大型機S390系統(tǒng)管理第五章RACF概述

1、RACF概述概論 RACF(Resource Access Control Facility)是OS/390的安全子系統(tǒng)。它可以證實一個用戶，并且保護數(shù)據(jù)不會被有意或無意地破壞、修改、泄漏或使用。RACF有四大功能：證實一個用戶 RACF使用用戶ID和口令來證實一個用戶。當一個用戶試圖登錄時，RACF將檢查這個用戶是否在RACF中有定義，口令是否有效，用戶是否已被掛起，用戶是否被授權(quán)使用這個終端，用戶是否被授權(quán)使用這個應(yīng)用，用戶是否允許此時登錄，終端是否允許此時登錄。所有的安全檢查通過后，用戶才會被允許登錄進入系統(tǒng)。定義用戶時，系統(tǒng)管理員會給用戶一個暫時的口令，用戶登錄后RACF會強制用戶改變

2、自己的口令，這樣系統(tǒng)中的任何用戶都不會知道用戶的口令，除非用戶自己泄漏。當用戶忘了自己的口令時，系統(tǒng)管理員會給他改變口令，這樣當用戶再次登錄時，又需要強制改變自己的口令。當一個MVS用戶已登錄在系統(tǒng)中時，他也不能再次登錄，只有在LOGOFF后才能在登錄。 每一個RACF定義的用戶均有一個PROFILE，其內(nèi)容有用戶ID、擁有者、口令、屬性、SECURITY CLASSIFICATION、組及段。在RACF中用戶可劃分為組。一個用戶組通常是許多具有類似權(quán)限的用戶的集合。組主要是為了管理方便，因為它可以簡化PROFILE中的訪問列表。一個用戶可同時屬于多個組，當一個用戶成為一個組中的成員時，我們說

3、這個用戶連接到這個組中，同時他也具有了這個組的權(quán)限。 2.資源授權(quán)檢查當一個用戶企圖訪問一個特定的資源時，系統(tǒng)會調(diào)用RACF去確定用戶是否允許使用該資源。RACF不僅控制用戶對資源的訪問，而且還控制用戶如何去訪問資源，比如是只讀還是可讀可寫，或者必須通過某種手段(諸如通過特定的程序)訪問。RACF可用于控制訪問許多類的資源，諸如MVS數(shù)據(jù)集、終端、控制臺、CICS和IMS交易甚至程序等。RACF對資源的控制也是通過PROFILE來進行，資源PROFILE的主要內(nèi)容有：PROFILE名、擁有者、UACC(通用訪問權(quán)限)、訪問控制列表、SECURITY CLASSIFICATION及審計信息。資源

4、授權(quán)檢查的流程見圖6.1：圖6.1 資源授權(quán)檢查的流程圖中：用戶通過一個資源管理器（比如TSO/E，CICS或IMS）請求訪問資源。資源管理器發(fā)布一個RACF請求確定用戶是否可以訪問資源。在大多數(shù)情況下，這是一個RACROUTE宏，其它情況下則是一個獨立的RACF宏。RACF訪問RACF數(shù)據(jù)庫（或者從RACF數(shù)據(jù)庫拷貝到內(nèi)存中的PROFILE）.檢查合適的資源PROFILE.傳遞PROFILE中的內(nèi)容。RACF將請求的狀態(tài)（即用戶是否可以訪問資源）通知資源管理器。資源管理器獲得或否決用戶的請求。記錄和報告RACF決定允許或不允許用戶訪問系統(tǒng)后，它會檢查是否應(yīng)當記錄這一事件(由安全管理員或具有A

5、UDITOR屬性的用戶指定)。具有AUDITOR屬性的用戶可以指定那些事件需要記錄，比如所有事件、企圖訪問成功時記錄、失敗時記錄、或讀時記錄或?qū)憰r記錄。如需要記錄，則寫到RMF數(shù)據(jù)集，同時送系統(tǒng)控制臺，也可指定通知一個特定的用戶。具有AUDITOR屬性的用戶可以看PROFILE，可以設(shè)置是否記錄和PROFILE有關(guān)的訪問事件，或在什么條件下記錄，但無權(quán)修改PROFILE，無權(quán)訪問資源。 4.安全管理在RACF中，大多數(shù)用戶都是一般用戶，他們有其自己的訪問資源的權(quán)限。除一般用戶外，RACF還可以定義具有SPECIAL、OPERATIONS、AUDIT屬性的用戶，它們各自具有一定的系統(tǒng)管理、特殊訪

6、問權(quán)限和審計功能。具有SPECIAL屬性的用戶有權(quán)管理系統(tǒng)中的安全。這種用戶可以在RACF數(shù)據(jù)庫中定義、改變、查看、刪除PROFILE。這種用戶并沒有權(quán)限直接訪問資源，但可以控制其他用戶的訪問。SPECIAL屬性也可授予一個特定的用戶，使他只具有管理某個組或其子組的成員，這個屬性稱之為GROUP SPECIAL。具有OPERATION屬性的用戶負責維護系統(tǒng)中的磁盤，可對數(shù)據(jù)集進行COPY、編目等工作，可看機密數(shù)據(jù)，甚至可改變刪除數(shù)據(jù)集。具有AUDIT屬性的用戶則可以規(guī)定系統(tǒng)的審計策略。用戶的SPECIAL、AUDIT、OPERATION三種屬性可以賦予特定的某一個用戶，使他只在某一個范圍內(nèi)有這

7、個權(quán)力。這樣可以實現(xiàn)用戶或組的放權(quán)管理。只在特定范圍內(nèi)有效的這三種屬性分別稱為：GROUP SPECIAL、GROUP AUDIT、GROUP OPERATION.屬性。利用RACF可以控制對系統(tǒng)及系統(tǒng)中的子系統(tǒng)的訪問。這些子系統(tǒng)包括JES，TSO，IMS，CICS，SMS，DB2，VTAM和APPC會話。也可控制對資源的訪問，它們包括：終端，控制臺，數(shù)據(jù)（編目、數(shù)據(jù)集等），程序，交易等。用戶或組在使用資源時是否會得到授權(quán)取決于以下因素：用戶標識（USERID）：當用戶被創(chuàng)建時，必須要有一個1到8字符的用戶標識。用戶登錄時使用這個標識及口令證實用戶的身份。當用戶使用資源時，RACF使用這個標識

