RACF详解：ZOS主帧的控制与命令管理

本文档主要介绍了IBM大型机操作系统OS/390中的RACF（Resource Access Control Facility），这是一种安全子系统，用于用户验证、资源访问控制、记录和报告以及安全管理。RACF通过用户ID和口令确认用户身份，并通过PROFILE管理用户权限，确保数据集的安全。 RACF是OS/390的核心组件，其主要职责包括： 1. 用户证实：RACF使用用户ID和初始口令进行用户验证，用户首次登录时必须更改口令。每个用户都有一个PROFILE，包含用户ID、属性、安全分类、所属组等信息。用户可以通过加入不同组获取不同权限。 2. 资源授权管理：RACF控制用户对资源的访问，如数据集、终端、控制台、CICS和IMS交易等。每个资源都有一个PROFILE，定义了访问权限、UACC（通用访问权限）和审计信息。 3. 记录和报告：RACF允许具有AUDITOR属性的用户设置事件记录，如成功或失败的访问尝试，记录信息可发送至RMF数据集和系统控制台，或通知特定用户。 4. 安全管理：RACF定义了不同级别的用户，如普通用户、具有SPECIAL属性的用户（可管理PROFILE但不能直接访问资源）和具有OPERA属性的用户（操作员权限，可执行特定操作）。 在控制台及命令控制方面，RACF允许在CONSOLE类中定义PROFILE来管理控制台的访问权限，例如限制OPER1操作员只能执行ERAD命令。而在OPERCMDS类中，可以定义命令PROFILE来控制操作员能发布的命令，如SUBSYSTEM.COMMAND.SUBFUNCTION.OBJECT格式的PROFILE。 通过RACF，系统管理员可以精细地控制用户对系统的访问，确保系统的安全性，并通过审计功能追踪潜在的不安全行为。这对于大型机环境的安全运维至关重要，因为它能够防止数据的未经授权的访问、修改或泄露。