Открыть сервис

RACF

RACF (Resource Access Control Facility) — это программный продукт компании IBM, представляющий собой систему управления доступом к ресурсам в операционной системе z/OS (ранее OS/390, MVS). RACF является одной из основных подсистем безопасности для мейнфреймов IBM, обеспечивающей аутентификацию пользователей, авторизацию доступа к данным, программам и системным ресурсам, а также аудит событий безопасности.

История

Разработка RACF началась в середине 1970-х годов в ответ на растущие требования к безопасности корпоративных данных, хранящихся на мейнфреймах. Первая версия продукта была выпущена в 1976 году для операционной системы MVS/370. До появления RACF защита ресурсов на мейнфреймах IBM была децентрализованной и полагалась на механизмы операционной системы и отдельных приложений.

В 1980-х годах, с ростом популярности мейнфреймов в банковском, страховом и государственном секторах, RACF стал стандартом де-факто для централизованного управления доступом. Версия 2.0, выпущенная в 1985 году, ввела поддержку шифрования паролей и более гибкие правила доступа. В 1990-х годах функциональность была расширена для поддержки распределённых сред и сетевых протоколов.

С появлением операционной системы OS/390 в 1996 году RACF был глубоко интегрирован в ядро системы, что позволило управлять доступом не только к файлам и программам, но и к системным вызовам и ресурсам CICS, IMS и DB2. В версии z/OS 1.x (начало 2000-х) RACF получил поддержку PKI (инфраструктуры открытых ключей) и LDAP-каталогов. Современные версии, поставляемые в составе z/OS, поддерживают многофакторную аутентификацию, токены безопасности и интеграцию с облачными средами.

Архитектура и принципы работы

RACF функционирует как подсистема безопасности (Security Subsystem) в адресном пространстве z/OS. Основными компонентами являются:

Объекты управления

RACF оперирует несколькими типами ресурсов, каждый из которых защищается через класс профилей:

Класс ресурсаОписаниеПримеры
DATASETЗащита наборов данных (файлов)SYS1.PARMLIB, PROD.PAYROLL
GENERAL RESOURCEОбщие ресурсы (программы, команды, терминалы)Включает подклассы: CICS, IMS, JES, TSOAUTH
PROGRAMОграничение запуска программ по имениIKJEFT01, ACMD
USERПрофили пользователейИндивидуальные учётные записи
GROUPГруппы пользователейSYSADMIN, DEVELOPER
CONNECTСвязь пользователей с группамиЧленство с уровнем доступа (OWNER, CREATE, USE)
APPLПрикладные ресурсыПриложения, зарегистрированные в системе

Аутентификация и авторизация

Аутентификация

Процесс входа пользователя в систему (LOGON) включает следующие шаги:

  1. Пользователь предоставляет идентификатор (USERID) и пароль (PASSWORD).
  2. RACF проверяет, существует ли профиль пользователя, не заблокирован ли он и не истёк ли срок действия пароля.
  3. Пароль сверяется с хешированным значением в базе данных (используются алгоритмы DES, SHA-256 в зависимости настройки).
  4. При успешной аутентификации создаётся сессионный токен (ACEE — Accessor Environment Element), который связан с пользователем на всё время работы.

Современные версии поддерживают дополнительную аутентификацию через:

Авторизация

При доступе к защищённому ресурсу RACF выполняет следующие проверки:

  1. Определяется класс ресурса и имя профиля (например, DATASET для набора данных PROD.PAYROLL).
  2. Из контекста сессии (ACEE) извлекается USERID и список групп пользователя.
  3. Проверяется, соответствует ли запрашиваемый доступ (READ, UPDATE, CONTROL, ALTER) установленным разрешениям в профиле.
  4. Разрешение может быть унаследовано через членство в группе или задано напрямую.
  5. При совпадении доступа ресурс открывается; при несовпадении выводится сообщение об ошибке (например, IEF452I).

Администрирование и безопасность

Управление RACF осуществляется системными администраторами или специальными группами безопасности. Основные возможности включают:

Для повышения безопасности применяются концепции:

Применение и критика

RACF является основным средством защиты на мейнфреймах IBM и используется в банках, страховых компаниях, государственных учреждениях, авиакомпаниях и промышленных предприятиях по всему миру. Типичные сценарии применения:

Критика RACF связана с его сложностью и высокой стоимостью лицензирования. Продукт требует квалифицированных администраторов, знакомых с z/OS и RACF-синтаксисом. Также отмечается, что база данных RACF может стать узким местом при высоких нагрузках, и необходима тщательная настройка кэширования. В крупных системах альтернативами RACF выступают продукты сторонних вендоров, такие как ACF2 (CA) или Top Secret (CA).

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →