Manual de Entrenamiento IBM Security zSecure Audit 2.2 Índice OBJETIVO ............................................................................................................................4 DESCRIPCIÓN .....................................................................................................................4 ARQUITECTURA.................................................................................................................5 FUENTES DE DATOS ..........................................................................................................6 ANTES DE INICIAR ............................................................................................................7 USUARIO DE TSO ...............................................................................................................7 ACCESO AL zSecure ............................................................................................................7 zSecure Admin ...................................................................................................................8 OBJETIVOS DEL ENTRENAMIENTO DE zSecure Admin .............................................8 VERIFICANDO LA CONFIGURAÇÃO DEL ARCHIVO DE INPUT..............................9 BORRAR, AGREGAR Y RECREAR DATOS DEL RACF.............................................14 Agregando un nuevo usuario ........................................................................................14 Borrando Usuários:.......................................................................................................16 Recreación de un usuario ..............................................................................................18 COMANDOS PARA El RACF EN LA AGENDA...........................................................21 INFORMACIÓN SOBRE GRUPOS DE RACF ...............................................................22 Listar grupos sem usuarios conectados .........................................................................23 INFORMACIÓN SOBRE DATASETS DE RACF ..........................................................24 Listar perfis de datasets con UACC mayor que READ .................................................25 Comparando ACL del RACF y del zSecure ..................................................................26 Comparar usuarios o grupos ............................................... Error! Bookmark not defined. Utilizando CARLa CODE ................................................................................................30 Ejercicio 1: Listar usuarios POT* ..............................................................................31 Ejercicio 2: SORTLIST x DISPLAY. Listar Usuarios de un Grupo. .......................31 Ejercicio 3: Lista datos de varios segmentos. ............................................................32 Ejercicio 4: Opción RA.3.G – Comparar más de 4 usuarios. ....................................32 Administración de Seguridad RACF Security zSecure Admin for RACF -2- Administración de Seguridad RACF Security zSecure Admin for RACF -3- OBJETIVO Este documento irá ayudar el usuario durante el entrenamiento para utilizar las funcionalidades básicas del producto Security zSecure Audit for RACF. Después del entrenamiento, este manual será la guía de consultas y ayudará a comprender las funcionalidades. DESCRIPCIÓN IBM Security zSecure Admin y Audit para RACF (Resource Access Control Facility) automatiza muchas las tareas administrativas y permite extraer informes de auditoría. IBM Security zSecure Admin y Audit para RACF colecta y analiza datos de RACF y z/OS, para que Usted pueda fácilmente acompañar quien utiliza los accesos con privilegios, implementar reglas para limitar privilegios de administrador y para auditar el comportamiento del usuario. Security zSecure Admin y Audit para RACF también mejoran las funcionalidades administrativas y de informes de RACF, facilitando la seguridad, vigilancia y mantenimiento de sistemas de administración descentralizados. IBM Security Zsecure Alert envía mensajes de vulnerabilidad ocurridas en el sistema. Administración de Seguridad RACF Security zSecure Admin for RACF -4- ARQUITECTURA Diagrama ilustrativo de la arquitectura Security zSecure: Figura 1 - Arquitectura zSecure ISPF para interatividad con las interfaces del aplicativo. ermite mayor flexibilidad en la concepción y utilización del programa de interfaces. Las funcionalidades que pueden ser ejecutadas de manera interactiva pueden también ser ejecutadas en modo batch. IBM Security zSecure Admin y Audit para RACF permiten crear informes personalizados utilizando la lenguaje propietaria CARLa Audit y Reporting Language (CARLa) y ejecutar estes informes desde las pantallas ISPF. CKR_CARLa – Lenguaje propietaria del producto. Administración de Seguridad RACF Security zSecure Admin for RACF -5- FUENTES DE DATOS La solución zSecure permite la utilización de entrada de datos de diversas