z/OS V2R2、または、APAR OA43998/OA43999(z/OS V1R12からV2R1)では、RACFパスワードの暗号化方式として「KDFAES」(Key Derivation Function with Advanced Encryption Standard)が新規サポートされました。
※IBM推奨のKDFAES方式では暗号鍵が「AES256ビット」になり、従来のDES(56ビットキー)方式より強固な保護手段を提供 ➡ RACFパスワード・アルゴリズム処理における暗号強度が向上
※KDFAES方式ではCPACFを使用 ➡ CPACF使用不可の場合はソフトウェアで代替するため、パフォーマンス上のデメリットあり(CPU負荷)
KDFAES方式は、ICHDEX01 Exitルーチンに依存することなく、「SETROPTS PASSWORD(ALGORITHM(KDFAES)) 」コマンド実行にて使用可能となり、次回のパスワード、パスワード・フレーズ変更時に、KDFAESアルゴリズムにてパスワード暗号化が行われます。
※KDFAES方式が使用可能な環境でも、現行のDESパスワードは有効
※ALTUSERコマンドのPWCONVERTキーワードを使用すれば、現行のDESパスワードからKDFAES パスワードへの変換可能(パスワード・フレーズは変換不可)
【RVARYパスワード向けの新機能】
■従来、RVARYコマンドを通じて、①ステータスの変更(ACTIVE/INACTIVE)、②データベースのスイッチ(SWITCH)、③稼働モードの変更(DATASHARE/NODATASHARE)を行う際、出力されたWTORメッセージ(ICH702A/ICH703A)への適切なパスワードを応答する必要があります。
※RVARYパスワードは、「STROPTS RVARYPW(STATUS(status-pw) SWITCH(switch-pw))」コマンドにて指定 ・・・ 省略時値(YES)
※RVARY ACTIVE、RVARY NODATASHARE、RVARY SWITCHコマンドが、マスター権限をもつコンソールから実行された場合、WTORメッセージへの応答として、個別定義のパスワードに加え、「YES」も有効
■2024年3月にPTF出荷開始のRACF APAR OA65905(対象: z/OS V2R4、V2R5、3.1)では、RVARYパスワードをKDFAES方式にて暗号化するための新機能を提供し、SETROPTS RVARYPWコマンドに対してKDFAESキーワードが追加されました。
■SETROPTS RVARYPWコマンド実行時のKDFAESキーワードは、STATUS/SWITCHパラメータ同時、あるいは別々に指定可能です。(従来同様、RACF SPECIAL属性が必要)
・SETROPTS RVARYPW(STATUS(status-pw) SWITCH(switch-pw) KDFAES) または
・SETROPTS RVARYPW(STATUS(status-pw) KDFAES) + SETROPTS RVARYPW(SWITCH(switch-pw) KDFAES)
■KDFAES方式によるRVARYパスワードの暗号化は、冒頭の「SETROPTS ALGORITHM(KDFAES)/NOALGORITHM」コマンド指定状況とは無関係に行われます。
【APAR OA65905のPTF適用に伴い必要なアクション】 ※HOLD(ACTION)情報参照
■RACF APAR OA65905では、PTF適用時のHOLD(ACTION)として、下記全ての場合において、RVARYパスワードのKDFAES暗号化を行う必要があります。
※RACFデータベースを複数システムで共有する場合、単一システムで使用する場合
※RVARYパスワードを個別定義している場合、省略時パスワード(YES)を使用している場合
■RVARYパスワードのKDFAES暗号化を行う際、個別定義のパスワード、省略時パスワード(YES)とも、既存パスワードの踏襲は可能ですが、この機会にパスワードを変更することが強く推奨されています。
【RVARYパスワードのKDFAES暗号化ステップ】
■PTFのHOLD(ACTION)としてRVARYパスワードのKDFAES暗号化を行う場合、特にRACFデータベースを複数システムで共有する環境では、全システムへのPTF適用と反映が前提となります。
(ステップ1) RACFデータベースを共有するz/OSシステム全てにAPAR OA65905のPTFを適用して、システムを再起動する ・・・ 同時適用、反映の必要なし
