Stichpunkte

Allgemein
	RACF (Resource Access Control Facility) ist IBMs Implementation der Sicherheitschnittstelle SAF (System Authorization Facility) des Großrechnerbetriebssystems MVS (Kern des z/OS)
	die es erfüllt sind: Identifikation und Verifikation der User mittels Benutzerschlüssel und Passwortprüfung Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte Logging der Zugriffe auf geschützte Ressourcen. Der RACF-Administrator pflegt mittels RACF-Kommandos die RACF-Datenbank
	Die Hauptfunktionen
	die zu schützenden Ressourcen (Resources) und Gruppen (Groups). Inhaltsverzeichnis showTocToggle("Anzeigen"
	"Verbergen") 1 Userids 2 Ressourcen 3 RACF-Gruppen 4 Resource-Manager [Bearbeiten]
	Diese enthält in sogenannten Profilen die Benutzerschlüssel (Userids)
Userids
	CICS oder IMS an einem Terminal einloggen oder auch Server-Prozesse ("Started Tasks" im MVS-Sprachgebrauch)
	User des Systems sind natürliche Personen
	die sich mit einer RACF-Userid in einem Onlinesystem wie TSO
	denen ein RACF-Administration eine Userid zugeordnet hat
	ob die Userid gesperrt (revoked) ist
	ob sie ein RACF-Systemadministrator (special) ist
	In einem User-Profil speichert RACF neben Namen des Users statistischen Informationen und weitere Informationen: Änderungsdatum des Passwords Letzte Benutzung der Userid Vermerke
	die die Nutzung der MVS-Teilsysteme wie Unix
	Weitere Eigenschaften
	CICS
	TSO oder des Dateisystems beschreiben und festlegen. [Bearbeiten]
Ressourcen
	z.B
	Terminals
	Ressourcen sind klassisch Dateien
	was eine Installation für schützenswert erachtet
	Bänder
	heute jedoch ganz abstrakt alles
	Namen von Online-Transaktionen oder die Erlaubnis
	das Passwort eines anderen Benutzers zurückzusetzen
	Konsolenbefehle
	Eine Ressource wird durch ein Ressourcen-Profil geschützt
	Ein Ressourcen-Profil wird identifiziert durch einen Klassenamen (z.B
	DATASET) und einen Namen
	der die zu schützende Ressource vollständig (diskretes Profil) oder teilweise (generisches Profil beschreibt
	Z.B. schützt das generische DATASET-Profile SYS1.** alle Dateien
	welches um eine Liste spezifischer Zugriffrechte für einzelene Benutzer oder Benutzergruppen erweitert werden kann
	die mit SYS1. beginnen. Ein Profil legt den sogenannten Universal Access fest
	beinhaltete UPDATE ALTER: Bei Dateien uneingeschränkter Zugriff: Anlegen
	Umbennen der Datei
	die von den Ressourcenmanagern des z/OS (siehe unten) in naheliegender Weise interpretiert werden: NONE: Kein Zugriff READ: Bei Dateien lesender Zugriff UPDATE: Bei Dateien schreibender Zugriff
	Löschen
	RACF kennt fünf Stufen von Zugriffsrechten
	beinhaltet READ CONTROL: Bei Dateien schreibender Zugriff
	beinhaltet CONTROL [Bearbeiten]
RACF-Gruppen
	Hinter RACF-Gruppen steht ein komplexes Konzept: Zum einen können sie verwendet werden
	um Userids zusammenzufassen und dann Vollmachten dann an diese Gruppe statt an jeden einzelnen User zu geben
	Ein User kann beliebig vielen Gruppen angehören und genießt die Summe der Vollmachten aller Gruppen
	denen der angehört. Gruppen sind hierarchisch organisiert: Die oberste Gruppe heißt SYS1
	Diese Hierarchie ist die Basis dafür
	die RACF-Administration nach organisatorischen Gesichtspunkten zu dezentralisieren
	hat er auch Administrationsrechte für alle Untergruppen dieser Gruppe. [Bearbeiten]
	Wenn ein User mit Administrationsrechten zu einer Gruppe verbunden ist
Resource-Manager
	RACF
	d.h. eigentlich SAF
	arbeitet passiv
	Die Nutzer des Systems greifen mittels eines Ressourcenmanagers auf eine Ressource zu
	ob der Zugriff gestattet ist
	Der jeweilige Ressourcenmanager bildet einen Ressourcenamen und fragt dann SAF
	SAF/RACF antwortet mit ja
	nein oder "weiß nicht" (nämlich dann
	wenn die Resource nicht durch ein Profil geschützt ist)
	Das Subsystem gestattet daraufhin die Nutzung der Ressource (oder auch nicht)
	Beispiele für Ressource-Manager sind das Dateisystem des Betriebssystems zOS mit den Ressource Datei oder CICS mit der Ressource (unter vielen anderen) Transaktionskode
	Es ist auch möglich
	dass es die Datenbank-Vollmachten nicht mit SQL-Grants im eigenen Katalog sondern als RACF-Ressourcen im RACF ablegt.
	das Datenbanksystem DB2 so zu fahren

Dieser Artikel basiert auf dem Artikel RACF aus der freien Enzyklopädie wikipedia und steht unter der GNU Lizenz für freie Dokumentation. In der wikipedia ist eine Liste der Autoren verfügbar.