Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Manual de Entrenamiento IBM Security zSecure Audit 2.2

Anuncio 
Manual de Entrenamiento
IBM Security zSecure Audit 2.2
Índice
OBJETIVO ............................................................................................................................4
DESCRIPCIÓN .....................................................................................................................4
ARQUITECTURA.................................................................................................................5
FUENTES DE DATOS ..........................................................................................................6
ANTES DE INICIAR ............................................................................................................7
USUARIO DE TSO ...............................................................................................................7
ACCESO AL zSecure ............................................................................................................7
zSecure Admin ...................................................................................................................8
OBJETIVOS DEL ENTRENAMIENTO DE zSecure Admin .............................................8
VERIFICANDO LA CONFIGURAÇÃO DEL ARCHIVO DE INPUT..............................9
BORRAR, AGREGAR Y RECREAR DATOS DEL RACF.............................................14
Agregando un nuevo usuario ........................................................................................14
Borrando Usuários:.......................................................................................................16
Recreación de un usuario ..............................................................................................18
COMANDOS PARA El RACF EN LA AGENDA...........................................................21
INFORMACIÓN SOBRE GRUPOS DE RACF ...............................................................22
Listar grupos sem usuarios conectados .........................................................................23
INFORMACIÓN SOBRE DATASETS DE RACF ..........................................................24
Listar perfis de datasets con UACC mayor que READ .................................................25
Comparando ACL del RACF y del zSecure ..................................................................26
Comparar usuarios o grupos ............................................... Error! Bookmark not defined.
Utilizando CARLa CODE ................................................................................................30
Ejercicio 1: Listar usuarios POT* ..............................................................................31
Ejercicio 2: SORTLIST x DISPLAY. Listar Usuarios de un Grupo. .......................31
Ejercicio 3: Lista datos de varios segmentos. ............................................................32
Ejercicio 4: Opción RA.3.G – Comparar más de 4 usuarios. ....................................32
Administración de Seguridad RACF
Security zSecure Admin for RACF
-2-
Administración de Seguridad RACF
Security zSecure Admin for RACF
-3-
OBJETIVO
Este documento irá ayudar el usuario durante el entrenamiento para utilizar las
funcionalidades básicas del producto Security zSecure Audit for RACF. Después del entrenamiento,
este manual será la guía de consultas y ayudará a comprender las funcionalidades.
DESCRIPCIÓN
IBM Security zSecure Admin y Audit para RACF (Resource Access Control Facility)
automatiza muchas las tareas administrativas y permite extraer informes de auditoría. IBM Security
zSecure Admin y Audit para RACF colecta y analiza datos de RACF y z/OS, para que Usted pueda
fácilmente acompañar quien utiliza los accesos con privilegios, implementar reglas para limitar
privilegios de administrador y para auditar el comportamiento del usuario. Security zSecure Admin y
Audit para RACF también mejoran las funcionalidades administrativas y de informes de RACF,
facilitando la seguridad, vigilancia y mantenimiento de sistemas de administración descentralizados.
IBM Security Zsecure Alert envía mensajes de vulnerabilidad ocurridas en el sistema.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-4-
ARQUITECTURA
Diagrama ilustrativo de la arquitectura Security zSecure:
Figura 1 - Arquitectura zSecure
ISPF para interatividad con las interfaces del aplicativo. ermite mayor flexibilidad en la
concepción y utilización del programa de interfaces.
Las funcionalidades que pueden ser ejecutadas de manera interactiva pueden también ser
ejecutadas en modo batch.
IBM Security zSecure Admin y Audit para RACF permiten crear informes personalizados
utilizando la lenguaje propietaria CARLa Audit y Reporting Language (CARLa) y ejecutar estes
informes desde las pantallas ISPF.
CKR_CARLa – Lenguaje propietaria del producto.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-5-
FUENTES DE DATOS
La solución zSecure permite la utilización de entrada de datos de diversas fuentes.
Security zSecure Admin y Audit para RACF generalmente requieren datos de RACF.
Pueden venir a partir de cuatro fuentes:
1. La base de datos principal online del RACF;
2. El Backup del DB primario online del RACF;
3. Datos centralizados del RACF (unload);
4. Copias de las bases de datos de otros ambientes de RACF, o de un DB activo de
RACF de otro sistema.
E viniendo de otras fuentes:
SMF, VSAM, HTTP’s logs, MAN(X) online, CKFREEZE
CKFREEZE colecta datos de I/O del sistema (z/OS, DASD, Hardware etc), como una
fotografia de todo ambiente.
El zSecure Admin utiliza solamente datos del RACF (primario, backup o copia) y archivos
del Access Monitor.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-6-
ANTES DE INICIAR
Siga los procedimientos descriptos en esta sección antes de empezar a usar la
solución.
USUARIO DE TSO
Utilice el usuario POT00xx, con contraseña ZCENTER (expirada). Al entrar, utilice
REGION=999999. ‘xx’ puede ser sustituido de 10 hasta 90.
Certifique que Usted esté conectado al TSO con una region grande para reducir la
utilización de almacenamiento virtual I/O y para mejorar el tiempo de respuesta. La cantidad de
almacenamiento virtual depende del tamaño de su instalación y sobre la información solicitada.
ACCESO AL zSecure
Para ascender al zSecure, vaya a la pantalla ISPF 6 y ejecute:
EX ‘SECURITY.ZSEC220.CKRPARM(CKR)’
Administración de Seguridad RACF
Security zSecure Admin for RACF
-7-
zSecure Admin
OBJETIVOS DEL ENTRENAMIENTO DE zSecure Admin
El primero objetivo de este entrenamiento es explotar el producto zSecure Admin,
demostrando los principales recursos. El entrenamiento no tiene la intención de detallar los
tutorials de configuración, pero demostrar los principales tópicos y algunas características.
Cuando terminar el entrenamiento el alumno estará apto a utilizar el zSecure Admin
para:
Manipular userids, groups, dataset profiles, y recursos generales del RACF;
Agendar ejecución de comandos en el RACF en fecha especificada por el
administrador del ambiente;
Entendimiento de como extraer informes;
Administrar el RACF;
Tiempo de Entrenamiento: 6 horas.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-8-
VERIFICANDO LA CONFIGURAÇÃO DEL ARCHIVO DE INPUT
1.
En la pantalla principal si puede verificar cual “Input Complex” está definida en el
momento. Para verificar, digite en la línea de comando:
=SE.1
Para hacer la selección de los archivos de input.
zSecure Admin+Audit for RACF - Main menu
SE
RA
AU
RE
AM
EV
CO
IN
LO
X
Setup
RACF
Audit
Resource
Access
Events
Commands
Information
Local
Exit
Input complex:
Options and input data sets
RACF Administration
Audit security and system resources
Resource reports
RACF Access Monitor
Event reporting from SMF and other logs
Run commands from library
Information and documentation
Locally defined options
Exit this panel
Active primary RACF data base
Product/Release
5655-N16 IBM Security
5655-N17 IBM Security
5655-N20 IBM Security
5655-N21 IBM Security
zSecure
zSecure
zSecure
zSecure
Admin 2.2.0
Audit for RACF 2.2.0
Visual 2.2.0
Alert for RACF 2.2.0
Administración de Seguridad RACF
Security zSecure Admin for RACF
-9-
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Setup - I Row 1 from 6
(Un)select (U/S/C/M) set of input files or work with la set (B, E, R, I, D or F)
Description
Complex
Active primary RACF data base
ZOS113
selected
CKFREEZE
ZOS113
selected
SMF Online
ZOS113
selected
Active primary RACF database on ZOS111 (remote)
ZOS111
Active backup RACF data base
Active backup RACF data base and live SMF data sets
******************************* Bottom of data ********************************
Utilizaremos solamente el RACF activo para el zSecure Admin. Las otras opciones
(CKFREEZE y SMF Online) pueden, eventualmente, ser desligadas (U, de Unselect).