(ステップ2) RACFデータベースを共有するz/OSシステム全てにPTFが反映された段階で、KDFAESキーワード指定のSETROPTS RVARYPWコマンドを実行する
■APAR OA65905のPTF適用後に再起動したシステムでは、SETROPTS LISTコマンド実行結果の「PASSWORD PROCESSING OPTIONS」セクションにて、「KDFAES方式への変換が未実施」である旨を示すメッセージが追加表示されます。
(RACFデータベースを複数システムで共有する環境)
(RACFデータベースを単一システムで使用する環境)
■RACFデータベースを共有する全システムで、SETROPTS LISTコマンド実行結果に「KDFAES PASSWORD CONVERSION IS PENDING. (SEE APAR OA65905)」が表示されたことを確認したら、KDFAESキーワード指定のSETROPTS RVARYPWコマンドを実行します。
※KDFAESキーワード指定のSETROPTS RVARYPWコマンドは、どのシステムからも実行可能(従来同様、RACF SPECIAL属性が必要)
・SETROPTS RVARYPW(STATUS(status-pw) SWITCH(switch-pw) KDFAES) または
・SETROPTS RVARYPW(STATUS(status-pw) KDFAES) + SETROPTS RVARYPW(SWITCH(switch-pw) KDFAES)
■KDFAES方式によるRVARYパスワード暗号化が完了すると、RACFデータベース共有の有無によらず、SETROPTS LISTコマンド実行結果から、「KDFAES PASSWORD CONVERSION IS PENDING. (SEE APAR OA65905)」の情報が除去されます。
※RVARYパスワードを個別定義している場合、SETROPTS LISTコマンド実行結果に含まれる内容が変化するため、影響有無を確認
※今後のRVARYパスワード変更時にKDFAESキーワード指定は不要 ➡ 明示指定せずとも、KDFAES方式による暗号化を継続
【考慮事項①】
■RACFデータベースを複数システムで共有する環境にて、APAR OA65905のPTF適用有無が混在している場合、KDFAESキーワード付きのSETROPTS RVARYPWコマンドを実行してしまうと、PTF未適用のシステムでは、個別定義されたRVARYパスワードが無効になります。
※省略時パスワードに依存している場合は、全システムにて有効
※RVARY ACTIVE、RVARY NODATASHARE、RVARY SWITCHコマンドが、マスター権限をもつコンソールから実行された場合は、出力されるWTORメッセージに対して「YES」がパスワードとして使用可能
■個別定義されたRVARYパスワードを使用可能とするには、PTF未適用システムにてSETROPTS RVARYPWコマンドを改めて実行する必要があります。
※PTF適用済システムのSETROPTS LISTコマンド実行結果にて、「KDFAES PASSWORD CONVERSION IS PENDING. (SEE APAR OA65905)」を表示
【考慮事項➁】
■RACFデータベースを複数システムで共有する場合、例えば次のような組み合わせでz/OS V2R3以前のシステムを含む構成も想定されますが、そのような混在環境ではKDFAESキーワード指定のSETROPTS RVARYPWコマンドを実行しないように注意ください。
※z/OS V2R2、V2R3とV2R4が混在
※z/OS V2R3とV2R5が混在
■例えば、z/OS V2R3からV2R5へローリング方式で移行する場合、APAR OA65905のPTFがz/OS V2R5システムに適用済でも、RVARYパスワードのKDFAES暗号化をすぐには行わず、全てのシステムがz/OS V2R5(APAR OA65905のPTF適用済)となった段階で、KDFAESキーワード指定のSETROPTS RVARYPWコマンドを実行する必要があります。
【追加情報: 2024/04/19】
■RRSFネットワークを介して、新しいKDFAESキーワード付きのSETROPTS RVARYPWコマンドをターゲット・ノードに送信する場合、対象ノードではRACFデータベース共有の有無によらず、APAR OA65905のPTFが全システムに適用され、かつ、システムが再起動(PTF反映済)されている必要があります。
※参照: HOLD(MULTSYS)情報
以上