IBM Z Japan - Group home

#012【z/OS V2R2変更点】「ICHDEX01」出口ルーチンを使用しない場合(省略時解釈)のパスワード認証

  
z/OS V2R1以前に省略時解釈として「マスキング方式」でパスワード認証されていたユーザーは、z/OS V2R2以降、システムへのアクセスができなくなります。

【従来機能】
LPALIB(LPA連結)に導入された「ICHDEX01」(パスワード認証出口ルーチン)では、パスワード登録時の暗号化、認証の手法として、「マスキング方式」、「DES方式」が選択可能です。例えば、戻りコード「RC08」を設定する「ICHDEX01」出口ルーチンを導入した場合、パスワード暗号化、認証ともに「DES方式」で行われます。
一方、「ICHDEX01」出口ルーチンを使用しない場合(省略時解釈)は戻りコード「RC16」と同様な挙動となり、「DES方式」によるパスワード暗号化と「2段階」認証が行われます。
※「2段階」認証: パスワード認証を「DES方式」でまず行い、失敗したら「マスキング方式」で再度認証
※「ICHDEX01」出口ルーチンが活動化されている場合は、システム初期設定時の出力メッセージ ICH508Iにて表示
(例) ICH508I ACTIVE RACF EXITS: ICHRFX01 ICHPWX01 ICHDEX01 ICHRFX03

【z/OS V2R2の変更点】
「ICHDEX01」出口ルーチンがLPA連結に未導入(省略時解釈)の場合、パスワード認証は「DES方式」のみで行われ、従来のような「2段階」認証は行われません。従って、z/OS V2R1以前に「マスキング方式」で認証されていたユーザーは、z/OS V2R2以降への移行後、パスワード認証が失敗してシステムへのアクセスができなくなります。
※従来同様、パスワード暗号化は「DES方式」
※戻りコード「RC08」を設定する「ICHDEX01」出口ルーチンは、もやは導入不要

【考慮事項】
RACF V2(1994年頃)以降、それまでLPALIB提供された「ICHDEX01」出口ルーチン(戻りコード「RC04」を設定し「マスキング方式」を利用)がLINKLIBへ移動し、 省略時解釈として「DES方式」によるパスワード暗号化が有効になりました。
※RACF V2より前は、LPALIB提供の「ICHDEX01」出口ルーチンをそのまま利用すると「マスキング方式」にて暗号化

各RACFユーザーのパスワード暗号化方式(マスキング、DES)を調べる方法は提供されていませんが、例えば、RACF 「LISTUSER(LU)」コマンド実行結果の「PASSDATE=yy.ddd」 (パスワードの最終変更日)が「DES方式」への切り替え前(かなり古い日付)を示し、かつ、「PASS-INTERVAL=ddd」(パスワードの有効期間)が「N/A」(パスワード無期限)を示す場合、該当のRACFユーザーに関しては「マスキング方式」によるパスワード暗号化が今でも有効と考えられます。

ログオン、サインオン時の影響に加え、JCL JOBステートメントにて「USERID=userid」、「PASSWORD=password」パラメータを明示指定するバッチジョブには注意が必要です。JCL指定のパスワードを固定化するため、「PASSWORD NOINTERVAL」コマンドによる「パスワード無期限」(PASS-INTERVAL=N/A)を設定している場合、その「PASSDATE=yy.ddd」 (パスワードの最終変更日)の新旧に応じて、z/OS V2R2以降ではパスワード認証が失敗する可能性があります。
ICH408I ... LOGON/JOB INITIATION - INVALID PASSWORD
IRR013I VERIFICATION FAILED. INVALID PASSWORD GIVEN.

【対応策】
「マスキング方式」によるパスワード認証を使用しているRACFユーザーのシステム・アクセスを継続するには、z/OS V2R2以降への移行前にパスワードを変更(リセット)することで、「DES方式」による暗号化を行うことが推奨です。
あるいは、パスワードの「2段階」認証を継続するため、 戻りコード「RC16」を設定する「ICHDEX01」出口ルーチンをLPA連結に新規導入することも可能です。

【添付ファイル】
2020-10-19_BLOG12_zOS_V2R2_RACF_ICHDEX01.pdf
z/OS V2R3、V2R4への移行にお役立てください!