8、確定用戶是否有權(quán)訪問資源。屬性：用戶屬性確定了訪問系統(tǒng)時的特權(quán)限制。它分為用戶屬性和組屬性兩類。用戶屬性主要有：SPECIAL，AUDITOR，OPERATIONS，CLAUTH，REVOKE等等。組屬性指當一個用戶連接到一個組中時，連接的屬性。主要有：USE，CREATE，CONNECT，JOIN。安全標識：每一個用戶和資源的PROFILE都有一個安全標識。當用戶訪問一個資源時，RACF將資源與用戶的安全標識相比較，如果用戶的安全標識低于資源的安全標識，則直接拒絕用戶的訪問。訪問授權(quán)：訪問授權(quán)有以下幾種：NONE，EXECUTE，READ，UPDATE，CONTROL，ALTER。其權(quán)限由低

9、至高，逐次增加。系統(tǒng)安全管理員或授權(quán)的用戶可以定義用戶、組、保護資源。RACF 使用PROFILE定義用戶和組、保護資源。每一個PROFILE都有一個擁有者，或者是用戶，或者是組。建議PROFILE的擁有者是組。如果建立PROFILE時未指定擁有者，則默認的擁有者是建立PROFILE的用戶。所有用戶、組、數(shù)據(jù)集及其他資源的PROFILE 保存在RACF數(shù)據(jù)庫中。因此每建立一個PROFILE，實際上在RACF數(shù)據(jù)庫中寫入了一項。所以它應(yīng)當有一個備份，有問題時可以切換到備份。系統(tǒng)中也提供了一些工具，利用這些工具可以將RACF數(shù)據(jù)庫中的內(nèi)容復(fù)制到DB2或其他數(shù)據(jù)處理子系統(tǒng)中，也可以將DB2或其它數(shù)據(jù)

10、處理子系統(tǒng)中保存的RACF數(shù)據(jù)恢復(fù)到RACF數(shù)據(jù)集中。每一個PROFILE均屬于RACF中的某一類，例如，保護終端的PROFILE屬于TERMINAL類，用戶PROFILE則屬于USER類。RACF中的類至少有幾十個，限于篇幅，本書只涉及到其中的一部分，感興趣的讀者可參考IBM紅皮書OS/390 Security Server(RACF) System Programers Guide。PROFILE的類型有以下幾種： -用戶PROFILE -組PROFILE -數(shù)據(jù)集PROFILE-通用資源PROFILE 用戶PROFILE和組PROFILE記錄了用戶或組的安全特性。數(shù)據(jù)集PROFILE和通

11、用資源PROFILE則描述了數(shù)據(jù)集和通用資源的訪問權(quán)限。這些訪問權(quán)限分布在PROFILE中的兩個地方，一個叫UACC，另一個叫訪問列表。UACC表示一般的訪問權(quán)限，也就是說訪問列表中沒有記錄的用戶的訪問權(quán)限。而訪問列表則特別指出特定的用戶或組具有什么樣的權(quán)限。在RACF中權(quán)限可以是以下幾種：-ALTER：對資源或數(shù)據(jù)集具有完全的控制。如果這一權(quán)限出現(xiàn)在一個通用PROFILE中，則表示不僅可以讀、寫、執(zhí)行此PROFILE保護的數(shù)據(jù)集或資源，還可以創(chuàng)建此PROFILE保護的數(shù)據(jù)集或資源。-UPDATE：可讀可寫。-READ：可讀。-EXECUTE：可執(zhí)行。-NONE：無任何權(quán)限。PROFILE按其

12、管理的內(nèi)容的范圍又可分為通用PROFILE和分散PROFILE： 通用PROFILE：PROFILE名字中可以有通配符，一個PROFILE可以覆蓋多個名字類似的資源，因此這種PROFILE允許你定義一個PROFILE保護多個名字類似的資源。顯然，使用這種PROFILE可以大幅度減少RACF數(shù)據(jù)庫中的項目，方便管理。當然用一個這種PROFILE保護的所有資源，安全要求是一樣的。 分散PROFILE：PROFILE的名字預(yù)備保護的對象名字完全一致，每一個這種PROFILE只對應(yīng)一個被保護的對象，因此每一個PROFILE只保護一個資源。 RACF的管理方式可以有兩種： 集中式：系統(tǒng)安全管理員管理所有

13、的安全事務(wù)。 分散式：系統(tǒng)安全管理員放權(quán)給若干用戶，使他們承擔一部分安全管理工作。 可以通過命令、TSO的ISPF菜單及JCL使用RACF。最常用的方式是使用TSO的ISPF菜單，但如果一次建立很多PROFILE時，采用JCL批處理的方式會更方便。本書主要以命令方式講述，但使用的命令中的選項或參數(shù)均可在菜單中找到。使用JCL批處理方式的JCL示例如下：/jobname JOB ./STEP1 EXEC PGM=IKJEFT01，DYNAMNBR=20/SYSTSPRT DD SYSOUT=A/SYSTSIN DD * ADDGROUP PROJECTA ADDUSER (PAJ5 ESH25)

14、TA PERMIT PROJECTA.XYZ.DATA ID(PAJ5) ACCESS(UPDATE)/*用戶和組的管理621用戶和組的定義定義用戶和組可以使用多種方式，其中包括RACF菜單、命令以及JCL作業(yè)。PROFILE的擁有者可以是用戶或組，建議屬于組。組的定義RACF中組的結(jié)構(gòu)類似于一個單位中的樹狀組織管理的結(jié)構(gòu)。也就是說，每一個組中可以有多個成員，組中的成員可以是用戶，也可以是組。一個組中可以有多個用戶，當一個用戶成為一個組中的成員時，我們稱該用戶連接到了這個組中。一個用戶也可以同時連接到多個組中。SYS1組是系統(tǒng)安裝后權(quán)限級別最高的組，因此它沒有前趨組或擁有者。一個組中最多可以有

