mercredi 27 mai 2009

mise en oeuvre du passticket IMS & CICS

L'usage du passticket en remplacement du password pour l'authetificqation des accès aux mainframe IBM sous le système de sécurité RACF est maintenant répandue
Toutefois le passticket étant non rejouable par défaut, chaque authentification doit présenter un nouveau passticket pour un même utilisateur, une même application cible sur le mainframe (IMS, CICS ...) et un même groupe (au sens RACF connect group)

Le passticket utilisé sur une session 3270 n'est utilisé qu'à l'établissement de la session. Les messages échangés au cours de cette session ne sont pas authentifiés.
Mais lorsque le passticket est utilisé en mode service, chaque accès doit porter un nouveau passticket, car il n'existe pas comme en SNA 3270 de session.

Le mode service pour IMS utilise le connecteur IMS Connect. Pour CICS, il utilise le connecteur ECI et peut être associé au bridge pour accéder des transactions en mode écran.

Comment éviter alors d'engendrer une forte augmentation de la consommation de ressources de RACF qui va être sollicité à chaque authentification ?

Pour IMS Connect, il existe IMS Connect Extension qui cache les passwords durant une période paramétrable dans une ACEE Ageing Table; évitant ainsi de faire appel à RACF systématiquement. Mais ce caching ne fonctionne pas pour des passtickets. Il entre en fonction pour un même userid, password et connect group et dans la limite de temps donnée.
Pour forcer IMS Connect Extension à cacher des passticket, il faut rejouer le passticket et ne le regénérér que s'il est rejeté.

Pour CICS il n'y a pas d'équivalent. la seule solution est de rendre le passticlet rejouable en précisant RDEFINE applname APPLDATA(’NO REPLAY PROTECTION’) dans la définition RACF.
Et si on veut cloisonner plusieurs environnements qui générent des passtickets, on peut définir plusieurs passtickets pour une même application. L'une avec et l'autre sans la protection contre le REPLAY
exemple:
- RDEFINE applname pour tout le monde
- RDEFINE applname.groupname APPLDATA(’NO REPLAY PROTECTION’) pour l'application qui utilise le REPLAY dans la limite de temps des 10 mn fixée par RACF.
Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)