Vuelva ao menu principal del producto (sucessivos PF3s). En el menu principal, digite RA, para
accesar RACF Administration, o sea, el producto zSecure Admin.
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Main menu
More:
+
SE
Setup
Options and input data sets
RA
RACF
RACF Administration
AU
Audit
Audit security and system resources
RE
Resource
Resource reports
AM
Access
RACF Access Monitor
EV
Events
Event reporting from SMF and other logs
CO
Commands
Run commands from library
IN
Information
Information and documentation
LO
Local
Locally defined options
X
Exit
Exit this panel
Input complex:
ZOS113
Product/Release
5655-N16 IBM Security zSecure Admin 2.2.0
5655-N17 IBM Security zSecure Audit for RACF 2.2.0
5655-N20 IBM Security zSecure Visual 2.2.0
Option ===>
Administración de Seguridad RACF
Security zSecure Admin for RACF
-10-
Opción U - USERID’s (Opción U o =RA.U).
zSecure Admin+Audit for RACF - Main menu
More:
+
Options and input data sets
RACF Administration
User information
Group information
Data set profiles
General resource profiles
Setropts, RRSF, and class settings
One-panel helpdesk options
Quick User Administration
zSecure Visual administration
Access Check
Display and action on profiles with QUEUED commands
Reports with profiles and resources
Specify mass copy/recreate/delete actions
Work with certificates, key rings, filters and tokens
Custom report
Audit security and system resources
SE
RA
Setup
RACF
U
User
G
Group
D
Data set
R
Resource
S
Settings
H
Helpdesk
Q
Quick admin
W
Windows
1
Access
2
Queued
3
Reports
4
Mass update
5
RACDCERT
C
Custom
AU
Audit
Option ===> U
zSecure Admin permite la visualización de todas las propiedades de un usuario a través de la
navegación de pantallas y uso de pop up’s, que permiten administrar todas las funcionalidades del RACF
para el usuario. La próxima pantalla indica la pantalla inicial de pesquisa de usuarios, pantalla esta que
posee patrón común para las pantallas del zSecure.
Podemos dividir esa pantalla en 3 partes distintas. La primera (“Show userids that fit all of the
following criteria”) permite búsqueda en las bases de datos indicadas en la opción SE.1, posibilitando el uso
de “ * “ o “ % “ (este último acepta cualquier caracter).
La segunda parte permite pesquisa más refinada (queries). Para solicitar esas queries
(“Additional selection criteria”), inserir una barra (“ / “) en la frente de los campos.
La tercera (“Output/run options”) indica como los datos serón mostrados (por ejemplo, en la
pantalla, via job batch, email etc, a través de la opción “Print format”) y cuales datos serón mostrados.
Además de esas opciones, la primera línea permite la creación del recurso (“Add new user or
segment”), a través de una barra (“ / “) en la frente del campo.
zSecure Admin+Audit for RACF - RACF - User Add
Userid . . . .
Default group .
Password . . .
Owned by . . .
Password phrase
.
.
.
.
.
.
.
.
.
.
(required)
(required for new userid)
. . .
(twice, required for new userid)
(may also be set in the follow on update dialog)
(9-100 chars, in single quotes)
Administración de Seguridad RACF
Security zSecure Admin for RACF
-11-
/
Define new userid
Add
Add
Add
Add
Add
Add
Add
Add
Command
CICS segment
CSDATA segment
DCE segment
DFP segment
EIM segment
KERB segment
LANGUAGE segment
LNOTES segment
===>
Add
Add
Add
Add
Add
Add
Add
Add
NDS segment
NETVIEW segment
OMVS segment
OPERPARM segment
OVM segment
PROXY segment
TSO segment
WORKATTR segment
En la pantalla RA.U, vamos a listar todos los usuarios de las bases de datos de RACF listadas en la opción
SE.1, utilizando un “ * “ adelante del USERID
Menu
Options
Info
Commands
Setup
zSecure Admin+Audit for RACF - RACF - User Selection
start panel
Command ===>
Add new user or segment
Show userids that fit all of the following criteria
Userid . . . . . . *
(user profile key or filter)
Name . . . . . . .
(name/part of name, en el filter)
Installation data .
(data scan, en el filter except *)
Owned by . . . . .
(group or userid, or filter)
Default group . . .
(group or filter)
Connect group . . .
(group or filter)
Additional selection criteria
Other fields
Absence
Output/run options
Show segments
Print format
Background run
Attributes
Segment
presence
All
Specify scope
Customize title
Send las y-mail
Full page form
Sort differently Narrow print
Esto generará un informe como él abajo.
0 s elapsed, 0.1 s CPU
zSecure Admin+Audit for RACF USER overview
All users
22
User
Complex Name
DfltGrp
irrcerta ZOS113
CERTAUTH Anchor
irrmulti ZOS113
Criteria Anchor
irrsitec ZOS113
SITE Anchor
AAACRU
ZOS113
WAS CR OWNERAACFG
AAADMIN ZOS113
WAS ADMINISTRATOR
AACFG
AAADMSH ZOS113
WAS ASYNCH ADMIN TAS AACFG
AAGUEST ZOS113
WAS DEFAULT USER
AAGUESTG
AAUEAGT ZOS113
AAUEAGT
ADMIN
ABA03
ZOS113
ABA03
DB2ADMIN
ABC001
ZOS113
ABC001
SYSPROG
ABC003
ZOS113
ABC003
DB2ADMIN
ABC004
ZOS113
ABC004
SYSPROG
Administración de Seguridad RACF
Sep 2015
Owner
irrcerta
irrmulti
irrsitec
SYS1
SYS1
SYS1
SYS1
SYS1
EUGENIO
EUGENIO
EUGENIO
EUGENIO
16:11
RIRP SOA gC LCX Grp
R
CX
0
R
X
0
R
X
0
P
C
2
P
1
P
1
RP
1
R
X
1
X
1
X
2
X
1
S
10
Security zSecure Admin for RACF
-12-
ABC005
ADPOTID
ADPOT01
ADSOUZA
AEAGENT
AEIMSAGT
AEIMSSRV
ZOS113
ZOS113
ZOS113
ZOS113
ZOS113
ZOS113
ZOS113
EUGENIO FERNANDES
ADPOT MGR
ADPOT ID
ANDERSON D. DE SOUZA
DB2 AE
IMS AE AGENT
IMS AE AGENT
ADMIN
ADMIN
ADMIN
SYSPROG
SYSPROC
ADMIN
ADMIN
EUGENIO
SYS1
ADPOTID
EUGENIO
SYS1
SYS1
SYS1
X
X
X
X
X
X
X
S
1
1
1
3
1
2
2
Todos los campos en azul, con excepción del campo “User”, pueden ser cambiados, bastando
sobrescribir el nuevo valor y el zSecure Admin genera el comando para el RACF y él somete para
ejecución. Como ejemplo, inseriremos “- COMENTARIO” en el campo “Name” del usuario ABC001:
zSecure Admin+Audit for RACF USER overview
Command ===>
All users
User
Complex
Name
SOA
gC
LCX
Grp
ABC001
MVST ABC001 - COMENTARIO
3
ABC002
MVST ABC002
3
0 s elapsed, 0.1 s CPU
Scroll===> CSR
23 Jan 2010 19:24
DfltGrp
Owner
RIRP
SYSPROG
EUGENIO
SYSPROG
EUGENIO
R
R
Después de un ENTER, los cambios en esa pantalla serón traducidas por un comando RACF:
zSecure Admin+Audit for RACF - Confirm command
Command ===>
Confirm or edit the following command
altuser ABC001 name('ABC001 - COMENTARIO')
Command execution . 1
1.