15、5900個用戶。一個組中的用戶實際上代表了工作性質(zhì)類似的一組用戶，比如一個單位中的一個部門或小組。在RACF中每一個組，除了SYS1以外，均有一個前趨組（父組）和擁有者和若干個子組。定義一個組的用戶必須具有以下權(quán)限之一：具有SPECIAL屬性。具有GROUP SPECIAL屬性，并且要定義的組的前趨組在你的管理范圍之內(nèi)。用戶是要定義的組的前趨組的擁有者。具有要定義的組的前趨組的JOIN授權(quán)。當你定義一個組時，你實際上在RACF數(shù)據(jù)庫中創(chuàng)建了一個組PROFILE。如圖6.2所示，是組PROFILE的格式：GROUP NAMEOWNERSUPGROUPDATATERMUACCMODELDFPOMV

16、S圖6.2 組PROFILE的格式由圖中可以看出，組PROFILE由RACF段、DFP段和OMVS段及其他段組成。每個段又由若干個FIELD組成。你可以使用LISTGRP命令列出組中各段的屬性。RACF段包含了RACF所需要的最基本的信息，它由以下FIELD組成：*GROUP-NAME：組的名字。*OWNER：組的擁有者。組的擁有者可以是組的前趨組也可以是一個用戶。默認為定義這個組的用戶。擁有者最好是一個組而不是一個用戶，因為如果是一個用戶，當這個用戶被刪除后，或者離開了工作崗位，原擁有者的擁有者成為這個組的擁有者，可能會出現(xiàn)安全上的漏洞。*SUPGROUP：組的前趨組。*TERMUACC或N

17、OTERMUACC：指示對終端的訪問控制是否可以基于終端PROFILE的UACC*MODEL：創(chuàng)建新組時使用的模版PROFILE。*DATA：有關(guān)組的描述信息。組PROFILE的DFP段含有對SMS管理的數(shù)據(jù)集默認的管理屬性和DASD存儲器特性。要定義或改變組PROFILE中的DFP段，用戶必須具有SPECIAL屬性。它有以下FIELD組成：*DATAAPPL：用戶DFP數(shù)據(jù)應(yīng)用標識。*DATACLAS：分配性數(shù)據(jù)集時使用的默認的DATA CLASS.*MGMTCLAS：數(shù)據(jù)集分配后默認的MANAGEMENT CLASS.*STORCLAS：組默認的STORAGE CLASS. OMVS段由G

18、ID FIELD組成，指示該組在OE環(huán)境下的組標號。它是一個整數(shù)。盡管不同的組可以分配相同的GID，但不建議這樣。不同的組應(yīng)該有不同的GID。因為在OE中，相同的GID被認為是同一個組，這樣會引起安全上的漏洞。要改變用戶的PROFILE中的OMVS段的內(nèi)容，用戶應(yīng)具有SPECIAL屬性，并授權(quán)訪問FIELD類中的GROUP.OMVS.* PROFILE或GROUP.OMVS.GID 兩個PROFILE之一。 組的名字是1-8個字符組成的字母(包括#、$、)數(shù)字串，并且不得以數(shù)字開頭。組不能與組或用戶重名。 使用組后，管理員可以把對資源的控制以組為單位來進行，即把組名放在該資源PROFILE的訪

19、問列表中即可。因此資源PROFILE的訪問列表變得簡短而易于維護。比如你如果希望多個用戶可以訪問某一資源時，若不使用組，你必須在這個資源PROFILE的訪問列表中加入有關(guān)這幾個用戶的權(quán)限說明。使用組后，你可以創(chuàng)建一個組，在資源PROFILE的訪問列表中加入有關(guān)這組的權(quán)限說明，然后將這些用戶連接到這個組中即可。 在用ADDGROUP創(chuàng)建一個組或用ALTGROUP改變一個組時，你可指定組PROFILE的擁有者。如果不指定擁有者，則創(chuàng)建者成為擁有者。組的擁有者(或連接到該組的具有GROUP-SPECIAL屬性的用戶)具有以下權(quán)限： (1)定義新用戶(當然應(yīng)在USER CLASS中具有CLAUTH屬性

20、) (2)把用戶從組中刪除或連接的組中。 (3)改變組的屬性，放權(quán)其他用戶管理該組。 (4)改變、顯示、刪除組的PROFILE。 (5)定義、刪除、顯示該組的子組。可以使一個RACF組作為一個用戶、組、數(shù)據(jù)集或通用資源PROFILE的擁有者。任何一個用戶如果以GROUP SPECIAL的屬性連接到一個組中，則他具有該組擁有者的權(quán)限。組中的每個用戶都有特定的授權(quán)級別，也就是說，每一個用戶在連接到一個組中時，必須以一定的授權(quán)級別連接進來，這些授權(quán)級別是： USE： 用戶可以在組的權(quán)限內(nèi)訪問資源。這是用戶連接到一個組中的最低授權(quán)級別也是默認的授權(quán)級別，也就是說用戶可以訪問該組用戶被授權(quán)訪問的資源。

21、CREATE：用戶可以創(chuàng)建新的屬于組的數(shù)據(jù)集并且控制這些數(shù)據(jù)集的訪問權(quán)限。 CONNECT：用戶可以把其他用戶連接到組中，并具有USE、CREATE及CONNECT授權(quán)。JOIN：用戶可以創(chuàng)建新的組和用戶，新創(chuàng)建的組成為該組的子組。當然，要創(chuàng)建新用戶，具有JOIN授權(quán)的用戶還需要在USER CLASS具有CLAUTH屬性。顯然，這四個授權(quán)級別以USE、CREATE、CONNECT、JOIN為順序，其中JOIN級別最高，USE級別最低。一般來講，高級別的授權(quán)包含了低級別授權(quán)的權(quán)限。定義一個組的命令格式如下：ADDGROUP/AG (組名) DATA(注釋) DFP(DATAAPPL(應(yīng)用名) D

