Aktivieren von MFA auf Ihrem System

Online bearbeiten

Um die Multi-Faktor-Authentifizierung (MFA) auf Ihrem System zu aktivieren, muss der Administrator das Sicherheitsattribut Zusätzlicher Anmeldefaktor aktivieren.

Das Sicherheitsattribut Zusätzlicher Anmeldefaktor ist für die Verwendung der *TOTP-Authentifizierungsmethode erforderlich. Der zusätzliche Faktor muss ein TOTP-Wert sein.

Wenn nur die *REGFAC-Authentifizierungsmethode verwendet wird, kann das Exit-Programm einen zusätzlichen Faktor erfordern, weshalb das Sicherheitsattribut Zusätzlicher Anmeldefaktor aktiviert werden muss. Wenn das Exit-Programm keinen zusätzlichen Faktor erfordert, muss das Sicherheitsattribut Zusätzlicher Anmeldefaktor nicht aktiviert werden. Die Art des Zusatzfaktors wird durch das Exit-Programm festgelegt.

So aktivieren Sie das Sicherheitsattribut Zusätzlicher Anmeldefaktor:

Die Sicherheitsstufe muss mindestens 40 und die Passwortstufe mindestens 4 betragen.
Schnittstellen, die die aktuelle Sicherheitsstufe und die aktuelle Kennwortebene anzeigen:
- Befehl Sicherheitsattribute anzeigen (DSPSECA)
- Erweitern Sie unter IBM Navigator für i die Option Sicherheit > MFA-Konfiguration. Klicken Sie auf Informationen zur Sicherheitskonfiguration
Wenn die Sicherheitsstufe geändert werden muss, lesen Sie den Systemwert Systemsicherheit (QSECURITY), um zu verstehen, welche Auswirkungen eine Änderung hat.

Wenn die Passwortebene geändert werden muss, lesen Sie den Abschnitt Planung von Änderungen der Passwortebene, um zu verstehen, welche Auswirkungen eine Änderung hat.
Ändern Sie das Sicherheitsattribut Zusätzlicher Anmeldefaktor, wenn es nicht bereits *ENABLED ist.
Schnittstellen, die den aktuellen Wert des zusätzlichen Anmeldungsfaktors anzeigen:
- Befehl Sicherheitsattribute anzeigen (DSPSECA)
- Erweitern Sie unter IBM Navigator für i die Option Sicherheit > MFA-Konfiguration. Klicken Sie auf Informationen zur Sicherheitskonfiguration.
Schnittstellen, die den Wert des zusätzlichen Anmeldungsfaktors ändern:
- Befehl Change Security Attributes (CHGSECA), Parameter Additional sign-on factor (ADLSGNFAC).
- Erweitern Sie unter IBM Navigator für i die Option Sicherheit > MFA-Konfiguration.
  - Klicken Sie auf Informationen zur Sicherheitskonfiguration.
  - Klicken Sie mit der rechten Maustaste auf Additional Signon Factor und wählen Sie Change.
  - Wählen Sie im Bereich Zusätzlichen Anmeldefaktor ändern die Option Aktiviert aus dem Pulldown-Menü Zusätzlicher Anmeldefaktor.
  - Speichern anklicken
Wenn das SST-Sicherheitsattribut die Änderung dieses Attributs nicht zulässt, verwenden Sie den Befehl Change SST Security Attributes (CHGSSTSECA), um den Parameter Change additional sign-on factor (CHGADLSGN) auf *YES zu setzen. Beginnen Sie dann wieder bei Schritt 2.

Um die Änderung des Sicherheitsattributs Zusätzlicher Anmeldefaktor zu verbieten, nachdem Sie es auf den gewünschten Wert gesetzt haben, verwenden Sie den Befehl Change SST Security Attributes (CHGSSTSECA), um den Parameter Change additional sign-on factor (CHGADLSGN) auf *NO zu setzen.

Wenn Sie einen benutzerdefinierten Anmeldebildschirm haben, müssen Sie einen neuen auf der Grundlage von QDSIGNON3 erstellen, bevor Sie IPL durchführen. Weitere Informationen finden Sie unter Anzeigedatei für den Anmeldebildschirm und Erstellen einer Anzeigedatei.

Wenn der zusätzliche Anmeldefaktor von *DISABLED auf *ENABLED geändert wird, muss das System einen IPL durchführen, damit der ausstehende Wert wirksam wird.
Richten Sie optional den Network Time Protocol (NTP)-Client ein, um die Zeit auf den Geräten zu synchronisieren. Weitere Informationen finden Sie unter Zeitsynchronisierung über das Network Time Protocol (NTP).

So aktivieren Sie die *REGFAC-Authentifizierungsmethode:

Registrieren Sie das Exit-Programm QIBM_QSY_AUTH in der Registrierungseinrichtung, verwenden Sie eine der folgenden Schnittstellen:

Befehl "Programm beenden" (ADDEXITPGM). Die Standardwartezeit für den Abschluss der Verarbeitung durch das Exit-Programm beträgt 10 Sekunden. Um die Wartezeit zu ändern, verwenden Sie den Parameter Programmdaten (PGMDTA). Dadurch wird die Wartezeit beispielsweise auf 20 Sekunden geändert:
```
ADDEXITPGM EXITPNT(QIBM_QSY_AUTH) FORMAT(AUTH0100) PGMNBR(1) PGM(your_library/your_exit_pgm) REPLACE(*YES) CRTEXITPNT(*NO) PGMDTA(*JOB *CALC 20)
```
Erweitern Sie unter IBM Navigator für i die Option Sicherheit > MFA-Konfiguration.
- Klicken Sie auf Punkt Authentifizierung beenden...
- Klicken Sie mit der rechten Maustaste auf den Namen des Exit-Points QIBM_QSY_AUTH und wählen Sie Exit-Programm hinzufügen.
- Geben Sie im Bereich Exit-Programm hinzufügen den Namen des Exit-Programms in das Feld Programm und den Namen der Bibliothek in das Feld Bibliothek ein.
- OK anklicken