2.
3.
4.
5.
EXECUTE RACF command
EXECUTE CKGRACF command (allows use of Reason)
ASK administrator to EXECUTE CKGRACF command
REQUEST CKGRACF command for later execution
WITHDRAW CKGRACF command
Reason . . . . . . .
Press ENTER to continue or END to cancel the command
La opción 1 (EXECUTE RACF command) es la ejecución simples del RACF. La 2 (EXECUTE
CKGRACF command) permite que si grabe en el RACF la razón para el comando (quien solicitó, por
ejemplo).
Administración de Seguridad RACF
Security zSecure Admin for RACF
-13-
En la pantalla de selección de usuarios, con “/”, es mostrado un pop-up con una selección
de acciones permitidas para el usuario:
zSecure Admin+Audit for RACF USER overview
C Essssssssss zSecure Admin+Audit for RACF - Actions
N oll===> CSR
y
Select one of 22 actions
y
y
y
La
Authorization (permits and scope)
y
y
AC
Access Check for userid on one profile
y
y
C
Copy userid
/ y
CO
Add connect for this userid
y
D
(Prepare actions for) delete userid
y
y
E
Display event logging
y
L
RACF listuser all command
y
y
M
Move user from group (to another)
y
y
MI
Manage userid-information
y
y
ML
Manage logon-information
y
y
MR
Manage CKGRACF authority requirements
y
y
MS
Manage CKGRACF revoke/resume schedules
y
y
MT
Manage TSO-information
y
MU
Manage installation-defined USERDATA
y
y
P
Change password and resume
y
y
PE
Add or delete permit for this userid
y
R
Recreate userid
y
DsssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM
ABC017
MVST
ABC017
SYSPROG EUGENIO R
3
ABC018
MVST
ABC018
SYSPROG EUGENIO R
3
ABC019
MVST
ABC019
SYSPROG EUGENIO R
3
ABC020
MVST
ABC020
SYSPROG EUGENIO R
2
y
CX
OA gC LCX Grp
0
X
y
y
0
X
3
0
3
y
3
3
3
3
3
3
3
y
3
3
3
y
y
y
3
X
3
3
3
BORRAR, AGREGAR Y RECREAR DATOS DEL RACF
Agregando un nuevo usuario
zSecure Admin, a través de sus interfaces de administración, permite al usuario crear un
nuevo usuario o copiar desde un modelo de usuario ya existente, utilizando las siguientes
funcionalidades:
En el Menu principal del Recurso RA.U, seleccione con una barra (“ / “) el siguiente campo,
logo abajo de la línea de comando, “Add new user or segment”:
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - User Selection
Command ===>
start panel
/
Add new user or segment
Show userids that
Userid . . . . .
Name . . . . . .
Installation data
Owned by . . . .
Default group . .
Connect group . .
fit all of the following criteria
.
(user profile key or filter)
.
(name/part of name, en el filter)
.
(data scan, en el filter except *)
.
(group or userid, or filter)
.
(group or filter)
.
(group or filter)
Administración de Seguridad RACF
Security zSecure Admin for RACF
-14-
Additional selection criteria
Other fields
Attributes
Segment presence
Absence
Output/run options
Show segments
Print format
Background run
Specify scope
Send las y-mail
Sort differently
Narrow print
All
Customize title
Full page form
Llene y agregue los campos abajo:
Defina el usuario, contraseña y cuales segmentos serón agregados:
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - User Add
Command ===>
Userid . . . .
Default group .
Password . . .
Owned by . . .
dialog)
Password phrase
.
.
.
.
.
POT5xx
(required)
. GRPTIVOL
(required for new userid)
.
. . .
(twice, required for new userid)
. GRPTIVOL
(may also be set in the follow on update
. .
(9-100 chars, in single quotes)
/
Define new userid
Add
Add
Add
Add
Add
Add
Add
Add
CICS segment
CSDATA segment
DCE segment
DFP segment
EIM segment
KERB segment
LANGUAGE segment
LNOTES segment
/
/
Add
Add
Add
Add
Add
Add
Add
Add
NDS segment
NETVIEW segment
OMVS segment
OPERPARM segment
OVM segment
PROXY segment
TSO segment
WORKATTR segment
En la próxima pantalla, apenas los segmentos seleccionados serón mostrados:
zSecure Admin+Audit for RACF Display Selection
Command ===>
0 s elapsed, 0.0 s CPU
Scroll===> CSR
Name
Summary Records
Title
BASE
1
1
zSecure Admin+Audit for RACF USER
ABC5xx overview
OMVS
1
1
zSecure Admin+Audit for RACF USER
ABC5xx OMVS segments
TSO
1
1
zSecure Admin+Audit for RACF USER
ABC5xx TSO segments
******************************* Bottom of Data ********************************
Dé PF3 y consulte si el usuario fue criado en la sua base:
Administración de Seguridad RACF
Security zSecure Admin for RACF
-15-
zSecure Admin+Audit for RACF USER PROSER overview
0 s elapsed, 0.0 s CPU
Command ===>
Scroll===> CSR
Users like PROSER
24 Jan 2010 18:37
User
Complex Name
DfltGrp Owner
RIRP SOA gC LCX Grp
POT5xx
MVST
GRPTIVOL GRPTIVOL
X
1
IMPORTANTE: la manera más fácil de crear un usuario es seleccionar un usuario ya
existente (un patrón la ser copiado), colocando un C (de copiar) en la frente de ese usuario.
0 s elapsed, 0.0 s CPU
zSecure Admin+Audit for RACF USER ABC001 overview
Users like ABC001
14 Oct 2015 21:48
User
Complex Name
DfltGrp Owner
RIRP SOA gC LCX Grp
c ABC001
ZOS113
ABC001
SYSPROG EUGENIO
X
2
******************************* Bottom of Data ********************************
Borrando Usuários:
zSecure Admin permite realizar las funcionalidades de borrar utilizando el menu de pop up
Al seleccionar el usuario con el carácter “/”. Selecionando la opción D (“Prepare actions for delete
userid”, se obtiene la pantalla abajo. Puede entonces seleccionar la opción 3.
