beta access
RACF運用管理ツール
beta accessは、z/OS RACF運用・管理の効率化を図るツールです。RACFへのオンライン・インターフェースを提供することで複数環境にあるRACFシステムの運用・管理・監査を効率化します。
- 見やすく操作性の高いRACF管理機能を提供
- RACF SMF レコードを入力とした迅速で柔軟な監査機能を提供
- z/OSに習熟していないユーザーでもWebブラウザ経由でRACF操作可能
- ユーザーのパスワードのリセット等のRACF管理をHelpdeskへオフロード可能
- 複数環境のRACF DBを一元管理
beta access コンポーネントについて
beta access AdministratorユーザーフレンドリーなISPFインターフェースを備え、RACFを一元管理できる機能を提供します。RACFコマンドの自動生成など、包括的な機能セットにより、RACFプロファイルの保守品質を向上させると同時に、RACFシステムで管理されるすべての情報をスムーズに把握できます。beta access reportSMFデータとRACFおよびz/OS環境設定を分析し、セキュリティに影響を与える違反をチェックし、 構成されたRACF設定がシステムを適切に保護していることを確認できます。beta access easy (Helpdesk)ユーザーIDのパスワードリセットなど、セキュリティ管理者にとって発生頻度の高い作業を簡易化することで、担当者の作業負荷の軽減、申請作業のペーパーレス化を促進します。beta access AuditorRACFシステムのセキュリティギャップを特定し、アクセス許可とシステム構成に関するレポートを生成して表示します。ユーザーフレンドリーなWindowsインターフェイスを介して迅速な監査を実行します。実際の要件と業界のベストプラクティスに基づいて、事前構成された監査レポートを作成します。beta access monitor重要なRACFまたはセキュリティ関連のイベントが発生するたびに、指定したユーザーにリアルタイムで警告します。beta access analyzeWindowsベースのGUIを使用してRACFデータベースを便利に分析します。このWindowsユーザーインターフェイスを使用することにより、RACFデータベースをツリー構造として表示し、マウス操作だけで分析と詳細ビューを起動できます。
ユーザーまたはグループ毎にアクセス権限を解析
複数RACFシステム管理:マルチCPU
- 一環境のインターフェースから複数RACFシステムを一元管理
- RACF DB の世代保管、比較が可能
- 異なる環境の RACF DB を比較可能
RACF DBのコンペア機能
CA Top Secret から IBM RACF に移行する際に beta access を活用
T2R Migration Toolkitはbeta accessの機能と併用して、CA Top SecretからRACFへの移行をスムーズに行うツールキットです。Top Secret のようにユーザーを軸にしてリソース一覧及び権限の確認、変更を行うことができます。
- 移行のフェーズごとにできたRACF DBの差分比較
- 構築中のRACF DBの内容をWindowsアプリから直接スピーディに精査
- 同じアクセス権限を持つユーザーの作成は beta access のクリーニング機能で対応
- TSSの期限付きアクセス権限 FOR()またはUNTIL()をbeta access のTimed Command 使って再定義
- WARNINGモードでデータセットの新規作成イベントもキャッチ
CA Top Secret から IBM RACF移行中一定期間WARNINGモードで運用し、SYSLOGに出力されるICH408I のINSUFFICIENT AUTHORITY – TEMPORARY ACCESS ALLOWED メッセージを基に定義の不足分を洗い出すフェーズがあります。しかし、データセット新規作成の場合、RACROUTE REQUEST=DEFINE SAF要求が発行されるため、SYSLOGにICH408Iメッセージが出力されません。この場合、beta access SMFレポートでセキュリティーイベントのレポートで対応できます。
beta access easy(Helpdesk)
Webインターフェースにも対応
対応機能
- パスワードリセット
- ユーザデータの変更
- ユーザ名及びユーザ関連データの編集
- ユーザのグループへのCONNECT/REMOVE
- ユーザのRESUME/REVOKE
- 変更申請/承認機能
z/OS V2.5 SDSFセキュリティ変更への対策
- z/OS V2.4までは、SDSFのセキュリティをSDSF内部セキュリティ(ISFPARMS)で独立して実装することが可能でした。
- z/OS V2.5以降では、SDSFセキュリティをz/OS V2.4と同じように設定するには、SDSF ISFPARMSだけでなく、RACFでも設定を行う必要があります。
そのため、RACF内のユーザー構造やセキュリティ構造を調査し、新しいSDSFおよびJES2リソースを適切に割り当てることが必要になります。Beta accessを利用すれば、この作業を簡単かつ強力なセキュリティでサポートできます。
z/OS V2.5よりSDSF(Spool Display Search Facility)のセキュリティが大幅に変更されました。
z/OS V2.5より、RACFのSDSFクラス、OPERCMDSクラス等を使用したリソースへのアクセス制御に変更されました。
SDSF V2.5でのセキュリティ変更点
SDSFのユーザーグループを決めるための識別子がRACF上のアトリビュートに変更されました。
具体的には、SDSFセキュリティ識別子(アトリビュート)のうち、以下のパラメータによるSDSFユーザーのグルーピングが不可となり、RACF上のユーザーID、グループ定義とRACFの一般資源クラスのSDSF、JESSPOOL、OPERCMDS、WRITER、XFACILIT、LOGSTRM定義と関連付けたアクセス制御の定義が必要になりました。
パラメータ | 用途 |
NAME (group-name) | SDSF内のグループ名の指定 |
ILPROC (NTBL-name) | 指定したTSOログオンプロシージャを使用している場合、該当のSDSFのグループの対象とする |
XLPROC=(NTBL-name) | 指定したTSOログオンプロシージャを使用している場合、該当のSDSFのグループから除外する |
ITNAME=(NTBL-name) | 指定した端末名を使用している場合、該当のSDSFのグループの対象とする |
XTNAME=(NTBL-name) | 指定した端末名を使用している場合、該当のSDSFのグループから除外する |
IUID=(NTBL-name) | 指定したユーザーIDの場合、該当のSDSFのグループの対象とする |
XUID=(NTBL-name) | 指定したユーザーIDの場合、該当のSDSFのグループから除外する |
TSOAUTH(attrib) | TSOのユーザー権限属性(OPER,JCL,ACCT等)により、該当のSDSFのグループを対象とする |
z/OS 2.5以降から標準提供されるISFPARMxxからRACF定義への移行ツール(ISFACR)
RACFのSDSFセキュリティへ移行時の注意点
ISFPRMxxから変換したRACF定義と、現行のRACF定義を照らし合わせ、影響調査した後に、RACF定義反映が鉄則
beta access 動導入要件
OS:
IBMが現在サポートしている z/OSシステム設定
- SVC登録
SVC番号(200~255)の登録が必要です。 - APF許可登録
ロードモジュール・ライブラリをAPF登録する必要があります。 - STC登録
開始プロシージャを登録する必要があります。
必要リソース:700CYL程度