fuentes. Security zSecure Admin y Audit para RACF generalmente requieren datos de RACF. Pueden venir a partir de cuatro fuentes: 1. La base de datos principal online del RACF; 2. El Backup del DB primario online del RACF; 3. Datos centralizados del RACF (unload); 4. Copias de las bases de datos de otros ambientes de RACF, o de un DB activo de RACF de otro sistema. E viniendo de otras fuentes: SMF, VSAM, HTTP’s logs, MAN(X) online, CKFREEZE CKFREEZE colecta datos de I/O del sistema (z/OS, DASD, Hardware etc), como una fotografia de todo ambiente. El zSecure Admin utiliza solamente datos del RACF (primario, backup o copia) y archivos del Access Monitor. Administración de Seguridad RACF Security zSecure Admin for RACF -6- ANTES DE INICIAR Siga los procedimientos descriptos en esta sección antes de empezar a usar la solución. USUARIO DE TSO Utilice el usuario POT00xx, con contraseña ZCENTER (expirada). Al entrar, utilice REGION=999999. ‘xx’ puede ser sustituido de 10 hasta 90. Certifique que Usted esté conectado al TSO con una region grande para reducir la utilización de almacenamiento virtual I/O y para mejorar el tiempo de respuesta. La cantidad de almacenamiento virtual depende del tamaño de su instalación y sobre la información solicitada. ACCESO AL zSecure Para ascender al zSecure, vaya a la pantalla ISPF 6 y ejecute: EX ‘SECURITY.ZSEC220.CKRPARM(CKR)’ Administración de Seguridad RACF Security zSecure Admin for RACF -7- zSecure Admin OBJETIVOS DEL ENTRENAMIENTO DE zSecure Admin El primero objetivo de este entrenamiento es explotar el producto zSecure Admin, demostrando los principales recursos. El entrenamiento no tiene la intención de detallar los tutorials de configuración, pero demostrar los principales tópicos y algunas características. Cuando terminar el entrenamiento el alumno estará apto a utilizar el zSecure Admin para: Manipular userids, groups, dataset profiles, y recursos generales del RACF; Agendar ejecución de comandos en el RACF en fecha especificada por el administrador del ambiente; Entendimiento de como extraer informes; Administrar el RACF; Tiempo de Entrenamiento: 6 horas. Administración de Seguridad RACF Security zSecure Admin for RACF -8- VERIFICANDO LA CONFIGURAÇÃO DEL ARCHIVO DE INPUT 1. En la pantalla principal si puede verificar cual “Input Complex” está definida en el momento. Para verificar, digite en la línea de comando: =SE.1 Para hacer la selección de los archivos de input. zSecure Admin+Audit for RACF - Main menu SE RA AU RE AM EV CO IN LO X Setup RACF Audit Resource Access Events Commands Information Local Exit Input complex: Options and input data sets RACF Administration Audit security and system resources Resource reports RACF Access Monitor Event reporting from SMF and other logs Run commands from library Information and documentation Locally defined options Exit this panel Active primary RACF data base Product/Release 5655-N16 IBM Security 5655-N17 IBM Security 5655-N20 IBM Security 5655-N21 IBM Security zSecure zSecure zSecure zSecure Admin 2.2.0 Audit for RACF 2.2.0 Visual 2.2.0 Alert for RACF 2.2.0 Administración de Seguridad RACF Security zSecure Admin for RACF -9- Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Setup - I Row 1 from 6 (Un)select (U/S/C/M) set of input files or work with la set (B, E, R, I, D or F) Description Complex Active primary RACF data base ZOS113 selected CKFREEZE ZOS113 selected SMF Online ZOS113 selected Active primary RACF database on ZOS111 (remote) ZOS111 Active backup RACF data base Active backup RACF data base and live SMF data sets ******************************* Bottom of data ******************************** Utilizaremos solamente el RACF activo para el zSecure Admin. Las otras opciones (CKFREEZE y SMF Online) pueden, eventualmente, ser desligadas (U, de Unselect). Vuelva ao menu principal del producto (sucessivos PF3s). En el menu principal, digite RA, para accesar RACF Administration, o sea, el producto zSecure Admin. Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Main menu More: + SE Setup Options and input data sets RA RACF RACF Administration AU Audit Audit security and system resources RE Resource Resource reports AM Access RACF Access Monitor EV Events Event reporting from SMF and other logs CO Commands Run commands from library IN Information Information and documentation LO Local Locally defined options X Exit Exit this panel Input complex: ZOS113 Product/Release 5655-N16 IBM Security zSecure Admin 2.2.0 5655-N17 IBM Security zSecure Audit for RACF 2.2.0 5655-N20 IBM Security zSecure Visual 2.2.0 Option ===> Administración de Seguridad RACF Security zSecure Admin for RACF -10- Opción U - USERID’s (Opción U o =RA.U). zSecure Admin+Audit for RACF - Main menu More: + Options and input data sets RACF Administration User information Group information Data set profiles General resource profiles Setropts, RRSF, and class settings One-panel helpdesk options Quick User Administration zSecure Visual