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - User Delete
Command ===>
Userid
. . . . . . POT5xx
Specify action to perform
3 1. Delete userid
2. Move userid to holding group
3. Remove userid from resource profiles (remove permit)
4. Remove userid from NOTIFY fields
Specify resources to delete (actions 1, 2 and 3 only)
/ Data set and id-specific profiles
Only if previous option selected:
/ RACFVARS profiles and members
/ Data sets and their catalog entries
/ Incl. catalog entries without data sets
/ Incl. uncataloged data sets
Change USERID in Notify fields to
New Owner for non-dataset profiles
(default is NONOTIFY)
(default is SYS1)
Son creados comandos para borrar el usuario. Para ejecutar los comandos, debese presionar
PF3, inserir un “ R “, de RUN, y presionar ENTER, conforme las instrucciones mostradas en la
pantalla.
File Edit Edit_Settings Menu Utilities Compilers Test Help
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
EDIT
EUGENIO.C2R1A8D.CKRCMD
Columns 00001 00072
Administración de Seguridad RACF
Security zSecure Admin for RACF
-16-
Command ===>
Scroll ===> CSR
****** ***************************** Top of Data ******************************
==MSG> -Warning- The UNDO command is not available until you change
==MSG>
your edit profile using the command RECOVERY ON.
000001
/* CKRCMD file CKR1CMD complex MVST NJE TSTMVS01 generated 23 J
000002
/* CKRCMD file CKR1CMD complex MVST NJE TSTMVS01 generated 23 J
000003
/* Commands generated by DELETEDATASETS
*/
000004
DELETE 'POT5xx.C2R2C78.CKRCMD' PURGE
000005
DELETE 'POT5xx.C2R1C78.CKR2PASS' PURGE
000006
DELETE 'POT5xx.C2R1C78.REPORT' PURGE
000007
DELETE 'POT5xx.C2R1347.SYSTERM' PURGE
000008
DELETE 'POT5xx.C2R1C78.CKRCMD' PURGE
000009
DELETE 'POT5xx.C2R1C78.SYSPRINT' PURGE
000010
DELETE 'POT5xx.C2R2C78.SYSPRINT' PURGE
000011
DELETE 'POT5xx.C2R2C78.CKR2PASS' PURGE
000012
DELETE 'POT5xx.C2R1347.REPORT' PURGE
000013
DELETE 'POT5xx.C2R1347.CKR2PASS' PURGE
000014
DELETE 'POT5xx.C2R2C78.CKRTSPRT' PURGE
000015
DELETE 'POT5xx.C2R2C78.SYSTERM' PURGE
000016
DELETE 'POT5xx.C2R2C78.REPORT' PURGE
000017
DELETE 'POT5xx.HFS' PURGE
000018
DELETE 'POT5xx.C2R1C78.CKRTSPRT' PURGE
000019
DELETE 'POT5xx.C2R1C78.SYSTERM' PURGE
000020
DELETE 'POT5xx.ISPF.ISPPROF' PURGE
000021
DELETE 'POT5xx.C2R1347.CKRTSPRT' PURGE
EssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssN
y Press PF3, enter R at the cursor location, press ENTER to run these commands y
DssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM
000025
deldsd 'ABC001.*.**' generic
Con el zSecure Admin, Usted puede seleccionar acciones específicas de borrar usuarios, él
no borra solamente el usuario, pero todas las profiles y conecciones que este usuario posee, no
dejando datos perdidos en la base de datos del RACF.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-17-
Recreación de un usuario
En esta parte del entrenamiento, recrearemos un usuario que fue borrado. Para eso, utilizaremos el
usuario creado en el ejercicio anterior. El usuario será borrado, pero antes una copia de la base de
datos de RACF será hecha, para la recreación. En esta copia estarán todos los datos de ese usuario.
Primeramente, vaya a la opción SE.2 y cree una copia de la base de datos de RACF. Acuérdese que
el nombre del archivo debe terminar con UNLOAD. OBSERVACIÓN: CREE COM El PATRÓN
‘SECURITY.ZSEC220.POT00xx.UNLOAD’. 5 Cilindros son suficientes en este sistema.
Borre el usuario, utilizando la opción RA.U. Ponga una barra (“ / “) en la frente del usuario y después
dé el comando D (Delete), seguido de la opción 1 (“Delete Userid”).
Certifique que el usuario fue realmente removido de la base de datos de RACF, a través de la opción
RA.U.
Vuelva a la opción SE.1 y seleccione la copia de la base de datos de RACF criada en este paso.
Deseleccione (U) la base de datos de RACF online.
A través de la opción RA.U, ahora si puede visualizar nuevamente el usuario borrado. La partir de
ese banco de datos, vamos a recrear.
A través de la selección del usuario (opción RA.U), seleccione con “/” y seleccione la opción R en el
pop up abierto.
zSecure Admin+Audit for RACF USER ABC5xx overview
C Essssssssss zSecure Admin+Audit for RACF - Actions sssssssssssN oll===> CSR
U y
Select one of 22 actions y
y
y OA gC LCX Grp
/ y
A Authorization (permits and scope)
y
X
1
* y
AC Access Check for userid on one profile
y *************
y
C Copy userid
y
y
CO Add connect for this userid
y
y
D (Prepare actions for) delete userid
y
y
E Display event logging
y
y
L RACF listuser all command
y
y
M Move user from group (to another)
y
y
MI Manage userid-information
y
y
ML Manage logon-information
y
y
MR Manage CKGRACF authority requirements
y
y
MS Manage CKGRACF revoke/resume schedules
y
y
MT Manage TSO-information
y
y
MU Manage installation-defined USERDATA
y
y
P Change password and resume
y
Administración de Seguridad RACF
Security zSecure Admin for RACF
-18-
y
PE Add or delete permit for this userid
y
R Recreate userid
y
DsssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM
y
y
y
Seleccione las opciones de recreación del usuario:
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - User Recreate
Command ===>
Recreate userid . . PROSER
Specify options for recreate
/ Copy Dataset and General Resource profiles for this user
/ Copy Access List entries with this user
Use CKGRACF to update the user profile
Otra opción es utilizar la funcción RA.4 especificada como MASS UPDATE en el menu
principal zSecure Admin,
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Main menu
Option ===> =ra.4
More
SE
Setup
Options and input data sets
RA
RACF
RACF Administration
U
User
User information
G
Group
Group information
D
Data set
Data set profiles
R
Resource
General resource profiles
S
Settings
Setropts and class settings
H
Helpdesk
One-panel helpdesk options
Q
Quick admin
Quick User Administration
1
Access
Access Check
2
Queued
Display and action on profiles with QUEUED commands
3
Reports
Reports with profiles and resources
4
Mass update
Specify mass copy/recreate/delete actions
5
DIGTCERT
Work with digital certificates
C
Custom
Custom report
AU
Audit
Audit security and system resources
RE
Resource
Resource reports
EV
Events
Event reporting from SMF and other logs
CO
Commands Run commands from library
y, a seguir, la opción 6 (o =RA.4.6):
Menu
Options
Info
Commands
Setup
Startpanel
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - Mass update
Administración de Seguridad RACF
Security zSecure Admin for RACF
-19-
Option ===>
0
1
2
3
4
5
6
7
8
9
C
Copy user
Copy group
Copy dataset
Copy resource
Delete user
Delete group
Recreate user
Recreate grp
Recreate ds
Recreate res
Copy CICS
Copy existing user(s) to new user(s)
Copy existing group(s) to new group(s)
Copy dataset profile(s) to another high level qualifier
Copy general resource profile(s) to another class
Delete user(s)
Delete group(s)
Recreate user(s)
Recreate group(s)
Recreate data set profile(s)
Recreate general resource profile(s)
Copy CICS prefixed profile(s) or member(s)
Definir el nombre del usuario y el owner, seleccionar las especificacciones y dar enter.
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - User Recreate
Command ===>
Recreate userid . . ABC5xx
Owner . . . . . . .
(user profile key or filter)
(group or userid, or filter)
Specify options for recreate
/ Copy Dataset and General Resource profiles for this user
/ Copy Access List entries with this user
Use CKGRACF to update the user profile
Administración de Seguridad RACF
Security zSecure Admin for RACF
-20-
Observar los comandos que serán ejecutados y el resultado del proceso. Verificar la creación del
usuario.
File Edit Edit_Settings Menu Utilities Compilers Test Help
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
EDIT
EUGENIO.C2R1A8D.CKRCMD
Columns 00009 00080
Command ===>
Scroll ===> CSR
****** ***************************** Top of Data *****************************
000001 /* CKRCMD file CKR1CMD complex MVST generated 31 Jan 2010 18:57 */
000002 adduser POT5xx
owner(GRPTIVOL) dfltgrp(GRPTIVOL)
000003 password user(POT5xx ) interval(120)
000004 connect POT5xx
group(GRPTIVOL) owner(GRPTIVOL) auth(USE) uacc(NONE)
000005 altuser POT5xx
tso()
000006 altuser POT5xx
omvs()
****** **************************** Bottom of Data ***************************
NOTA INTERESSANTE: Verifique que el archivo acima (que termina con **.CKRCMD) contém
informacciones importantes y que debe ser protegido de leitura!!!!!
zSecure Admin+Audit for RACF USER ABC5xx overview
0 s elapsed, 0.0 s CPU
Command ===>
Scroll===> CSR
Users like PROSER
31 Jan 2010 18:59
User
Complex Name
DfltGrp Owner
RIRP SOA gC LCX Grp
POT5xx
MVST
GRPTIVOL GRPTIVOL
X
1
******************************* Bottom of Data ********************************
Por tanto, para recriar un usuario perdido, debe obtener como input file una copia del DB de
RACF en el período en que este usuario existió y seleccionar para fuente de datos.
Eso si aplica la obtención de recursos perdidos o retorno la situaciones anteriores.
COMANDOS PARA El RACF EN LA AGENDA
Para poner en la agenda los comandos emitidos en el zSecure Admin, debe configurar en
=SE.4, especificando en “Action on command” la opción 1 “Queue”, seguida entrar un PF3 para
aceptarse la opción. Todas las acciones ejecutadas serón enviadas a una cola para posterior
liberación.
Para que la ejecución sea realizada, es necessário que el servidor del zSecure Admin esteja
activo (Security zSecure CARLa-Driven Components Version 2.2.0 Installation and Deployment
Guide SC27-5638-01, Capítulo 9) o la ejecución de un job automáticamente para ejecutar los
comandos pendientes.
Observación importante: Note que la diferencia con la opción “Ejecute” y “Not allowed”. Esas
opciones pueden ser colocadas como default para nuevos usuarios, utilizando la opción
SE.D.4. La opción SE.D define los defaults para los nuevos usuarios o para todos los usuarios
del zSecure.
Menu
Options
Info
Commands
Administración de Seguridad RACF
Setup
Security zSecure Admin for RACF
-21-
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Setup - Confirm
Command ===>
Action on command . . 1
Confirmation . . . . 4
1. Queue
1. None
2. Ejecute
2. Deletes
3. Not allowed
3. Passwords
4. All
Command generation
Enter "/" to select option(s)
/ Overtype fields in panels
/ Change generated commands
/ Specify start/end date
/ Generate SETROPTS REFRESH commands
/ Issue prompt before generating SETROPTS REFRESH commands
Commands to generate
/ RACF commands
/ CKGRACF commands
/ CKGRACF ASK for later execution
/ CKGRACF REQUEST for later execution
CKGRACF WITHDRAW queued commands
/ CKGRACF RDELETE commands
Después la opción de Queue ser estipulada, los comandos serán colocados en una cola para
procesamiento, conforme requisición del administrador.
Puede también programar cualquier ejecución en la pantalla de Confirm Comand, utilizando la
opción 3, e insiriendo la data a iniciar el evento, data de término y motivo de la programación.
zSecure Admin+Audit for RACF - Confirm command
Command ===>
Confirm or edit the following command
permit 'zSecure.V110.**' class(DATASET)
Command execution . 1
Specify date
Start date .
Until/for .
Reason . . .
for
. .
. .
. .
1.
2.
3.
4.
5.
id(PROSER) ACCESS(READ)
QUEUE RACF command
QUEUE CKGRACF command (allows use of Reason)
ASK administrator to EXECUTE CKGRACF command
REQUEST CKGRACF command for later execution
WITHDRAW CKGRACF command
command to be ejecuted
. .
(ddmmmyyyy, yyyy-mm-dd or TODAY)
. .
(ddmmmyyyy, yyyy-mm-dd or number of days)
. .
Press ENTER to continue or END to cancel the command
INFORMACIÓN SOBRE GRUPOS DE RACF
En la opción RA.G, si puede trabajar con el concepto de grupos en el RACF. De la misma
manera que para Usuarios (opción RA.U), si puede crear, borrar, cambiar, recrear un grupo.
En este PoT, llamamos la atención para filtros posibles en esa opción RA.G.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-22-
Listar grupos sem usuarios conectados
Escolla la opción RA.G (Grupos).
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Main menu
More:
+
SE
Setup
Options and input data sets
RA
RACF
RACF Administration
U
User
User information
G
Group
Group information
D
Data set
Data set profiles
R
Resource
General resource profiles
S
Settings
Setropts, RRSF, and class settings
H
Helpdesk
One-panel helpdesk options
Q
Quick admin
Quick User Administration
W
Windows
zSecure Visual administration
1
Access
Access Check
2
Queued
Display and action on profiles with QUEUED commands
3
Reports
Reports with profiles and resources
4
Mass update
Specify mass copy/recreate/delete actions
5
RACDCERT
Work with certificates, key rings, filters and tokens
C
Custom
Custom report
AU
Audit
Audit security and system resources
RE
Resource
Resource reports
Option ===> g
Con una barra ( / ) sobre ‘Profile fields’ y un asterisco ( * ) en Group id:
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - Group Selection
Add new group or segment
Show groups that fit all of the following criteria
Group id . . . . . *
(group profile key or filter)
Owner . . . . . . .
(group or userid, or filter)
Subgroup of . . . .
(group or filter)
With subgroup . . .
(group or filter)
Installation data .
(data scan, en el filter except *)
Additional selection criteria
/ Profile fields
Connect fields
Segment presence
Absence
Com una barra ( / ) sobre ‘Profile fields’ y un asterisco ( * ) en Group id. En la próxima pantalla, ponga
‘ = 0 ‘en los campos ‘# connected users’ y ‘# subgroups’. O sea, listaremos todos los grupos que no
tengam usuarios conectados a elles ni subgrupos.
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - Group Selection
All profiles
Show groups that also fit all of the following criteria:
Selection by date
Administración de Seguridad RACF
Security zSecure Admin for RACF
-23-
Creation date . . .
Miscellaneous fields
Complex . . . . . .
# connected users . =
# subgroups . . . . =
(date: yyyy-mm-dd/ddMMMyyyy/
DUMPDATE/DUMPDATE-nnn/
TODAY/TODAY-nn/NEVER)
0
0
(complex name or filter)
(operator: < <= > >= = <> ¬= )
El resultado será:
0 s elapsed, 0.0 s CPU
zSecure Admin+Audit for RACF GROUP Overview
All profiles with #connects=0, #subgroups=0
Group
Complex SupGroup X Owner
Grps
AASRVG
ZOS113
SYSPROG X IBMUSER
ADCCODE ZOS113
DATASETS
DATASETS
ADCC370 ZOS113
DATASETS
DATASETS
ADCPLI
ZOS113
DATASETS
DATASETS
ADCYCLE ZOS113
DATASETS
DATASETS
ADC370
ZOS113
DATASETS
DATASETS
ADPS
ZOS113
DATASETS
DATASETS
ADSMX
ZOS113
DATASETS
DATASETS
14 Oct 2015 22:43
Users Conn U nTU Created
11Nov2009
01Nov1993
01Nov1993
01Nov1993
02Nov1993
18Apr1995
01Nov1993
05Jan1994
Llamamos la atención para comandos que pueden ser ejecutados en esa (y en otras pantallas) del
producto:
F o FIND
Ubicar un caracter
RFIND o PF5
Ubicar de nuevo
SORT nombre de coluna La o D (ascendente o descendente
Ordenar una columna
INFORMACIÓN SOBRE DATASETS DE RACF
En la opción RA.D, vamos a trabajar con definiciones de datasets en el RACF. De la misma
manera que para Usuários, Grupos (opción RA.U y RA.G), si puede crear, borrar, cambiar,
recrear un dataset.
En este PoT, llamamos la atención para filtros possíveis en esa opción RA.D.
Administración de Seguridad RACF
Security zSecure Admin for RACF
-24-
Listar perfis de datasets con UACC mayor que READ
Escoger la opción RA.D (Datasets).
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Main menu
More:
+
SE
Setup
Options and input data sets
RA
RACF
RACF Administration
U
User
User information
G
Group
Group information
D
Data set
Data set profiles
R
Resource
General resource profiles
S
Settings
Setropts, RRSF, and class settings
H
Helpdesk
One-panel helpdesk options
Q
Quick admin
Quick User Administration
W
Windows
zSecure Visual administration
1
Access
Access Check
2
Queued
Display and action on profiles with QUEUED commands
3
Reports
Reports with profiles and resources
4
Mass update
Specify mass copy/recreate/delete actions
5
RACDCERT
Work with certificates, key rings, filters and tokens
C
Custom
Custom report
AU
Audit
Audit security and system resources
RE
Resource
Resource reports
Option ===> d
Con una barra ( / ) sobre ‘Profile fields’ y un asterisco ( *.* ) en Dataset profile id:
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - Data set Selection
Add new DATASET profile or segment
Show dataset profiles that fit all of the following criteria
Dataset profile . . *.*
Owned by . . . . .
(group or userid, or filter)
High level cual . .
(qualifier or filter)
Installation data .
(substring or *)
1 1
2
3
4
Additional selection criteria
/ Profile fields
Access list
Absence
Segment presence
EGN mask
Exact
Match
Any match
En la próxima pantalla, llene con UACC > 3, o sea, UACC mayor que READ
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
Administración de Seguridad RACF
Security zSecure Admin for RACF
-25-
zSecure Admin+Audit for RACF - RACF - Data set Selection
like *.*
Specify additional selection criteria:
Profile properties
Creation date . . .
(date: yyyy-mm-dd/ddMMMyyyy/TODAY-nnn)
On volume . . . . .
(disk/tape volser or filter)
Complex . . . . . .
(complex name or filter)
Level . . . . . . .
(installation defined resource level)
Enter "/" to specify inclusion criteria
/ Generic
/ Warning mode
/ Erase on scratch
/ Tape data set
/ Discrete
/ En el warning
/ En el erase
/ En el tape
data set
Enter "/" to limit
UACC
audit
Queued commands
> 3
Userdata
Universal access
Unconditional ID(*)
or ID(*)
1.
2.
3.
4.
5.
6.
7.
Success audit
None
Ejecute
Read
Update
Control
Alter
Ignore UACC
1.
2.
3.
4.
5.
6.
Never
>=Read
>=Update
>=Control
Alter
Ignore
En el failure
1.
2.
3.
4.
5.
Read
<=Update
<=Control
<=Alter
Ignore
Command ===>
Resultando en los archivos que no están protegidos.
0 s elapsed, 0.0 s CPU
zSecure Admin+Audit for RACF DATASET Overview
like *.* with UACC or ID(*)>READ
14 Oct 2015 23:32
Profile key
Type
UACC
Owner
S/F W
MARQUEZ.**
GENERIC ALTER
MARQUEZ
R
PERALTA.**
GENERIC ALTER
PERALTA
R
SYS1.BRODCAST
GENERIC UPDATE ALICE
R
WORK.**
GENERIC ALTER
ALICE
R
ZPDATA42.**
GENERIC UPDATE ZPDATA40 U R
ZTDATA52.**
GENERIC UPDATE ZTDATA52 U R
******************************* Bottom of Data ********************************
Comparando ACL del RACF y del zSecure
zSecure posee amplia variedad de visualización de los ACLs (Access Control List). Verifique quien
posee acceso a la libraría SYS2.PARMLIB.MVS1, a través de la pantalla RA.D.
Menu
Options
Info
Commands
Setup
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF
0.0 s CPU, RC=0
Add new DATASET profile or segment
Show dataset profiles that fit all of the following criteria
Dataset profile . . SYS2.PARMLIB.MVS1
Owned by . . . . .
(group or userid, or filter)
High level cual . .
(qualifier or filter)
Installation data .
