronisation können RACF-Kommandos auf mehreren z/OS-Systemen parallel ausgeführt werden. Das entsprechende RACF-Kommando wird an einem System eingegeben und durch die zentrale RACF-Administration an alle anderen Systeme weitergeleitet. RACF unterstützt dies durch das Feature RRSF (RACF Remote Sharing Facility).

Solche Verbünde werden auch Synchronisierungs-Verbund genannt. Für einen Synchronisierungs-Verbund sind die folgenden Empfehlungen zu beachten.

Standardisierung

Es muss sichergestellt werden, dass der Aufbau und die verwendeten Regeln der RACF-Datenbanken auf allen Systemen des Synchronisierungs-Verbunds möglichst identisch sind. Vor der Einrichtung eines Synchronisierungs-Verbunds sollte eine möglichst weitgehende Standardisierung durchgeführt werden (siehe M 2.285 Festlegung von Standards für z/OS-Systemdefinitionen ).

Sperren einer Benutzerkennung

Bei der Passwort-Synchronisation muss verhindert werden, dass das Sperren (Revoke) einer Benutzerkennung nach mehrmaliger Falscheingabe des Passwortes an alle anderen Systeme des Synchronisations-Verbundes weitergeleitet wird. Der Benutzer wäre sonst auf allen Systemen ausgesperrt. Ein Entsperren (Resume) kann beliebig oft übertragen werden.

Weiterleiten von RACF-Kommandos

Bei der RACF-Kommando-Synchronisation muss mit äußerster Sorgfalt vorgegangen werden. Denn fehlerhafte RACF-Kommandos, die zu ungewollten Änderungen führen, werden sofort auf allen Systemen des Synchronisations-Verbundes ausgeführt. Es sollte deshalb überlegt werden, besonders sicherheitskritische RACF-Kommandos, welche die Stabilität der angebundenen Systeme beeinflussen können, von der Synchronisation auszuschließen.

Absichern der Verwaltungsfunktion

Die Schnittstelle zu der Verwaltungs-Funktion des Synchronisations-Programmes (oft eine ISPF-Oberfläche - Interactive System Productivity Facility) darf nur autorisierten Mitarbeitern im Rahmen ihrer Tätigkeit zur Verfügung stehen.

Schadensbegrenzung durch Aufteilen des Verbundes

Zur Schadensbegrenzung bei der RACF-Kommando-Synchronisierung ist zu überlegen, einen großen Synchronisierungs-Verbund in zwei oder mehrere kleine Teilverbünde zu zerlegen.

Die Ausführung von fehlerhaften, sicherheitskritischen RACF-Kommandos kann dadurch auf den jeweiligen Teilverbund beschränkt werden. Ein Totalausfall aller Systeme, der auf fehlerhafte RACF-Kommandos zurückzuführen ist, kann auf diese Weise unter Umständen vermieden werden.

Die für den Betrieb notwendigen Festplatten der Systeme eines Teilverbundes müssen an die Systeme eines anderen Teilverbundes angeschlossen werden können. Dadurch können betriebswichtige Daten eines ausgefallenen Teilverbundes, wie die RACF-Datenbank, zumindest teilweise wieder hergestellt werden.

Die Aufteilung eines großen Synchronisierungs-Verbundes in mehrere kleinere Teilverbünde führt zu einem erhöhten Administrationsaufwand. Denn jeder Teilverbund muss separat administriert werden.

Prüffragen:

  • Wird vor der Einrichtung des Synchronisierungs-Verbunds unter z/OS eine möglichst weitgehende Standardisierung durchgeführt, so dass der Aufbau und die verwendeten Regeln der RACF -Datenbank auf allen Systemen des Synchronisierungs-Verbunds möglichst identisch sind?

  • Ist die Passwort-Synchronisation unter z/OS so eingerichtet, dass das Sperren (Revoke) einer Benutzerkennung nach mehrmaliger Falscheingabe des Passwortes nicht an alle anderen Systeme des Synchronisations-Verbunds weitergeleitet wird?

  • Ist sichergestellt, dass die Schnittstelle der Verwaltungs-Funktion des Synchronisations-Programms für z/OS-Systeme nur autorisierten Mitarbeitern im Rahmen ihrer Tätigkeit zur Verfügung steht?

Stand: 13. EL Stand 2013