22、ATACLA(DATA CLASS名) MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORE CLASS名) MODEL(模版名) OMVS(GID(組標識) OWER(用戶或組名) SUPGROUP(組名) TERMUACC/NOTERMUACC其中，命令格式中出現(xiàn)的各段的內(nèi)容大部分我們在前面已講過，在此不再另行說明。在此我們只討論以前我們沒有說明的內(nèi)容。注釋是說明性的東西，對安全管理沒有太大的作用，僅僅說明該用戶的一些額外信息。MODEL(模版名)：指示創(chuàng)建此PROFILE時，從指定的模版PROFILE復(fù)制信息到此PROFILE。TERMUACC/NOTER

23、MUACC： 一個組如果具有NOTERMUACC屬性，則這個組的成員只能從RACF保護的并且用戶授權(quán)登錄的終端上登錄，而不能基于終端的UACC。如果具有TERMUACC屬性，則無此限制。定義一個組的步驟：步驟1：確定組的前趨組、組名、擁有者，如果系統(tǒng)中用RACF保護終端并且組中的用戶限制使用特定的終端，創(chuàng)建組時應(yīng)指定NOTERMUACC。如果安裝了DFSMS，則在組的DFP段中指定特定的初始值。 步驟2：創(chuàng)建組PROFILE。例如：創(chuàng)建一個組，組名是DEPTA，組的擁有者是ALLDEPT，該組是ALLDEPT的一個成員，可以使用如下命令： ADDGROUP DEPTA OWNER(ALLDEP

24、T) SUPGROUP(ALLDEPT) 步驟3：連接合適的用戶到組中。多數(shù)用戶只需具有USE授權(quán)即可，根據(jù)實際安全管理的要求，少數(shù)幾個用戶可具有高于USE的授權(quán)。例如：將STEVEN、LIZS和GENEK三個用戶連接到組的DEPTA中，其中STEVEN和LIZS連接的屬性是CONNECT，也就是說這兩個用戶可以將其它用戶連接到DEPTA中；用戶GENEK的連接屬性是USE，所以僅僅是一般用戶。 CONNECT (STEVEH LIZS) GROUP(DEPTA) OWNER(DEPTA) AUTHORITY(CONNECT) CONNECT GENEK GROUP(DEPTA) OWNER(

25、DEPTA) 步驟4：如果組要擁有數(shù)據(jù)集，則創(chuàng)建一個通用的數(shù)據(jù)集PROFILE。例如：定義一個HLQ是DEPTA的PROFILE，其UACC是NONE，以保護該組所擁有的數(shù)據(jù)集。 ADDSD DEPTA.* UACC(NONE) 步驟5：如果組需要訪問RACF保護的資源，則授權(quán)給該組。例如：允許該組成員對RACF.PROTECT.DATA PROFILE所保護的資源有讀的權(quán)限，則發(fā)布如下命令： PERMIT RACF.PROTECT.DATA ID(DEPTA) ACCESS(READ) 步驟6：如果組需要訪問OE的資源，則改變組的PROFILE，并賦予一個GID。例如，使DEPTA組的成員登

26、錄到OE時，使用的GID是100，使用如下命令：ALTGROUP DEPTA OMVS(GID(100)刪除一個組時，這個組首先必須要存在，并且沒有子組，不再擁有組或用戶，沒有任何用戶連接在其中。其命令格式：DELGROUP/DG (組名) 刪除一個組的步驟： 步驟1：移去組中的所有用戶(REMOVE命令)。 步驟2：找出所有與該組有關(guān)的數(shù)據(jù)集，一般來講也就是HLQ是該組組名的數(shù)據(jù)集，把它們刪除或改名。 步驟3：把要刪除的組的子組，其前趨組改為已存在的組。 步驟4：如果組還擁有其他PROFILE，改變擁有者為其他組或用戶。 步驟5：在所有訪問列表中刪除該組。步驟6：用DELGROUP命令刪除組

27、的PROFILE。改變一個組的屬性所需要的權(quán)限與創(chuàng)建組命令一樣，其命令格式如下：ALTGROUP/ALG (組名) DATA(注釋) DFP(DATAAPPL(應(yīng)用名) DATACLA(DATA CLASS名) MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORE CLASS名) MODEL(模版名) OMVS(GID(組標識) OWER(用戶或組名) SUPGROUP(組名) TERMUACC/NOTERMUACCLISTGRP命令用于顯示出組PROFILE的詳細內(nèi)容。包括組的前趨組、擁有者、終端特性、所有子組、注釋信息、模版PROFILE名、連接到該組中的用

28、戶信息(用戶ID、用戶在組中的授權(quán)、用戶已該組作為當前連接的組進入系統(tǒng)的次數(shù)、用戶的連接屬性、掛起或RESUME的日期)以及DFP、OMVS段的信息。要使用該命令，用戶應(yīng)具有以下權(quán)限之一：具有SPECIAL或AUDITOR屬性在要顯示的組中具有GROUP SPECIAL或GROUP AUDITOR屬性。是組的擁有者。在組中具有JOIN或CONNECT權(quán)限。其命令格式是：LISTGRP/LG (組名)/* DFP NORACF OMVS以下是用LISTGRP命令列出某系統(tǒng)中SYS1組的內(nèi)容：INFORMATION FOR GROUP SYS1 SUPERIOR GROUP=NONE OWNER=

29、IBMUSER NO INSTALLATION DATA NO MODEL DATA SET TERMUACC SUBGROUP(S)= SYSCTLG VSAMDSET ADMIN APK OSASF TTY OMVSGRP DCEGRP IMWEB EXTERNAL EMPLOYEE SPECIAL SYSDATA NOTES CMNGRP USER(S)= ACCESS= ACCESS COUNT= UNIVERSAL ACCESS= IBMUSER JOIN 006635 READ CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE

30、=NONE CICSUSER USE 000052 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSADM USE 000086 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSOPR USE 000000 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE USERA USE 000310 NONE CONNECT ATTRIBUTES=NONE REV

31、OKE DATE=NONE RESUME DATE=NONE NO DFP INFORMATION OMVS INFORMATION GID= 0000000000從以上列表中可以看出，系統(tǒng)中SYS1組沒有前趨組，擁有者是IBMUSER，OE中的組ID是0，沒有注釋信息和模版數(shù)據(jù)集，具有TERMUACC屬性。組中有15個子組，它們是SYSCTLG、VSAMDSET ADMIN、APK、OSASF、TTY、OMVSGRP、DCEGRP、IMWEB、EXTERNAL、EMPLOYEE、SPECIAL、SYSDATA、NOTES和CMNGRP ，有5個用戶，他們是IBMUSER、CICSUSER 、

32、SYSADM、SYSOPR、USERA。用戶的定義 定義一個用戶就是在RACF數(shù)據(jù)庫中創(chuàng)建一個用戶PROFILE。用戶PROFILE由RACF段及DFP、TSO、CICS、LANGUAGE、OPERPARM、WORKATTR、OMVS和NETVIEW段組成。用戶PROFILE的每一個段都由若干個FIELD組成。定義(用ADDUSER命令)或改變(用ALTUSER命令)用戶的PROFILE時，可以指定PROFILE中各段的FIELD參數(shù)。使用LISTUSER命令可以顯示出用戶PROFILE及其各段的信息。 RACF段由以下FIELD組成： USERID：用戶ID。用戶ID可以是1-8個符號(包括

33、字母、數(shù)字及#、$、)，但必須以字母打頭。用戶ID也不得與組或其他用戶重名。 NAME：用戶真正的名字。 OWNER：PROFILE的擁有者。它可以是一個用戶或一個組，默認為創(chuàng)建這個用戶的用戶。建議擁有者是一個組而不是一個用戶，因為如果是一個用戶，當這個用戶被刪除后，可能會帶來安全上的漏洞。 DFLTFRP：用戶默認的組。 AUTHORITY：用戶在默認的組中的授權(quán)。 PASSWORD：口令，用戶的口令在PROFILE中是以加密的形式存放的，任何人都不能夠以任何方式讀取，包括系統(tǒng)的安全管理員。如果用戶忘記了自己的口令，只能由授權(quán)的用戶重新賦予一個新口令，用戶再次登錄時，必須強制修改自己的口令。

34、為了安全起見，在任何情況下修改口令時，新口令必須輸入兩次，而且兩次輸入的新口令必須一致。 REVOKE：用戶被掛起的日期，所謂被掛起，指用戶暫時不能登錄。當時間到達此日期時，用戶自動被掛起。當然，如果一個用戶多次登錄(具體多少次可在RACF中設(shè)置)而未成功，系統(tǒng)也會自動掛起此用戶。一旦被掛起，只有請求有權(quán)限的用戶將其RESUME，才能再次登錄。這樣防止其他用戶猜測用戶的口令。 RESUME：用戶被resume的日期。當用戶被掛起后，可以將用戶RESUME，這樣用戶就可以再次登錄。 UACC：用戶定義的資源的通用訪問權(quán)限。 WHEN：用戶在一個星期中的那一天及幾點鐘可訪問系統(tǒng)。 ADDCATEG

35、ORY：該用戶是否可以指定安全類別。 SECLEVEL：用戶的安全級別。有關(guān)安全類別和安全級別的描述，請讀者參見本章第四節(jié)通用資源引論的有關(guān)描述。CLAUTH：用戶可定義的PROFILE的類。如果一個用戶在某一類中具有該權(quán)限，則用戶可以定義該類中的PROFILE。例如你如果指定CLAUTH為USER，則你可以定義用戶。如果指定CLAUTH為TERMINAL，則你可以定義終端。這個屬性可以分派給具有GROUP SPECIAL屬性的用戶，使他可以定義特定類的PROFILE。一個用戶如果具有定義某一類PROFILE的授權(quán)，并不意味著該用戶可以隨便保護該類資源，它所保護的資源必須在其管理范圍之內(nèi)。例如

36、一個用戶盡管具有USER授權(quán)，如果它要有權(quán)在組中定義PROFILE，則它還必須以SPECIAL或JOIN屬性被連接到組中。 SPECIAL：用戶具有系統(tǒng)范圍的SPECIAL屬性，具有這樣的屬性的用戶可以發(fā)布所有的RACF命令，可對RACF數(shù)據(jù)庫中的PROFILE進行完全控制。你可以在組一級上分配這一屬性(用CONNECT命令)，這稱之為GROUP SPECIAL。具有GROUP SPECIAL屬性的用戶如果又同時具有了USER類的授權(quán)，則對其組以下范圍的用戶和組具有完全的控制。但對其范圍外的用戶和組并無管理權(quán)限。 AUDITOR：用戶具有系統(tǒng)范圍的AUDITOR屬性，具有這樣的屬性的用戶可以發(fā)

37、布諸如LISTDSD、LISTUSER、LISTGRP及LISTGRP命令列出指定的PROFILE內(nèi)容。也可指定RACF要記錄的安全日志。這些安全日志記錄在SMF數(shù)據(jù)集中。也可設(shè)置GROUP AUDIT屬性(用CONNECT命令)，其審計范圍同GROUP SPEACIAL類似。 OPERATIONS：用戶具有系統(tǒng)范圍的OPERATIONS屬性，具有這樣的屬性的用戶對諸如數(shù)據(jù)集等資源具有完全的訪問權(quán)限，也可設(shè)置GROUP OPERITION屬性(用CONNECT命令)。 DATA：有關(guān)用戶的注釋信息。 ADSP：指示用戶定義的所有永久數(shù)據(jù)集是否均要用分離的PROFILE保護。 GRPACC：指示