(substring or *)
1 1
2
3
4
Additional selection criteria
Profile fields
Access list
Absence
Segment presence
Administración de Seguridad RACF
EGN mask
Exact
Match
Any match
Security zSecure Admin for RACF
-26-
Resultado abajo. En esta pantalla, ponga un ‘ S ‘ (Select) en la frente del perfil del dataset
SYS2.PARMLIB.MVS1:
0 s elapsed, 0.0 s CPU
zSecure Admin+Audit for RACF DATASET Overview
like SYS2.PARMLIB.MVS1
15 Oct 2015 00:16
Profile key
Type
UACC
Owner
S/F W
s SYS2.PARMLIB.MVS1
GENERIC READ
SYS1
R Y
******************************* Bottom of Data ********************************
Resultado:
Line 1 of 162
zSecure Admin+Audit for RACF DATASET Overview
like SYS2.PARMLIB.MVS1
Identification
Profile name
Type
Volume serial list
Effective first qualifier
Owner
Installation data
User
ESTHON
ESTHON
ALICE
ESTHON
EUGENIO
GELDER
LUIZCRI
MSAN
Access
ALTER-O
ALTER-O
ALTER
ALTER
ALTER
ALTER
ALTER
ALTER
ACL id
SYS1
SYS1
ZOSSUP
ZOSSUP
ZOSSUP
ZOSSUP
ZOSSUP
ZOSSUP
15 Oct 2015 00:16
ZOS113
SYS2.PARMLIB.MVS1
GENERIC
SYS2
SYS1
MASTER GROUP
When
RI Name
ESTHON MEDEIROS
ESTHON MEDEIROS
ALICE SHITARA
ESTHON MEDEIROS
EUGENIO FERNANDES WILLEM DE GELDER
LUIZ CRISTIAN
MARCELO SANTIAGO
DfltGrp
USER
USER
SYSPROG
USER
SYSPROG
USER
SYSPROG
SYSPROG
Ejecute en la línea de comando (Command) el comando ACL NORMAL. Resultado:
Line 1 of 35
zSecure Admin+Audit for RACF DATASET Overview
like SYS2.PARMLIB.MVS1
Identification
Profile name
Type
Volume serial list
Effective first qualifier
Owner
Installation data
User
-group-group-groupCEA
Access
ALTER
UPDATE
UPDATE
READ
ACL id
ZOSSUP
RDZSUP
SYSPROG
CEA
15 Oct 2015 00:16
ZOS113
SYS2.PARMLIB.MVS1
GENERIC
SYS2
SYS1
MASTER GROUP
When
RI Name
DfltGrp
SYS1
Administración de Seguridad RACF
Security zSecure Admin for RACF
-27-
Comandos posibles para ACL:
ACL EXPLODE – muestra una línea explosionada, que puede contener más de una
línea por usuario, mostrando el acceso y por cual vía (ACL id) este acceso fue realizado.
ACL RESOLVE – muestra una línea por usuario, con el acceso efectivo que el usuario
posee en el recurso.
ACL NORMAL – muestra los accesos, como están registrados en el recurso.
COMPARAR USUARIOS O GRUPOS
zSecure Admin permite que usuarios o grupos sean comparados, para que verifíquense posibles
diferencias en sus definiciones. Para esto, use la opción RA.3 (Reports), seguida de G (Compare
users).
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Main menu
More:
+
SE
Setup
Options and input data sets
RA
RACF
RACF Administration
U
User
User information
G
Group
Group information
D
Data set
Data set profiles
R
Resource
General resource profiles
S
Settings
Setropts, RRSF, and class settings
H
Helpdesk
One-panel helpdesk options
Q
Quick admin
Quick User Administration
W
Windows
zSecure Visual administration
1
Access
Access Check
2
Queued
Display and action on profiles with QUEUED commands
3
Reports
Reports with profiles and resources
4
Mass update
Specify mass copy/recreate/delete actions
5
RACDCERT
Work with certificates, key rings, filters and tokens
C
Custom
Custom report
AU
Audit
Audit security and system resources
RE
Resource
Resource reports
Option ===> 3
Menu
Options
Info
Commands
Setup
Startpanel
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - RACF - Reports
1
2
3
4
5
6
7
8
9
Profiles
Non redundant
Redundant
Permit/scope
Out of group
Non default
Match
Group tree
USERDATA
Any profiles fitting mask/qualifier with their data sets
Data set profiles different from less specific profiles
All data set profiles, mark if non-redundant (las in 2)
User/group on access list, or access by any means
Group data sets accessible to users outside the group
Data sets with more in access list than 'owner has alter'
Find profiles that cover la data set or resource
Group tree display
Display and action on profiles with USERDATA
Administración de Seguridad RACF
Security zSecure Admin for RACF
-28-
A
B
C
D
E
F
G
Tapevol
RACFvars
APPL
JES/328X
SDSF
JES2
Compare users
Tapevol profile overview
RACF variable profiles
Application profiles
Jes/328X definitions and log data sets
SDSF command and display authorities
Access to JES2 resources
Compare access and/or connect
Option ===> g
Menu
Options
Info
Commands
Setup
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Reports - Compare users
Enter up to 4 userids to compare access and/or connects
Userid . . . . EUGENIO POT0001
RONALDO
ALICE
Select report(s)
/ Compare access through user-specific permits
/ Include group permits
/ Compare connects
Output in print format
Resultado:
zSecure Admin+Audit for RACF Display Selection
Line 1 of 2
Name
Summary Records Title
PERMIT
28
2470 Compare PERMITs for users, including group permits
CONNECT
20
20 Compare CONNECTs for users
******************************* Bottom of Data ********************************
Verificando CONNECT:
Compare CONNECTs for users
Enter S in front of la group to change connect
Group
EUGENIO POT0001 RONALDO ALICE
AACFG
Yes
Yes
No
No
ABCTESTE Yes
Yes
No
No
ADMIN
Yes
Yes
No
No
AOCDEMO Yes
Yes
No
No
CFZADMGP No
No
No
Yes
CFZUSRGP No
No
No
Yes
C2RGROUP Yes
Yes
No
No
DB2ADMIN Yes
Yes
No
No
DB2SUP
Yes
Yes
No
No
DRL
Yes
Yes
No
No
DRLGRP
Yes
Yes
No
No
DRLSYS
Yes
Yes
No
No
DRLUSER Yes
Yes
No
No
NETVGRP Yes
Yes
No
No
SYSAUDIT Yes
Yes
No
No
SYSPROG Yes
Yes
No
Yes
SYS1
No
No
No
Yes
USER
No
No
Yes
No
15 Oct 2015 00:02
******************************* Bottom of Data ********************************
Administración de Seguridad RACF
Security zSecure Admin for RACF
-29-
Utilizando CARLa CODE
El zSecure Suíte ejecuta todas sus funcionalidades utilizando el CARLa code, así, vamos a hacer una
pequeña muestra en este punto para que puedan comprender el contexto.
Esctrutura básica del código CARLa: Ubicar los archivos (ALLOC), crear nuevos informes
(NEWLIST), seleccionar los registros (SELECT) y mostrar los datos (SUMMARY, DISPLAY, LIST).
alloc
newlist
select
sortlist
summary
newlist
select
sortlist
summary
Vaya al menu principal del producto y entre en la opción CO (Commands).
Menu
Options
Info Commands Setup
Startpanel
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
zSecure Admin+Audit for RACF - Commands
Option ===>
1
2
3
4
5
C
Libraries
Members
Edit
Run
Submit
Command
Select and maintain command library
Work with members from current command library
Edit member from current command library
Run member from current command library
Run member from current command library in background
Type in any CARLa command
Member name . . . . . .
(if 3, 4 or 5 selected)
Two pass query . . . . N (Y/N, option 4 only)
Current library . . . . DD:CKRCARLa
Input complex . . . . . MVST, *NONAME*
Current mask type . . . EGN
Administración de Seguridad RACF
Security zSecure Admin for RACF
-30-
Ejercicio 1: Listar usuarios POT*
Utilizando la opción C entraremos en un miembro vacío en la biblioteca apuntada en el DD
CKRCARLa y haremos la codificación, utilizando Carla Code. Sustituya el nombre del miembro por su
usuario (POT00xx1).
