News
Abstract
【概要】
従来、TSOログオン時にユーザー名を入力すると、ユーザーがRACFに定義されている場合Full Screen Log On Panel が表示され、またそのパネルでそのユーザーのLogon ProcedureやAccount Numberなどが表示されてしまい、セキュリティの観点から以下のような問題がありました。
ある ユーザーID がシステムに存在することがわかってしまうと、そのユーザーID から類推されるパスワードを使ったアタックが行われ、アタックの成功率が上がってしまうと考えられている。
TSO の場合にはパスワードを入力しなくても Account Number, Logon Procedure などの属性情報がFull Screen Log On Panelに表示される。例えば、他人のLogon Procedureの属性情報を使ってログオンされると、情報漏えいの可能性がある。
z/OS V2R2以降、セキュリティの強化のため password preprompt機能が登場しましたので、その機能についてご紹介いたします。将来的にはこの機能がオンになっていることがデフォルトになる可能性があります。(*1)
お客様のセキュリティー・ポリシーに合わせて機能の使用をご検討ください。
【対象製品/環境】
・z/OS V2R2以降
・APAR:OA44855が適用された z/OS V1R13 ~ V2R1
Content
IKJTSOxxメンバーでPASSWORDPREPROMPT パラメーターをONにすると、ユーザーIDとパスワードの入力が求められます。
その2つの認証が通れば、Logon ProcedureやAccount Numberなどが表示されるため、セキュリティ面が強化されます。
設定方法については以下のマニュアル(*2)をご参照ください。
IKJ56700A ENTER USERID -
GOTO
IKJ56700A ENTER USERID -
GOTO
IKJ56476I ENTER PASSWORD
"パスワード非表示"
***
◇password preprompt機能がオンの場合 (ログオン失敗例)
IKJ56700A ENTER USERID -
GOTO
IKJ56476I ENTER PASSWORD
"パスワード非表示"
IKJ56474I USERID OR PASSWORD IS INCORRECT OR NOT AUTHORIZED
******
※IKJ56474Iは新規メッセージ
【注意事項】
・password preprompt機能をオンにすると、TSO/EユーザーIDやパスワードに影響するTSO/E Exit処理が想定どおりに動かない可能性があるため、TSO/E ログオンExitの更新が必要になる可能性があります
・password preprompt機能をオンにすると、UADSユーザーはRACFが非活動にならない限りログオンできなくなります
【参考資料】
(*1) IBM Education Assistance for z/OS V2R2
http://www.redbooks.ibm.com/iea/v2r2/pdf/zOS_V2R2_TSOE_Logon_Changes.pdf
Topic:Activating passwordpreprompt support
https://www.ibm.com/support/knowledgecenter/ja/SSLTBW_2.3.0/com.ibm.zos.v2r3.ikjb400/passwordpreprompt.htm
https://www-01.ibm.com/support/docview.wss?uid=isg1OA44855
Was this topic helpful?
Document Information
Modified date:
02 September 2021
UID
ibm16485905