38、組內(nèi)其他成員是否可以訪問用戶用數(shù)據(jù)集PROFILE保護的組數(shù)據(jù)集。 MODEL：用戶創(chuàng)建數(shù)據(jù)集時使用的數(shù)據(jù)集模版PROFILE名 OIDCARD：用戶在登錄時必須提供一個操作員ID卡?，F(xiàn)在已不再使用這個屬性。 SECLABEL：用戶默認的安全標記。有關(guān)SECLABEL的內(nèi)容，請讀者參見本章第四節(jié)通用資源引論的有關(guān)描述。 DFP段由以下FIELD組成： DATAAPPL：用戶DFP數(shù)據(jù)應(yīng)用標識。 DATACLAS、MGMTCLAS、STORCLAS：用戶創(chuàng)建數(shù)據(jù)集時使用的默認的CONSTRUCT。 TSO段由以下FIELD組成： ACCTNUM：用戶默認的記賬賬號。 JOBCLASS：用戶JOB

39、 CLASS的默認值。 MSGCLASS：用戶MESSAGE CLASS的默認值。 HOLDCLASS：用戶HOLD CLASS的默認值。 SYSOUTCLASS：用戶SYSOUT數(shù)據(jù)集的目標ID。 PROC：用戶默認的登錄過程。 MAXSIZE：用戶最大的REGION大小。 SIZE：用戶默認的REGION大小。 SECLABEL：安全標識。 UNIT：用戶分配數(shù)據(jù)集時使用的默認的設(shè)備。 USERDATA：注釋。 一個用戶要想從TSO登錄，則必須要定義該用戶的TSO段。 OE段由以下FIELD組成： HOME：用戶登錄后的工作目錄。 PROGRAM：用戶登錄后的SHELL程序。 UID：用戶

40、的OE用戶標識，是一個整數(shù)，如果是0，則是OE中的超級用戶。與組類似，盡管多個用戶的UID可以一樣，但不建議這樣，因為在OE中，UID一樣的用戶被認為是同一用戶，這樣會引起安全問題。 每一個用戶都有一個PROFILE，并且每一個PROFILE均有一個用戶或組作為其擁有者。擁有著(或一個連接到其擁有組并具有GROUP SPECIAL，或系統(tǒng)SPECIAL屬性的用戶)，可以改變、列及刪除用戶，并可控制用戶的屬性。定義一個用戶的命令的格式如下：ADDUSER/AU (用戶ID) ADDCATEGORY() ADSP/NOADSP AUDIT/NOAUDIT AUTHRITY(授權(quán)) CLAUTH(類

41、名)/NOCLAUTH DATA(注釋) DFLTGRP(組名) DFP(DATAAPPL(應(yīng)用名) DATACLAS(DATACLASS名)MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORAGE CLASS名) GRPACC/NOGRPACC MODEL(數(shù)據(jù)集名) NAME(用戶名) OMVS(HOME(工作目錄名) PROGRAM(SHELL程序名) UID(用戶標識) OPERATIONS/NOOPERATIONS OWNER(用戶或組名) PASSWORD(口令)/NOPASSWORD SECLABEL(安全標識名) SECLEVEL(安全級別名)

42、SPECIAL/NOSPECIAL UACC(訪問權(quán)限) WHEN(DAYS(日期)TIME(時間) 定義一個用戶應(yīng)具備以下權(quán)限之一：具有SPECIAL屬性。如果你是所定義的用戶的默認的組的擁有者，或者你具備所定義的用戶所在的默認組的JOIN授權(quán)，或者所定義的用戶的組在你的GROUP SPECIAL屬性范圍之內(nèi)，并且你的CLAUTH必須是USER。 顯然，你不能定義一個權(quán)限比你高的或權(quán)限范圍超出你的范圍的用戶。如果你要給新用戶OPERATIONS、SPECIAL或AUDITOR屬性，或給用戶分配安全類別，則你必須具有SPECIAL屬性。如果你要同時定義除RACF段以外其他段的內(nèi)容，則你必須具有

43、SPECIAL屬性，或?qū)@些段具有至少UPDATE權(quán)限。 定義用戶的步驟： 步驟1：確定用戶ID、所在組、擁有者、口令、登錄的時間限制、屬性、安全標識、及各個段的FIELD。 步驟2：創(chuàng)建用戶PROFILE。 例如：定義一個用戶STEVEH，它是DEPTA的成員，擁有者是DEPTA，用戶真正的名字是STEVE H.，指定初始登錄時的口令是R316VQX，當然這個口令在用戶第一次登錄后RACF會強制用戶修改，使用TSO登錄時使用的賬號是123456，使用的登錄進程是PROC01。 ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME(STEVE H.)

44、PASSWORD(R316VQX) TSO(ACCTNUM(123456) PROC(PROC01) 步驟3：創(chuàng)建用戶數(shù)據(jù)集的PROFILE。例如定義用戶的數(shù)據(jù)集PROFILE，其名字是STEVEH.*，也就是說凡HLQ是STEVEH的數(shù)據(jù)集均受該PROFILE的保護，其UACC是NONE。 ADDSD STEVEH.* UACC(NONE) 步驟4：如果用戶打算創(chuàng)建自己的通用資源PROFILE，授權(quán)適當?shù)念惤oCLAUTH屬性。 步驟5：如果用戶要訪問RACF保護的資源，則可用以下兩種方式中的任一種： (1)把用戶連接到可以訪問這一資源的組中。例： CONNECT STEVEH GROUP(D

45、EPTA) OWNER(DEPTA) (2)指定用戶可以使用這一資源。例如，要給用戶STEVEH使用TSO登錄過程CUSTPROC的權(quán)限，可以發(fā)布以下命令：PERMIT CUSTPROC CLASS(TSOPROC) ID(STEVEH) ACCESS(READ)刪除一個用戶可用命令DELUSER，其格式為：DELUSER/DU (用戶ID)要刪除一個用戶，你必須具有以下權(quán)限之一：具有SPECIAL屬性如果你具有GROUP SPECIAL，則要刪除的用戶必須在你管轄范圍內(nèi)。你是用戶PROFILE的擁有者。 注意：要刪除一個用戶，在其默認的組中具有JOIN權(quán)限的用戶其權(quán)限是不夠的。還需要具有US

46、ER類的授權(quán)。 可以用一條命令刪除多個用戶，只需把多個用戶的用戶ID用括號擴起來即可。當然，用戶必須首先存在，并且用戶不再擁有在RACF中的定義的數(shù)據(jù)集。 刪除一個用戶的步驟： 步驟1：掛起這個用戶。 ALTUSER 用戶ID REVOKE 步驟2：如果用戶已登錄在系統(tǒng)中，或有作業(yè)在運行，請求系統(tǒng)操作員將其刪除。 步驟3：找出所有與該用戶有關(guān)的數(shù)據(jù)集，如果數(shù)據(jù)集是該用戶的，將其刪除或改變擁有者，當然如果數(shù)據(jù)集的PROFILE是分離的，則應(yīng)當將其PROFILE也一并刪除；如果用戶在數(shù)據(jù)集的訪問列表中，則將用戶ID從訪問列表中刪除。 步驟4：刪除這個用戶。DELUSER SIVLE改變用戶的屬性：

47、改變用戶的屬性可用ALTUSER/ALU命令，其語法格式與創(chuàng)建用戶一樣。當改變一個用戶時，這個用戶正好在系統(tǒng)中，則其改變的屬性（除OWNER和AUTHORITY外），并不起作用，只有用戶LOGOFF后，再次登錄進來，才會起作用，盡管你用LISTUSER命令顯示出的屬性已改變。改變一個用戶屬性所需的授權(quán)根據(jù)你要改變的屬性而定：如果具有SPECIAL屬性，你可以改變?nèi)魏螌傩?。如果用戶在你的GROUP SPECIAL管轄范圍內(nèi)，你可以改變除SPECIAL、AUDITOR及OPERATION之外的任何屬性。如果你是用戶的擁有者，你可以改變用戶的如下屬性：MODEL/NOMODEL、PASSWORD/N

48、OPASSWORD、DATA/NODATA、NAME、DFLGRP、GRPACC/NOGRPACC、OWNER、RESUME/REVOKE、WHEN。每個用戶都可改變他自己真正的名字、默認的組及MODEL文件(NAME、DFLGRP、MODEL)。要分配或刪除一個用戶的安全類別，你必須具有SPECIAL屬性，或安全類別在你的PROFILE中。要分配或刪除一個用戶的安全級別，你必須具有SPECIAL屬性，或者你的安全級別比你要改變的用戶的安全級別高。改變用戶的安全標識也是這樣。改變一個用戶的口令可用PASSWORD命令，其語法格式為：PASSWORD/PW INTERVAL(口令間隔時間)/NO

49、INTERVAL PASSWORD(當前口令 新口令) USER(用戶ID)命令中口令間隔時間指用戶在多少天內(nèi)必須改變自己的口令。使用PASSWORD參數(shù)可以改變自己的口令，當然你必須知道自己的舊口令。如果使用了PASSWORD參數(shù)，就不能使用USER參數(shù)。USER參數(shù)用于授權(quán)的用戶RESET其他用戶的口令。所謂RESET用戶的口令，指把一個用戶的口令改為默認的口令。默認的口令是用戶默認的組的組名。如果同時指定了這兩個參數(shù)，PASSWORD參數(shù)會被忽略。如果你是一個普通用戶，你在第一次登錄或你的口令被RESET之后第一次登錄，或者你的口令間隔時間已到，你必須改變口令。所謂RESET口令值把口令

50、改為默認的值(即用戶默認組的組名)。用戶可以RESET自己的口令。如果要改變其他用戶的口令或口令間隔時間，則必須具有SPECIAL屬性，或GROUP SPECIAL屬性并且用戶在你的管轄范圍之內(nèi)，或者是用戶的擁有者。顯示用戶的信息可用LISTUSER命令。在RACF段中可顯示出用戶ID、PROFILE的擁有者、用戶被定義的時間、默認的組、上次口令改變時間、口令的時間間隔、用戶的屬性、上次登錄的時間、授權(quán)定義PROFILE的類、注釋、默認的數(shù)據(jù)集模版PROFILE名、REVOKE或RESUME的日期、安全標識、安全級別及安全類別、連接到的組的組名、在所連接的組中的授權(quán)、誰把用戶連接到組中、連接的

51、日期、在所連接的組中登錄的次數(shù)、上次以該組身份登錄的日期、默認的通用訪問權(quán)限、連接屬性等信息。如果指定其他段，還可顯示出其他段的詳細信息。LISTUSER命令的語法格式如下：LISTUSER/LU (用戶ID)/* CICS DCE DFP LANGUAGE NETVIEW NORACF OMVS OPERPARM OVM TSO WORKATTR其中的參數(shù)大多指定所要顯示的段。但NORACF表示不顯示RACF段的內(nèi)容。要使用該命令列出用戶PROFILE中的RACF段的內(nèi)容，你必須是該PROFILE的擁有者，或具備SPECIAL或AUDITOR權(quán)限，或具備GROUP SPECIAL或GROUP

52、 AUDITOR權(quán)限并且在你的權(quán)限范圍內(nèi)。如果你的系統(tǒng)中使用了安全類別，那么你的安全級別必須大于等于用戶的安全級別，并且你的安全類別必須包含了用戶的安全類別。以下是一個用LISTUSER命令列出系統(tǒng)中用戶WANGX的內(nèi)容：USER=WANGX NAME=WANG XIAOSHAN OWNER=SYS1 CREATED=98.077 DEFAULT-GROUP=SYS1 PASSDATE=99.349 PASS-INTERVAL= 30 ATTRIBUTES=SPECIAL OPERATIONS ATTRIBUTES=AUDITOR REVOKE DATE=NONE RESUME DATE=NO