EDIT
******
=NOTE=
==MSG>
==MSG>
000100
000200
000300
******
SECURITY.ZSEC220.SCKRCARL(POT00xx) - 01.00
Columns 00001 00072
***************************** Top of Data ******************************
Enter GO or RUN to ejecute commands, SUB or SUBMIT to generate batch job
-Warning- The UNDO command is not available until you change
your edit profile using the command RECOVERY ON.
SELECT s=base c=user MASK=POT*
DISPLAY KEY(8) COMPLEX PGMRNAME DFLTGRP OWNER,
spec(1,hb) | oper(1,hb) | auditor(1,hb)
**************************** Bottom of Data ****************************
Ejecute el CARLa arriba a través del comando GO. El resultado será:
IBM Security zSecure RACF display
0 s elapsed, 0.0 s CPU
13 Oct 2015 11:10
Profile Complex Name
DfltGrp Owner
SOA
POT0001 ZOS113
USUARIO 0001 POT
SYSPROG EUGENIO S
POT0002 ZOS113
USUARIO 0002 POT
SYSPROG EUGENIO S
POT0003 ZOS113
USUARIO 0003 POT
SYSPROG EUGENIO S
POT0004 ZOS113
USUARIO 0004 POT
SYSPROG EUGENIO S
POT0005 ZOS113
USUARIO 0005 POT
SYSPROG EUGENIO S
POT0006 ZOS113
USUARIO 0006 POT
SYSPROG EUGENIO S
POT0007 ZOS113
USUARIO 0007 POT
SYSPROG EUGENIO S
POT0008 ZOS113
USUARIO 0008 POT
SYSPROG EUGENIO S
POT0009 ZOS113
USUARIO 0009 POT
SYSPROG EUGENIO S
POT0010 ZOS113
USUARIO 0010 POT
SYSPROG EUGENIO S
POT0011 ZOS113
USUARIO 0011 POT
SYSPROG EUGENIO S
POT0012 ZOS113
USUARIO 0012 POT
SYSPROG EUGENIO S
******************************* Bottom of Data ********************************
Ejercicio 2: SORTLIST x DISPLAY. Listar Usuarios de un Grupo.
Vamos a crear ahora un CARLa para listar los usuarios de un grupo. Cree un miembro
POT00xx2 con eses comandos:
NEWLIST TYPE=RACF
SELECT CLASS=GROUP SEGMENT=BASE
SORTLIST KEY(8) CONNECTS CREADATE
Ejecute el CARLa arriba a través del comando GO. El resultado será:
Profile
AACFG
User/Grp
PC00008
ZSEC001
DIRCEUG
B345678
Auth
USE
USE
USE
USE
R SOA AG Uacc
NONE
NONE
NONE
NONE
Revokedt
Administración de Seguridad RACF
Resumedt
CreateDate
11 Nov 2009
Security zSecure Admin for RACF
-31-
Sustitua ahora SORTLIST por DISPLAY, que muestra el informe el informe en display 3270. El
resultado está abajo. Ahora, los usuarios de un grupo son listados con un ‘s’ adelante del
nombre del grupo.
Profile
AACFG
AAGUESTG
AASRVG
ABC
ABCTESTE
ADCCODE
ADCC370
CreateDate
11 Nov 2009
11 Nov 2009
11 Nov 2009
5 Jun 2013
25 Jun 2011
1 Nov 1993
1 Nov 1993
Ejercicio 3: Lista datos de varios segmentos.
Vamos a crear un informe que lista los usuarios, nombre y si están revogados. Vamos a
agregar datos que vienen del segmento TSO, como TLSIZE y UID.
Cree un miembro POT00xx3 con eses comandos:
NEWLIST TYPE=RACF
SELECT CLASS=USER SEGMENT=BASE
SORTLIST KEY(‘USERID’,8) NAME REVOKE TLSIZE UID(12)
Ejecute el CARLa arriba a través del comando GO. El resultado será:
USERID
irrcerta
irrmulti
irrsitec
AAACRU
Name
CERTAUTH Anchor
Criteria Anchor
SITE Anchor
WAS CR OWNER-
Rev DftKB
YES
YES
YES
Uid
Ahora pongas un ‘ : ‘ (dos puntos) antes de TLSIZE y UID, para que el producto busque en
otros segmentos (aquí, TSO). El resultado será:
USERID
irrcerta
irrmulti
irrsitec
AAACRU
AAADMIN
AAADMSH
Name
CERTAUTH Anchor
Criteria Anchor
SITE Anchor
WAS CR OWNERWAS ADMINISTRATOR
WAS ASYNCH ADMIN TAS
Rev DftKB
Uid
YES
0
YES
0
YES
0
0
0
0
400001
400002
400003
Ejercicio 4: Generar comandos RACF
La salida de una ejecución de comandos CARLa puede ser comandos RACF para ejecución.
Vamos a listar los usuarios que empezan con TE.
NEWLIST TYPE=RACF file=ckrcmd nopage
SELECT CLASS=user segment=base mask=te*
sortLIST "alu" key(8) "tso(size(4096) acctnum(1234)
proc(tsoproc))"
La salida será:
/* CKRCMD file CKR1CMD complex ZOS113 generated
Administración de Seguridad RACF
5 Jul 2016 21:40 */
Security zSecure Admin for RACF
-32-
alu TEACEL1
alu TECOPER
alu TELCEL
tso(size(4096) acctnum(1234) proc(tsoproc))
tso(size(4096) acctnum(1234) proc(tsoproc))
tso(size(4096) acctnum(1234) proc(tsoproc))
Atención al mensaje al final del archivo:
Press PF3, enter R at the cursor location, press ENTER to run these commands
O sea, es posible ya ejecutar los comandos.
Una pequeña variación: vamos a conectar varios usuarios a un grupo:
NEWLIST TYPE=RACF file=ckrcmd nopage
SELECT CLASS=user segment=base mask=te*
sortLIST "connect (" key(8) ") group(SYSPROG) authority(USE),
uacc(NONE)"
La salida será:
/* CKRCMD
connect (
connect (
connect (
file CKR1CMD complex ZOS113 generated 5 Jul 2016 21:44 */
TEACEL1 ) group(SYSPROG) authority(USE),uacc(NONE)
TECOPER ) group(SYSPROG) authority(USE),uacc(NONE)
TELCEL
) group(SYSPROG) authority(USE),uacc(NONE)
Administración de Seguridad RACF
Security zSecure Admin for RACF
-33-
Documentos relacionados
FORO EDUCATIVO EN QUIINDY
FORO EDUCATIVO EN QUIINDY
Receptor Comunicador
Receptor Comunicador
1.2.2.1 Evaluación Local integrada de Adaptación al CC en la... Utilización y aplicación de los resultados para la búsqueda de...
1.2.2.1 Evaluación Local integrada de Adaptación al CC en la... Utilización y aplicación de los resultados para la búsqueda de...
Carta de Invitación La invitación deberá ser enviada, por correo
Carta de Invitación La invitación deberá ser enviada, por correo
ler y, o €l
ler y, o €l
Gestión de la clase del docente
Gestión de la clase del docente
Medidas de prevención y comportamiento en situaciones de crisis 1
Medidas de prevención y comportamiento en situaciones de crisis 1
Descargar
Anuncio
Anuncio