administration Access Check Display and action on profiles with QUEUED commands Reports with profiles and resources Specify mass copy/recreate/delete actions Work with certificates, key rings, filters and tokens Custom report Audit security and system resources SE RA Setup RACF U User G Group D Data set R Resource S Settings H Helpdesk Q Quick admin W Windows 1 Access 2 Queued 3 Reports 4 Mass update 5 RACDCERT C Custom AU Audit Option ===> U zSecure Admin permite la visualización de todas las propiedades de un usuario a través de la navegación de pantallas y uso de pop up’s, que permiten administrar todas las funcionalidades del RACF para el usuario. La próxima pantalla indica la pantalla inicial de pesquisa de usuarios, pantalla esta que posee patrón común para las pantallas del zSecure. Podemos dividir esa pantalla en 3 partes distintas. La primera (“Show userids that fit all of the following criteria”) permite búsqueda en las bases de datos indicadas en la opción SE.1, posibilitando el uso de “ * “ o “ % “ (este último acepta cualquier caracter). La segunda parte permite pesquisa más refinada (queries). Para solicitar esas queries (“Additional selection criteria”), inserir una barra (“ / “) en la frente de los campos. La tercera (“Output/run options”) indica como los datos serón mostrados (por ejemplo, en la pantalla, via job batch, email etc, a través de la opción “Print format”) y cuales datos serón mostrados. Además de esas opciones, la primera línea permite la creación del recurso (“Add new user or segment”), a través de una barra (“ / “) en la frente del campo. zSecure Admin+Audit for RACF - RACF - User Add Userid . . . . Default group . Password . . . Owned by . . . Password phrase . . . . . . . . . . (required) (required for new userid) . . . (twice, required for new userid) (may also be set in the follow on update dialog) (9-100 chars, in single quotes) Administración de Seguridad RACF Security zSecure Admin for RACF -11- / Define new userid Add Add Add Add Add Add Add Add Command CICS segment CSDATA segment DCE segment DFP segment EIM segment KERB segment LANGUAGE segment LNOTES segment ===> Add Add Add Add Add Add Add Add NDS segment NETVIEW segment OMVS segment OPERPARM segment OVM segment PROXY segment TSO segment WORKATTR segment En la pantalla RA.U, vamos a listar todos los usuarios de las bases de datos de RACF listadas en la opción SE.1, utilizando un “ * “ adelante del USERID Menu Options Info Commands Setup zSecure Admin+Audit for RACF - RACF - User Selection start panel Command ===> Add new user or segment Show userids that fit all of the following criteria Userid . . . . . . * (user profile key or filter) Name . . . . . . . (name/part of name, en el filter) Installation data . (data scan, en el filter except *) Owned by . . . . . (group or userid, or filter) Default group . . . (group or filter) Connect group . . . (group or filter) Additional selection criteria Other fields Absence Output/run options Show segments Print format Background run Attributes Segment presence All Specify scope Customize title Send las y-mail Full page form Sort differently Narrow print Esto generará un informe como él abajo. 0 s elapsed, 0.1 s CPU zSecure Admin+Audit for RACF USER overview All users 22 User Complex Name DfltGrp irrcerta ZOS113 CERTAUTH Anchor irrmulti ZOS113 Criteria Anchor irrsitec ZOS113 SITE Anchor AAACRU ZOS113 WAS CR OWNERAACFG AAADMIN ZOS113 WAS ADMINISTRATOR AACFG AAADMSH ZOS113 WAS ASYNCH ADMIN TAS AACFG AAGUEST ZOS113 WAS DEFAULT USER AAGUESTG AAUEAGT ZOS113 AAUEAGT ADMIN ABA03 ZOS113 ABA03 DB2ADMIN ABC001 ZOS113 ABC001 SYSPROG ABC003 ZOS113 ABC003 DB2ADMIN ABC004 ZOS113 ABC004 SYSPROG Administración de Seguridad RACF Sep 2015 Owner irrcerta irrmulti irrsitec SYS1 SYS1 SYS1 SYS1 SYS1 EUGENIO EUGENIO EUGENIO EUGENIO 16:11 RIRP SOA gC LCX Grp R CX 0 R X 0 R X 0 P C 2 P 1 P 1 RP 1 R X 1 X 1 X 2 X 1 S 10 Security zSecure Admin for RACF -12- ABC005 ADPOTID ADPOT01 ADSOUZA AEAGENT AEIMSAGT AEIMSSRV ZOS113 ZOS113 ZOS113 ZOS113 ZOS113 ZOS113 ZOS113 EUGENIO FERNANDES ADPOT MGR ADPOT ID ANDERSON D. DE SOUZA DB2 AE IMS AE AGENT IMS AE AGENT ADMIN ADMIN ADMIN SYSPROG SYSPROC ADMIN ADMIN EUGENIO SYS1 ADPOTID EUGENIO SYS1 SYS1 SYS1 X X X X X X X S 1 1 1 3 1 2 2 Todos los campos en azul, con excepción del campo “User”, pueden ser cambiados, bastando sobrescribir el nuevo valor y el zSecure Admin genera el comando para el RACF y él somete para ejecución. Como ejemplo, inseriremos “- COMENTARIO” en el campo “Name” del usuario ABC001: zSecure Admin+Audit for RACF USER overview Command ===> All users User Complex Name SOA gC LCX Grp ABC001 MVST ABC001 - COMENTARIO 3 ABC002 MVST ABC002 3 0 s elapsed, 0.1 s CPU Scroll===> CSR 23 Jan 2010 19:24 DfltGrp Owner RIRP SYSPROG EUGENIO SYSPROG EUGENIO R R Después de un ENTER, los cambios en esa pantalla serón traducidas por un comando RACF: zSecure Admin+Audit for RACF - Confirm command Command ===> Confirm or edit the following command altuser ABC001 name('ABC001 - COMENTARIO') Command execution . 