IBM Z Japan - Group home

#096【z/OS V2R3/V2R4/V2R5新機能】 RACF「SPECIAL」ユーザー向けのICH302D WTORメッセージ出力抑止

  

従来、システムへのアクセス時に間違った「パスワード」、「パスワード・フレーズ」が連続して入力された場合、該当ユーザーを「REVOKE」させる目的で、RACF 「SETROPTS PASSWORD(REVOKE(n))」コマンドが利用可能です。(n: 1~255)
※RACF 「SETROPTS INITSTATS」コマンドによる「INITSTATS」属性の有効化が前提

例えば、「SETROPTS PASSWORD(REVOKE(5))」コマンドが有効な環境(下記)で、RACF 「SPECIAL」属性を持たないユーザーが、TSOへのログオン時に「パスワード」を5回連続して間違えると、6回目の「パスワード」(正誤によらず)を入力した時点で自動的に「REVOKE」されます。

【RACF 「SPECIAL」属性を持つユーザー向けの特別処理】
■「SPECIAL」属性を持つユーザーの場合、前述のような「REVOKE」処理が自動的に行われることはなく、ICH302D WTORメッセージへの応答を求められます。
■z/OS V2R5の事例 ※「SETROPTS PASSWORD(REVOKE(5))」コマンドが有効な環境
※「SPECIAL」属性をもつTSOユーザーが、間違った「パスワード」を5回連続して入力すると、6回目の「パスワード」入力時点で、ICH301Iメッセージ、ICH302D WTORメッセージを出力
①ICH302D WTORメッセージに対して「N」を応答した場合、その時点で「REVOKE」発生

②ICH302D WTORメッセージに対して「Y」を応答した場合、「REVOKE」は発生せず、入力された「パスワード」を検査
※正しい「パスワード」 ⇒ ログオン処理を続行
※間違った「パスワード」 ⇒ 7回目の「パスワード」入力時に、ICH301Iメッセージ、ICH302D WTORメッセージを再度出力(繰り返し)

【考慮事項】
■ICH302D WTORメッセージの出力は、「SPECIAL」属性をもつユーザーが、間違った「パスワード」、「パスワード・フレーズ」を連続して入力した場合の「REVOKE」回避をサポートするものですが、次のような点に注意が必要です。
①ICH302D WTORメッセージに対する応答待ちの状態で、「ログオン・タイムアウト」(z/OS V2R4 TSO/Eの新機能)が発生すると、RACINIT処理が「ABEND13E-000」で異常終了
※この場合、改めてログオンして「パスワード」(正誤によらず)を入力すると、ICH301Iメッセージ、ICH302D WTORメッセージが再出力
②サインオン処理が単一タスクで行われている環境(CICS、IMSなど)では、ICH302D WTORメッセージが応答待ちの状態になると、他のユーザーがサインオン不可

【z/OS V2R5 RACF新機能】
■RACF 「SPECIAL」属性をもつユーザー向けの特別処理(ICH302D WTORメッセージ出力)を利用せず、「SPECIAL」属性を持たないユーザーと同様、自動的に「REVOKE」させることが可能になりました。

■新機能を利用する場合、RACF 「XFACILIT」クラスにおいて、次のような個別プロファイルを定義する必要があります。
     IRR.DENY.SPECIAL.USER.ADDITIONAL.PASSWORD.ATTEMPTS.APPL.appl-name
※プロファイルの存在有無がチェックされ、プロファイル属性(UACC、アクセスリストなど)は無関係
■例えば、TSOログオン時に新機能を利用する場合、「appl-name」指定値は「VTAM総称リソース名」の使用有無で異なります。

■新機能を利用した場合、ICH302D WTORメッセージ出力を伴わず、「SPECIAL」属性を持つユーザーが自動的に「REVOKE」される可能性があるため、該当のユーザーを「RESUME」するための手順などを事前検討しておく必要があります。

【新機能の利用例】 ※PTF UJ09632レベル (z/OS V2R5)
■「VTAM総称リソース名」を使用せず、かつ、PARMLIB(SMFPRMxx)メンバーで「SID(Z25A)」パラメータが有効な環境
※「appl-name」として「TSO + SMFID」を指定 ⇒ TSOZ25A
     RDEFINE XFACILIT IRR.DENY.SPECIAL.USER.ADDITIONAL.PASSWORD.ATTEMPTS.APPL.TSOZ25A
     SETR RACLIST(XFACILIT) REFRESH
■「SETROPTS PASSWORD(REVOKE(5))」コマンドが有効な環境で、「SPECIAL」属性を持つTSOユーザー(BEANS88)が間違った「パスワード」を5回連続して入力した場合、6回目の「パスワード」入力時点で、ICH302D WTORメッセージ出力を伴わず、自動的に「REVOKE」されました。
※「SPECIAL」属性を持たないユーザーとの違いとして、ICH301Iメッセージは引き続き出力

 
以上