Resource Access Control Facility do OS/390
O Resource Access Control Facility (RACF) é um serviço de segurança que autoriza acesso do usuário a recursos protegidos. O RACF faz parte do Servidor de segurança do OS/390, que faz parte do sistema operacional OS/390.
Banco de Dados RACF
O banco de dados RACF armazena informações sobre usuários, grupos, conjuntos de dados e outros recursos. Os registros do banco de dados que descrevem esses objetos são chamados de perfis. O banco de dados RACF tem diferentes tipos de perfis. Um perfil que protege um único recurso, como por exemplo uma transação ou tecla criptográfica é chamado de perfil discreto. Um perfil que protege vários recursos é chamado de perfil genérico. O banco de dados RACF também utiliza perfis de usuários e do grupo.
Nota: Os perfis RACF não devem ser confundidos com os perfis do Tivoli Secureway User Adminstration. Para obter mais informações sobre os perfis do Tivoli SecureWay User Administration, consulte Perfis de Usuário e de Grupo.
Segmentos RACF
Os segmentos dos perfis RACF são extensões opcionais do perfil base que contém informações sobre um determinado aplicativo ou função de gerenciamento. Por exemplo, se o usuário precisa executar o Customer Information Control System (CICS), seu perfil de usuário requer um segmento CICS. Os perfis de usuários podem exigir vários segmentos adicionais para acomodar as atividades necessárias para um usuário.
Autenticação do Usuário
Ao iniciar sessão no sistema operacional, o usuário deve especificar um ID do usuário e senha válidos. O RACF também oferece suporte a alternativas para senhas tradicionais. Por exemplo, o RACF oferece suporte a passtickets. O passticket pode ser gerado pelo RACF ou por outra função autorizada e pode ser utilizado somente se estiver em um determinado sistema dentro de um período de tempo limitado. Ao autenticar um usuário, o RACF verifica o seguinte:
Se o usuário está definido no RACF
Se o usuário forneceu uma senha ou uma alternativa válidas, como por exemplo um passticket
Se o UID (ID do usuário) e o GID (ID do grupo) são válidos no UNIX OS/390
Se o ID do usuário está no status de revogação, o que impede que um usuário definido pelo RACF entre no sistema ou acesse determinados grupos
Se o usuário tem autorização para utilizar o sistema nesse dia e hora
Se o usuário tem autorização para acessar o terminal
Autorização de Recursos
Quando o usuário solicita acesso a um recurso, o gerenciador de recurso do sistema emite um pedido do RACF para verificar se o usuário tem autorização para acessar o recurso. O RACF verifica o perfil que contém informações sobre o recurso solicitado no banco de dados do RACF. O RACF passa essas informações ao gerenciador de recurso do sistema. Com base nessas informações, o gerenciador de recurso do sistema concede ou nega o pedido.
Atributos do Usuário RACF
Os usuários com funções de job diferentes exigem tipos de acesso a recursos diferentes. Os atributos do usuário do RACF podem fornecer a um usuário direitos de acesso especiais aos recursos. Os atributos do usuário também determinam o que um usuário pode fazer com o banco de dados do RACF. A seguir são fornecidos alguns exemplos de atributos básicos do usuário RACF:
ESPECIAL -- Este atributo de usuário é válido para um administrador RACF que tem direito de utilizar todos os comandos do RACF e definir qualquer tipo de perfil no banco de dados RACF. O atributo ESPECIAL do RACF permite que o usuário gerencie o conteúdo do banco de dados do RACF, mas não oferece acesso especial aos outros recursos do OS/390 além do que um usuário comum teria.
OPERAÇÕES -- Este atributo de usuário fornece ao usuário acesso a todos os conjuntos de dados e a algumas classes de recursos adicionais no sistema. O atributo também permite que o usuário aloque conjuntos de dados para qualquer outro usuário no sistema. Por motivos de segurança, esse atributo deve ser fornecido somente a IDs do usuário temporários, abertos em situações de emergência.
AUDITOR -- Este atributo de usuário é válido para um usuário responsável pela auditoria do banco de dados RACF, além de logs e integridade do sistema. O atributo AUDITOR fornece ao usuário o direito de observar todos os perfis do banco de dados RACF e alterar os atributos de auditoria do sistema e de perfis individuais.
REVOGAR -- Este atributo de usuário fornece uma forma de impedir que um usuário definido para RACF utilize o sistema. O atributo REVOGAR pode ser disparado quando o usuário digita uma senha incorreta muitas vezes, ou não inicia sessão no sistema por um determinado número de dias. Esse atributo também pode ser válido quando um administrador revoga o perfil do usuário.
Grupos RACF
Cada usuário RACF é membro de no mínimo um grupo RACF. Um usuário que pertence a um grupo é chamado de conectado ao grupo. Os grupos RACF podem ter várias finalidades. As mais comuns são as seguintes:
- Grupos de proteção de recursos permitem que você proteja conjuntos de dados. Existem dois tipos de conjuntos de dados: conjuntos de dados do usuário e conjuntos de dados do grupo. O qualificador de primeiro nível para obter acesso a um conjunto de dados do usuário é o ID do usuário. Para todos os outros conjuntos de dados, o qualificador de primeiro nível é definido como um grupo do RACF. Por exemplo, para proteger um conjunto de dados CICS41.LOADLIB, você precisa definir um grupo com o nome CICS41. A seguir, você pode definir os perfis de conjuntos de dados RACF que começam com CICS41, para sua proteção.
- Grupos administrativos podem ser utilizados para informações. Uma forma comum de utilizar esses grupos é criar uma estrutura que emule a organização dos departamentos e divisões da sua empresa. Em seguida, conecte os usuários pertencentes a um departamento ao grupo correspondente. Quando você precisar saber quem trabalha em um determinado departamento, pode descobrir listando o grupo que representa o departamento.
- Grupos funcionais são os grupos que representam funções de trabalho ou responsabilidades e são utilizados para fornecer direitos de acesso aos usuários. Por exemplo, se sua empresa tem a função de contador, crie o grupo RACF CONTA para representar essa função. Em seguida, conecte todos os contadores a esse grupo, supondo que eles tenham os mesmos requisitos de acesso. Após isso, digite o grupo CONTA em todas as listas de acesso para os recursos aos quais os contadores precisam ter acesso.
Os atributos de usuário ESPECIAL, OPERAÇÕES e AUDITOR podem ser concedidos a um usuário através de sua conexão a um grupo. Quando recebidos através de um grupo, esses atributos são denominados GRUPO-ESPECIAL, GRUPO-OPERAÇÕES, etc. Um usuário com um desses atributos pode utilizar o atributo somente para acessar recursos de propriedade do grupo.
Guia de Gerenciamento
Um livro que encontrei na internet sobre o RACF;
Leia Mais