1 1. 2. 3. 4. 5. EXECUTE RACF command EXECUTE CKGRACF command (allows use of Reason) ASK administrator to EXECUTE CKGRACF command REQUEST CKGRACF command for later execution WITHDRAW CKGRACF command Reason . . . . . . . Press ENTER to continue or END to cancel the command La opción 1 (EXECUTE RACF command) es la ejecución simples del RACF. La 2 (EXECUTE CKGRACF command) permite que si grabe en el RACF la razón para el comando (quien solicitó, por ejemplo). Administración de Seguridad RACF Security zSecure Admin for RACF -13- En la pantalla de selección de usuarios, con “/”, es mostrado un pop-up con una selección de acciones permitidas para el usuario: zSecure Admin+Audit for RACF USER overview C Essssssssss zSecure Admin+Audit for RACF - Actions N oll===> CSR y Select one of 22 actions y y y La Authorization (permits and scope) y y AC Access Check for userid on one profile y y C Copy userid / y CO Add connect for this userid y D (Prepare actions for) delete userid y y E Display event logging y L RACF listuser all command y y M Move user from group (to another) y y MI Manage userid-information y y ML Manage logon-information y y MR Manage CKGRACF authority requirements y y MS Manage CKGRACF revoke/resume schedules y y MT Manage TSO-information y MU Manage installation-defined USERDATA y y P Change password and resume y y PE Add or delete permit for this userid y R Recreate userid y DsssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM ABC017 MVST ABC017 SYSPROG EUGENIO R 3 ABC018 MVST ABC018 SYSPROG EUGENIO R 3 ABC019 MVST ABC019 SYSPROG EUGENIO R 3 ABC020 MVST ABC020 SYSPROG EUGENIO R 2 y CX OA gC LCX Grp 0 X y y 0 X 3 0 3 y 3 3 3 3 3 3 3 y 3 3 3 y y y 3 X 3 3 3 BORRAR, AGREGAR Y RECREAR DATOS DEL RACF Agregando un nuevo usuario zSecure Admin, a través de sus interfaces de administración, permite al usuario crear un nuevo usuario o copiar desde un modelo de usuario ya existente, utilizando las siguientes funcionalidades: En el Menu principal del Recurso RA.U, seleccione con una barra (“ / “) el siguiente campo, logo abajo de la línea de comando, “Add new user or segment”: Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - User Selection Command ===> start panel / Add new user or segment Show userids that Userid . . . . . Name . . . . . . Installation data Owned by . . . . Default group . . Connect group . . fit all of the following criteria . (user profile key or filter) . (name/part of name, en el filter) . (data scan, en el filter except *) . (group or userid, or filter) . (group or filter) . (group or filter) Administración de Seguridad RACF Security zSecure Admin for RACF -14- Additional selection criteria Other fields Attributes Segment presence Absence Output/run options Show segments Print format Background run Specify scope Send las y-mail Sort differently Narrow print All Customize title Full page form Llene y agregue los campos abajo: Defina el usuario, contraseña y cuales segmentos serón agregados: Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - User Add Command ===> Userid . . . . Default group . Password . . . Owned by . . . dialog) Password phrase . . . . . POT5xx (required) . GRPTIVOL (required for new userid) . . . . (twice, required for new userid) . GRPTIVOL (may also be set in the follow on update . . (9-100 chars, in single quotes) / Define new userid Add Add Add Add Add Add Add Add CICS segment CSDATA segment DCE segment DFP segment EIM segment KERB segment LANGUAGE segment LNOTES segment / / Add Add Add Add Add Add Add Add NDS segment NETVIEW segment OMVS segment OPERPARM segment OVM segment PROXY segment TSO segment WORKATTR segment En la próxima pantalla, apenas los segmentos seleccionados serón mostrados: zSecure Admin+Audit for RACF Display Selection Command ===> 0 s elapsed, 0.0 s CPU Scroll===> CSR Name Summary Records Title BASE 1 1 zSecure Admin+Audit for RACF USER ABC5xx overview OMVS 1 1 zSecure Admin+Audit for RACF USER ABC5xx OMVS segments TSO 1 1 zSecure Admin+Audit for RACF USER ABC5xx TSO segments ******************************* Bottom of Data ******************************** Dé PF3 y consulte si el usuario fue criado en la sua base: Administración de Seguridad RACF Security zSecure Admin for RACF -15- zSecure Admin+Audit for RACF USER PROSER overview 0 s elapsed, 0.0 s CPU Command ===> Scroll===> CSR Users like PROSER 24 Jan 2010 18:37 User Complex Name DfltGrp Owner RIRP SOA gC LCX Grp POT5xx MVST GRPTIVOL GRPTIVOL X 1 IMPORTANTE: la manera más fácil de crear un usuario es seleccionar un usuario ya existente (un patrón la ser copiado), colocando un C (de copiar) en la frente de ese usuario. 0 s elapsed, 0.0 s CPU zSecure Admin+Audit for RACF USER ABC001 overview Users like ABC001 14 Oct 2015 21:48 User Complex Name DfltGrp Owner RIRP SOA gC LCX Grp c ABC001 ZOS113 ABC001 SYSPROG EUGENIO X 2 ******************************* Bottom of Data ******************************** Borrando Usuários: zSecure Admin permite realizar las funcionalidades de borrar utilizando el menu de pop up Al seleccionar el usuario con el carácter “/”. Selecionando la opción D (“Prepare actions for delete userid”, se obtiene la pantalla abajo. Puede entonces seleccionar la opción 3. Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - User Delete Command ===> Userid . . . . . . POT5xx Specify action to perform 3 1. Delete userid 2. Move userid to holding group 3. Remove userid from resource profiles (remove permit) 4. Remove userid from NOTIFY fields Specify resources to delete (actions 1, 2 and 3 only) / Data set and id-specific profiles Only if previous option selected: / RACFVARS profiles and members / Data sets and their catalog entries / Incl. catalog entries without data sets / Incl. uncataloged data sets Change USERID in Notify fields to New Owner for non-dataset profiles (default is NONOTIFY) (default is SYS1) Son creados comandos para borrar el usuario. Para ejecutar los comandos, debese presionar PF3, inserir un “ R “, de RUN, y presionar ENTER, conforme las instrucciones mostradas en la pantalla. File Edit Edit_Settings Menu Utilities Compilers Test Help sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss EDIT EUGENIO.C2R1A8D.CKRCMD Columns 00001 00072 Administración de Seguridad RACF Security zSecure Admin for RACF -16- Command ===> Scroll ===> CSR ****** ***************************** Top of Data ****************************** ==MSG> -Warning- The UNDO command is not available until you change ==MSG> your edit profile using the command RECOVERY ON. 000001 /* CKRCMD file CKR1CMD complex MVST NJE TSTMVS01 generated 23 J 000002 /* CKRCMD file CKR1CMD complex MVST NJE TSTMVS01 generated 23 J 000003 /* Commands generated by DELETEDATASETS */ 000004 DELETE 'POT5xx.C2R2C78.CKRCMD' PURGE 000005 DELETE 'POT5xx.C2R1C78.CKR2PASS' PURGE 000006 DELETE 'POT5xx.C2R1C78.REPORT' PURGE 000007 DELETE 'POT5xx.C2R1347.SYSTERM' PURGE 000008 DELETE 'POT5xx.C2R1C78.CKRCMD' PURGE 000009 DELETE 'POT5xx.C2R1C78.SYSPRINT' PURGE 000010 DELETE 'POT5xx.C2R2C78.SYSPRINT' PURGE 000011 DELETE 'POT5xx.C2R2C78.CKR2PASS' PURGE 000012 DELETE 'POT5xx.C2R1347.REPORT' PURGE 000013 DELETE 'POT5xx.C2R1347.CKR2PASS' PURGE 000014 DELETE 'POT5xx.C2R2C78.CKRTSPRT' PURGE 000015 DELETE 'POT5xx.C2R2C78.SYSTERM' PURGE 000016 DELETE 'POT5xx.C2R2C78.REPORT' PURGE 000017 DELETE 'POT5xx.HFS' PURGE 000018 DELETE 'POT5xx.C2R1C78.CKRTSPRT' PURGE 000019 DELETE 'POT5xx.C2R1C78.SYSTERM' PURGE 000020 DELETE 'POT5xx.ISPF.ISPPROF' PURGE 000021 DELETE 'POT5xx.C2R1347.CKRTSPRT' PURGE EssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssN y Press PF3, enter R at the cursor location, press ENTER to run these commands y DssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM 000025 deldsd 'ABC001.*.**' generic Con el zSecure Admin, Usted puede seleccionar acciones específicas de borrar usuarios, él no borra solamente el usuario, pero todas las profiles y conecciones que este usuario posee, no dejando datos perdidos en la base de datos del RACF. Administración de Seguridad RACF Security zSecure Admin for RACF -17- Recreación de un usuario En esta parte del entrenamiento, recrearemos un usuario que fue borrado. Para eso, utilizaremos el usuario creado en el ejercicio anterior. El usuario será borrado, pero antes una copia de la base de datos de RACF será hecha, para la recreación. En esta copia estarán todos los datos de ese usuario. Primeramente, vaya a la opción SE.2 y cree una copia de la base de datos de RACF. Acuérdese que el nombre del archivo debe terminar con UNLOAD. OBSERVACIÓN: CREE COM El PATRÓN ‘SECURITY.ZSEC220.POT00xx.UNLOAD’. 5 Cilindros son suficientes en este sistema. Borre el usuario, utilizando la opción RA.U. Ponga una barra (“ / “) en la frente del usuario y después dé el comando D (Delete), seguido de la opción 1 (“Delete Userid”). Certifique que el usuario fue realmente removido de la base de datos de RACF, a través de la opción RA.U. Vuelva a la opción SE.1 y seleccione la copia de la base de datos de RACF criada en este paso. Deseleccione (U) la base de datos de RACF online. A través de la opción RA.U, ahora si puede visualizar nuevamente el usuario borrado. La partir de ese banco de datos, vamos a recrear. A través de la selección del usuario (opción RA.U), seleccione con “/” y seleccione la opción R en el pop up abierto. zSecure Admin+Audit for RACF USER ABC5xx overview C Essssssssss zSecure Admin+Audit for RACF - Actions sssssssssssN oll===> CSR U y Select one of 22 actions y y y OA gC LCX Grp / y A Authorization (permits and scope) y X 1 * y AC Access Check for userid on one profile y ************* y C Copy userid y y CO Add connect for this userid y y D (Prepare actions for) delete userid y y E Display event logging y y L RACF listuser all command y y M Move user from group (to another) y y MI Manage userid-information y y ML Manage logon-information y y MR Manage CKGRACF authority requirements y y MS Manage CKGRACF revoke/resume schedules y y MT Manage TSO-information y y MU Manage installation-defined USERDATA y y P Change password and resume y Administración de Seguridad RACF Security zSecure Admin for RACF -18- y PE Add or delete permit for this userid y R Recreate userid y DsssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssM y y y Seleccione las opciones de recreación del usuario: Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - User Recreate Command ===> Recreate userid . . PROSER Specify options for recreate / Copy Dataset and General Resource profiles for this user / Copy Access List entries with this user Use CKGRACF to update the user profile Otra opción es utilizar la funcción RA.4 especificada como MASS UPDATE en el menu principal zSecure Admin, Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Main menu Option ===> =ra.4 More SE Setup Options and input data sets RA RACF RACF Administration U User User information G Group Group information D Data set Data set profiles R Resource General resource profiles S Settings Setropts and class settings H Helpdesk One-panel helpdesk options Q Quick admin Quick User Administration 1 Access Access Check 2 Queued Display and action on profiles with QUEUED commands 3 Reports Reports with profiles and resources 4 Mass update Specify mass copy/recreate/delete actions 5 DIGTCERT Work with digital certificates C Custom Custom report AU Audit Audit security and system resources RE Resource Resource reports EV Events Event reporting from SMF and other logs CO Commands Run commands from library y, a seguir, la opción 6 (o =RA.4.6): Menu Options Info Commands Setup Startpanel sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - Mass update Administración de Seguridad RACF Security zSecure Admin for RACF -19- Option ===> 0 1 2 3 4 5 6 7 8 9 C Copy user Copy group Copy dataset Copy resource Delete user Delete group Recreate user Recreate grp Recreate ds Recreate res Copy CICS Copy existing user(s) to new user(s) Copy existing group(s) to new group(s) Copy dataset profile(s) to another high level qualifier Copy general resource profile(s) to another class Delete user(s) Delete group(s) Recreate user(s) Recreate group(s) Recreate data set profile(s) Recreate general resource profile(s) Copy CICS prefixed profile(s) or member(s) Definir el nombre del usuario y el owner, seleccionar las especificacciones y dar enter. Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - User Recreate Command ===> Recreate userid . . ABC5xx Owner . . . . . . . (user profile key or filter) (group or userid, or filter) Specify options for recreate / Copy Dataset and General Resource profiles for this user / Copy Access List entries with this user Use CKGRACF to update the user profile Administración de Seguridad RACF Security zSecure Admin for RACF -20- Observar los comandos que serán ejecutados y el resultado del proceso. Verificar la creación del usuario. File Edit Edit_Settings Menu Utilities Compilers Test Help ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss EDIT EUGENIO.C2R1A8D.CKRCMD Columns 00009 00080 Command ===> Scroll ===> CSR ****** ***************************** Top of Data ***************************** 000001 /* CKRCMD file CKR1CMD complex MVST generated 31 Jan 2010 18:57 */ 000002 adduser POT5xx owner(GRPTIVOL) dfltgrp(GRPTIVOL) 000003 password user(POT5xx ) interval(120) 000004 connect POT5xx group(GRPTIVOL) owner(GRPTIVOL) auth(USE) uacc(NONE) 000005 altuser POT5xx tso() 000006 altuser POT5xx omvs() ****** **************************** Bottom of Data *************************** NOTA INTERESSANTE: Verifique que el archivo acima (que termina con **.CKRCMD) contém informacciones importantes y que debe ser protegido de leitura!!!!! zSecure Admin+Audit for RACF USER ABC5xx overview 0 s elapsed, 0.0 s CPU Command ===> Scroll===> CSR Users like PROSER 31 Jan 2010 18:59 User Complex Name DfltGrp Owner RIRP SOA gC LCX Grp POT5xx MVST GRPTIVOL GRPTIVOL X 1 ******************************* Bottom of Data ******************************** Por tanto, para recriar un usuario perdido, debe obtener como input file una copia del DB de RACF en el período en que este usuario existió y seleccionar para fuente de datos. Eso si aplica la obtención de recursos perdidos o retorno la situaciones anteriores. COMANDOS PARA El RACF EN LA AGENDA Para poner en la agenda los comandos emitidos en el zSecure Admin, debe configurar en =SE.4, especificando en “Action on command” la opción 1 “Queue”, seguida entrar un PF3 para aceptarse la opción. Todas las acciones ejecutadas serón enviadas a una cola para posterior liberación. Para que la ejecución sea realizada, es necessário que el servidor del zSecure Admin esteja activo (Security zSecure CARLa-Driven Components Version 2.2.0 Installation and Deployment Guide SC27-5638-01, Capítulo 9) o la ejecución de un job automáticamente para ejecutar los comandos pendientes. Observación importante: Note que la diferencia con la opción “Ejecute” y “Not allowed”. Esas opciones pueden ser colocadas como default para nuevos usuarios, utilizando la opción SE.D.4. La opción SE.D define los defaults para los nuevos usuarios o para todos los usuarios del zSecure. Menu Options Info Commands Administración de Seguridad RACF Setup Security zSecure Admin for RACF -21- ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Setup - Confirm Command ===> Action on command . . 