IBM Z Japan - Group home

#080【z/OS V2R5新機能】 RACF 「パスワード・フレーズ・インターバル」のサポートに伴う考慮事項

By Shigeki Kimura posted Wed September 28, 2022 10:39 AM

  

従来、RACFパスワード、パスワード・フレーズの有効期間(変更インターバル)は個別管理されておらず、共通の値が適用されます。
※「1~254」の範囲、あるいは、「満了期限なし」のみ指定可能

また、SETROPTS PASSWORDコマンドで指定された「システム・レベル」の「パスワード・インターバル」は、ADDUSERコマンドにて新規ユーザーを登録する際、「ユーザー・レベル」の「パスワード・インターバル」に関する省略時値として使用されます。

 
【「パスワード・インターバル」の制約事項】

■PASSWORD/PHRASEコマンドで指定する「ユーザー・レベル」の「パスワード・インターバル」は、SETROPTS PASSWORDコマンドで指定された「システム・レベル」の「パスワード・インターバル」を超えることができません。
※「システム・レベル」の「INTERVAL(253)」指定が有効な場合、「ユーザー・レベル」で「INTERVAL(254)」は指定不可

■「システム・レベル」、「ユーザー・レベル」の「パスワード・インターバル」が異なる場合、どちらか小さい方の値が適用されます。
※例えば、SETROPTS PASSWORDコマンドを通じて、「システム・レベル」の「パスワード・インターバル」が変更され、「ユーザー・レベル」の「パスワード・インターバル」を下回った場合、システムへログオン時の「変更インターバル」満了検査では、「システム・レベル」の「パスワード・インターバル」を使用


【z/OS V2R5の新機能】

■z/OS V2R5では、「パスワード・フレーズ・インターバル」新機能が提供され、「パスワード・インターバル」とは別に、パスワード・フレーズ専用の「変更インターバル」が利用可能になりました。
※対象: RACF APAR OA61951 & SAF APAR OA61952 (2022年6月~7月 PTFクローズ)
■「パスワード・フレーズ・インターバル」は、SETROPTS PASSWORDコマンド(システム・レベル)、PASSWORD/PHRASEコマンド(ユーザー・レベル)の「PHRASEINT(nnnnn)」あるいは「NOPHRASEINT」新規パラメータにて指定します。

※「PHRASEINT」パラメータとして「65534」を超える値は、「ICH08029I PHRASEINT NOT IN RANGE 0-65534」エラー・メッセージにて指定不可
※「PHRASEINT」パラメータ指定、「USER」付きの「NOPHRASEINT」パラメータ指定には、SPECIAL属性が必要
■「システム・レベル」の「PHRASEINIT」パラメータ値として「0」(省略時値)が有効な場合でも、PASSWORD/PHRASEコマンドを通じて、「ユーザー・レベル」の「パスワード・フレーズ・インターバル」が指定可能です。

※「システム・レベル」、「ユーザー・レベル」の「PHRASEINIT」パラメータ値が共に「0」(省略時値)の場合、従来同様、「パスワード・インターバル」を「パスワード・フレーズ・インターバル」として適用 ⇒ 「システム・レベル」、「ユーザー・レベル」のどちらか小さい方の「パスワード・インターバル」値

【適用される「変更インターバル」のまとめ】

■PASSWORD/PHRASEコマンド(ユーザー・レベル)では、「INTERVAL」と「PHRASEINT」パラメータの同時指定が可能です。

■「パスワード・インターバル」の制約事項(前述)は、「パスワード・フレーズ・インターバル」新機能の提供後も、相変わらず適用されます。

【「パスワード・インターバル」、「パスワード・フレーズ・インターバル」の主な相違点】

 

【「NOINTERVAL」パラメータ指定に関する注意点】

■「パスワード・フレーズ・インターバル」新機能の提供に伴い、PASSWORD/PHRASEコマンドで指定する「NOINTERVAL」パラメータの意味合いが変わります。
(変更前)
「パスワード」、「パスワード・フレーズ」とも、「変更インターバル」が満了しません(満了期限なし)
(変更後)
「パスワード」に関しては、従来同様、「NOINTERVAL」パラメータ指定が有効です。一方、「パスワード・フレーズ」に関しては、「システム・レベル」、「ユーザー・レベル」の「PHRASEINT」パラメータ設定状況に応じて、「NOINTERVAL」パラメータ指定はもはや適用されません。
■SETROPTS PASSWORDコマンドにて、「0」以外の「PHRASEINIT」パラメータ値を指定している場合、「ユーザー・レベル」の「パスワード・フレーズ・インターバル」を「満了期限なし」とするには、PASSWORD/PHRASEコマンドにて「NOPHRASEINT」パラメータを明示指定する必要があります。
※従来の「NOINTERVAL」パラメータ指定では制御不可


【考慮事項①  SET LISTコマンドの実行結果】

■z/OS V2R5 RACF APAR OA61951のPTF適用後、SET LISTコマンドにて出力される情報は、次のように変更されます。

■z/OS V2R5 RACF APAR OA61951のPTF適用後、PASSWORD/PHRASEコマンド、SETROPTS PASSWORDコマンドに対して追加された新規パラメータは、RACF ISPFパネルではサポートされていません。

【考慮事項②  SETROPTS LISTコマンドの実行結果】

■SETROPTS PASSWORDコマンドを通じて、「システム・レベル」の「PHRASEINT」パラメータ値(「0」以外)を指定した場合、SETROPTS LISTコマンド実行結果には、次のように出力されます。

■「システム・レベル」の「パスワード・フレーズ・インターバル」が未設定の場合(省略時値の「0」)、従来同様、「パスワード・インターバル」の値が、「パスワード」、「パスワード・フレーズ」の両方に対して適用されます。
※この場合、SETROPTS LISTコマンドの実行結果には、次のような情報(赤字箇所)が新しく出力されます ⇒ RACF APAR OA61951による機能変更点

 
【考慮事項③  LISTUSERコマンドの実行結果】

■ADDUSERコマンドにて新規ユーザーを登録する際、SETROPTS PASSWORDコマンドで指定された「システム・レベル」の「パスワード・フレーズ・インターバル」(PHRASEINT)は、「ユーザー・レベル」の「パスワード・フレーズ・インターバル」として適用されません。
※SETROPTS PASSWORDコマンドで指定された「システム・レベル」の「パスワード・インターバル」(INTERVAL)は、ADDUSERコマンドにて新規ユーザーを登録する際、「ユーザー・レベル」の「パスワード・インターバル」として適用(省略時解釈)
■PASSWORD/PHRASEコマンドにて、「ユーザー・レベル」の「パスワード・フレーズ・インターバル」(「0」以外)、あるいは「NOPHRASEINT」パラメータを指定した場合に限り、LISTUSERコマンド実行結果には、それぞれ、「PHRASE-INTERVAL=nnnnn」、「PHRASE-INTERVAL=N/A」が新しい情報として出力されます。

■「ユーザー・レベル」の「パスワード・フレーズ・インターバル」が指定されていない場合(省略時値の「0」)、LISTUSERコマンド実行結果には、「PHRASE-INTERVAL=nnnnn」の情報が表示されません。
※この場合、「ユーザー・レベル」の「パスワード・フレーズ・インターバル」として、下記いずれかの値を適用
・SETROPTS PASSWORDコマンドにて指定された、「システム・レベル」の「PHRASEINT」値(「0」以外)
・SETROPTS PASSWORDコマンドにて、「システム・レベル」の「PHRASEINT」値を指定しない場合(省略時値の「0」)は、従来同様、「パスワード・インターバル」を適用

 
以上

0 comments
9 views