53、NE LAST-ACCESS=99.358/16：35：30 CLASS AUTHORIZATIONS=NONE NO-INSTALLATION-DATA NO-MODEL-NAME LOGON ALLOWED (DAYS) (TIME) ANYDAY ANYTIME GROUP=SYS1 AUTH=USE CONNECT-OWNER=SYS1 CONNECT-DATE=98.077 CONNECTS= 2，994 UACC=NONE LAST-CONNECT=99.358/16：35：30 CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DAT

54、E=NONE GROUP=USER AUTH=USE CONNECT-OWNER=WANGX CONNECT-DATE=98.292 CONNECTS= 00 UACC=ALTER LAST-CONNECT=UNKNOWN CONNECT ATTRIBUTES=NONESECURITY-LEVEL=NONE SPECIFIEDCATEGORY-AUTHORIZATION NONE SPECIFIED SECURITY-LABEL=NONE SPECIFIEDTSO INFORMATION ACCTNUM= ACCT# PROC= IKJACCNT SIZE= 00004096 MAXSIZE=

55、 00000000 UNIT= SYSDA USERDATA= 0000 COMMAND= NO DFP INFORMATION NO CICS INFORMATION NO LANGUAGE INFORMATION NO OPERPARM INFORMATION OMVS INFORMATION UID= 0000000000HOME= /PROGRAM= /bin/sh從上述命令的輸出結(jié)果可以看出，用戶名為WANGX，真實姓名WANG XIAOSHANG，擁有者SYS1，默認的組SYS1，口令每隔30天必須修改一次，屬性有SPECIAL、OPERATION和AUDITOR，連接到SYS1、

56、USER組中，可以在任何時間登錄，無安全標識和安全級別，無DFD和CICS段。在OE的UID為0，工作目錄為/，SH為/bin/sh，這意味著該用戶在OE中是超級用戶。此外還記錄了用戶的創(chuàng)建時間、上次登錄時間和口令的修改時間。622連接一個用戶到一個組連接一個用戶到一個組就是把一個用戶以一定的權(quán)限加入到一個組中，可用命令： CONNECT/CO (用戶ID) GROUP(組名) OWNER(用戶ID或組名) AUTHORITY(USE，CREATE，CONNECT，JOIN) SPECIAL/NOSPECIAL OPERATION/NOOPERATIONS AUDITOR/NOAUDITOR

57、REVOKE(日期) UACC(訪問權(quán)限) 例如：把用戶TOM連接到DIVACUSR組中，使其成為DIVACUSR組中的一個成員，連接的屬性為USE。 CO TOM GROUP(DIVACUSR) 把一個用戶從某個組中去除可用命令： REMOVE/RE (用戶ID) GROUP(組名) OWNER(用戶ID或組名) 把一個用戶從一個組中去除并不意味著該用戶被徹底從系統(tǒng)中刪除，它僅僅使該用戶不是指定的組的成員。例如，將用戶TOM從DIVACUSR組中去除： RE TOM GROUP(DIVACUSR) 一個用戶不能從其默認的組中去除。當一個用戶被連接到一個組中時，正好這個用戶已登錄在系統(tǒng)中，則這

58、個用戶必須LOGOFF，然后再LOGON，他才能具有基于這個組的權(quán)限。同樣，如果一個用戶從一個組中被去除時，正好這個用戶已在系統(tǒng)中，則這個用戶必須LOGOFF，然后再LOGON，他才能喪失基于這個組的權(quán)限。623分散式的用戶及組管理集中式的用戶和組管理是指系統(tǒng)中所有用戶和組都由一個管理員管理，即這個管理員具有系統(tǒng)范圍的SPECIAL屬性。分散式的管理則允許系統(tǒng)安全管理員放權(quán)給其他用戶，讓他們負責一部分安全管理。一般來講，應(yīng)首先考慮使用集中式管理。如果一定要實行分散式管理，則可以在特定的范圍內(nèi)給某個用戶GROUP SPECIAL屬性，并改變用戶的CLAUTH屬性，使其具有定義某類PROFILE的

59、權(quán)限。當然，這種放權(quán)一定要謹慎，具有GROUP SPECIAL的用戶一定要可靠?；蛘呷绻阒恍枰獌H對一個組有特定的權(quán)限，你可給他JOIN授權(quán)并使其具有定義某類PROFILE的權(quán)限。GROUP SPECIAL和JOIN屬性在用戶連接到特定的組中時指定實現(xiàn)。而CLAUTH屬性則需要在定義用戶時指定。同樣，OPERATIONS和AUDITOR屬性也可以以類似的方式來放權(quán)。圖6.3 放權(quán)管理的一個示例圖6.3是一個放權(quán)管理的實例。在此例中，F(xiàn)RED以GROUP SPECIAL的屬性連接到DIVA組中， 則FRED 可以管理擁有者是DIVA或其子組的所有組和用戶。同樣，MARY也以GROUP SPECI

60、AL的屬性連接到DIVAUADM組中，F(xiàn)RED 可以管理擁有者是DIVAUADM或其子組的所有組和用戶。LEADSA是系統(tǒng)的安全管理員，他當然仍然可以管理整個系統(tǒng)的所有用戶和組。但是如果我們把組DIVAUADM的擁有者改為LEADSA，則FRED就不能管理DIVAUADM組了，盡管DIVAUADM是DIVA的一個子組。因為DIVAUADM的擁有者不是DIVA或其子組了。 具有GROUP SPECIAL屬性的用戶如果同時具有CLAUTH（指定的類名），則他可以保護擁有者是其所連接的組或其子組的指定類的通用資源或數(shù)據(jù)集。在圖6.4中，ANN具有GROUP SPECIAL及CLAUTH（TCICST