1 Confirmation . . . . 4 1. Queue 1. None 2. Ejecute 2. Deletes 3. Not allowed 3. Passwords 4. All Command generation Enter "/" to select option(s) / Overtype fields in panels / Change generated commands / Specify start/end date / Generate SETROPTS REFRESH commands / Issue prompt before generating SETROPTS REFRESH commands Commands to generate / RACF commands / CKGRACF commands / CKGRACF ASK for later execution / CKGRACF REQUEST for later execution CKGRACF WITHDRAW queued commands / CKGRACF RDELETE commands Después la opción de Queue ser estipulada, los comandos serán colocados en una cola para procesamiento, conforme requisición del administrador. Puede también programar cualquier ejecución en la pantalla de Confirm Comand, utilizando la opción 3, e insiriendo la data a iniciar el evento, data de término y motivo de la programación. zSecure Admin+Audit for RACF - Confirm command Command ===> Confirm or edit the following command permit 'zSecure.V110.**' class(DATASET) Command execution . 1 Specify date Start date . Until/for . Reason . . . for . . . . . . 1. 2. 3. 4. 5. id(PROSER) ACCESS(READ) QUEUE RACF command QUEUE CKGRACF command (allows use of Reason) ASK administrator to EXECUTE CKGRACF command REQUEST CKGRACF command for later execution WITHDRAW CKGRACF command command to be ejecuted . . (ddmmmyyyy, yyyy-mm-dd or TODAY) . . (ddmmmyyyy, yyyy-mm-dd or number of days) . . Press ENTER to continue or END to cancel the command INFORMACIÓN SOBRE GRUPOS DE RACF En la opción RA.G, si puede trabajar con el concepto de grupos en el RACF. De la misma manera que para Usuarios (opción RA.U), si puede crear, borrar, cambiar, recrear un grupo. En este PoT, llamamos la atención para filtros posibles en esa opción RA.G. Administración de Seguridad RACF Security zSecure Admin for RACF -22- Listar grupos sem usuarios conectados Escolla la opción RA.G (Grupos). Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Main menu More: + SE Setup Options and input data sets RA RACF RACF Administration U User User information G Group Group information D Data set Data set profiles R Resource General resource profiles S Settings Setropts, RRSF, and class settings H Helpdesk One-panel helpdesk options Q Quick admin Quick User Administration W Windows zSecure Visual administration 1 Access Access Check 2 Queued Display and action on profiles with QUEUED commands 3 Reports Reports with profiles and resources 4 Mass update Specify mass copy/recreate/delete actions 5 RACDCERT Work with certificates, key rings, filters and tokens C Custom Custom report AU Audit Audit security and system resources RE Resource Resource reports Option ===> g Con una barra ( / ) sobre ‘Profile fields’ y un asterisco ( * ) en Group id: Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - Group Selection Add new group or segment Show groups that fit all of the following criteria Group id . . . . . * (group profile key or filter) Owner . . . . . . . (group or userid, or filter) Subgroup of . . . . (group or filter) With subgroup . . . (group or filter) Installation data . (data scan, en el filter except *) Additional selection criteria / Profile fields Connect fields Segment presence Absence Com una barra ( / ) sobre ‘Profile fields’ y un asterisco ( * ) en Group id. En la próxima pantalla, ponga ‘ = 0 ‘en los campos ‘# connected users’ y ‘# subgroups’. O sea, listaremos todos los grupos que no tengam usuarios conectados a elles ni subgrupos. Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - Group Selection All profiles Show groups that also fit all of the following criteria: Selection by date Administración de Seguridad RACF Security zSecure Admin for RACF -23- Creation date . . . Miscellaneous fields Complex . . . . . . # connected users . = # subgroups . . . . = (date: yyyy-mm-dd/ddMMMyyyy/ DUMPDATE/DUMPDATE-nnn/ TODAY/TODAY-nn/NEVER) 0 0 (complex name or filter) (operator: < <= > >= = <> ¬= ) El resultado será: 0 s elapsed, 0.0 s CPU zSecure Admin+Audit for RACF GROUP Overview All profiles with #connects=0, #subgroups=0 Group Complex SupGroup X Owner Grps AASRVG ZOS113 SYSPROG X IBMUSER ADCCODE ZOS113 DATASETS DATASETS ADCC370 ZOS113 DATASETS DATASETS ADCPLI ZOS113 DATASETS DATASETS ADCYCLE ZOS113 DATASETS DATASETS ADC370 ZOS113 DATASETS DATASETS ADPS ZOS113 DATASETS DATASETS ADSMX ZOS113 DATASETS DATASETS 14 Oct 2015 22:43 Users Conn U nTU Created 11Nov2009 01Nov1993 01Nov1993 01Nov1993 02Nov1993 18Apr1995 01Nov1993 05Jan1994 Llamamos la atención para comandos que pueden ser ejecutados en esa (y en otras pantallas) del producto: F o FIND Ubicar un caracter RFIND o PF5 Ubicar de nuevo SORT nombre de coluna La o D (ascendente o descendente Ordenar una columna INFORMACIÓN SOBRE DATASETS DE RACF En la opción RA.D, vamos a trabajar con definiciones de datasets en el RACF. De la misma manera que para Usuários, Grupos (opción RA.U y RA.G), si puede crear, borrar, cambiar, recrear un dataset. En este PoT, llamamos la atención para filtros possíveis en esa opción RA.D. Administración de Seguridad RACF Security zSecure Admin for RACF -24- Listar perfis de datasets con UACC mayor que READ Escoger la opción RA.D (Datasets). Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Main menu More: + SE Setup Options and input data sets RA RACF RACF Administration U User User information G Group Group information D Data set Data set profiles R Resource General resource profiles S Settings Setropts, RRSF, and class settings H Helpdesk One-panel helpdesk options Q Quick admin Quick User Administration W Windows zSecure Visual administration 1 Access Access Check 2 Queued Display and action on profiles with QUEUED commands 3 Reports Reports with profiles and resources 4 Mass update Specify mass copy/recreate/delete actions 5 RACDCERT Work with certificates, key rings, filters and tokens C Custom Custom report AU Audit Audit security and system resources RE Resource Resource reports Option ===> d Con una barra ( / ) sobre ‘Profile fields’ y un asterisco ( *.* ) en Dataset profile id: Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - Data set Selection Add new DATASET profile or segment Show dataset profiles that fit all of the following criteria Dataset profile . . *.* Owned by . . . . . (group or userid, or filter) High level cual . . (qualifier or filter) Installation data . (substring or *) 1 1 2 3 4 Additional selection criteria / Profile fields Access list Absence Segment presence EGN mask Exact Match Any match En la próxima pantalla, llene con UACC > 3, o sea, UACC mayor que READ Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss Administración de Seguridad RACF Security zSecure Admin for RACF -25- zSecure Admin+Audit for RACF - RACF - Data set Selection like *.* Specify additional selection criteria: Profile properties Creation date . . . (date: yyyy-mm-dd/ddMMMyyyy/TODAY-nnn) On volume . . . . . (disk/tape volser or filter) Complex . . . . . . (complex name or filter) Level . . . . . . . (installation defined resource level) Enter "/" to specify inclusion criteria / Generic / Warning mode / Erase on scratch / Tape data set / Discrete / En el warning / En el erase / En el tape data set Enter "/" to limit UACC audit Queued commands > 3 Userdata Universal access Unconditional ID(*) or ID(*) 1. 2. 3. 4. 5. 6. 7. Success audit None Ejecute Read Update Control Alter Ignore UACC 1. 2. 3. 4. 5. 6. Never >=Read >=Update >=Control Alter Ignore En el failure 1. 2. 3. 4. 5. Read <=Update <=Control <=Alter Ignore Command ===> Resultando en los archivos que no están protegidos. 0 s elapsed, 0.0 s CPU zSecure Admin+Audit for RACF DATASET Overview like *.* with UACC or ID(*)>READ 14 Oct 2015 23:32 Profile key Type UACC Owner S/F W MARQUEZ.** GENERIC ALTER MARQUEZ R PERALTA.** GENERIC ALTER PERALTA R SYS1.BRODCAST GENERIC UPDATE ALICE R WORK.** GENERIC ALTER ALICE R ZPDATA42.** GENERIC UPDATE ZPDATA40 U R ZTDATA52.** GENERIC UPDATE ZTDATA52 U R ******************************* Bottom of Data ******************************** Comparando ACL del RACF y del zSecure zSecure posee amplia variedad de visualización de los ACLs (Access Control List). Verifique quien posee acceso a la libraría SYS2.PARMLIB.MVS1, a través de la pantalla RA.D. Menu Options Info Commands Setup sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF 0.0 s CPU, RC=0 Add new DATASET profile or segment Show dataset profiles that fit all of the following criteria Dataset profile . . SYS2.PARMLIB.MVS1 Owned by . . . . . (group or userid, or filter) High level cual . . (qualifier or filter) Installation data . (substring or *) 1 1 2 3 4 Additional selection criteria Profile fields Access list Absence Segment presence Administración de Seguridad RACF EGN mask Exact Match Any match Security zSecure Admin for RACF -26- Resultado abajo. En esta pantalla, ponga un ‘ S ‘ (Select) en la frente del perfil del dataset SYS2.PARMLIB.MVS1: 0 s elapsed, 0.0 s CPU zSecure Admin+Audit for RACF DATASET Overview like SYS2.PARMLIB.MVS1 15 Oct 2015 00:16 Profile key Type UACC Owner S/F W s SYS2.PARMLIB.MVS1 GENERIC READ SYS1 R Y ******************************* Bottom of Data ******************************** Resultado: Line 1 of 162 zSecure Admin+Audit for RACF DATASET Overview like SYS2.PARMLIB.MVS1 Identification Profile name Type Volume serial list Effective first qualifier Owner Installation data User ESTHON ESTHON ALICE ESTHON EUGENIO GELDER LUIZCRI MSAN Access ALTER-O ALTER-O ALTER ALTER ALTER ALTER ALTER ALTER ACL id SYS1 SYS1 ZOSSUP ZOSSUP ZOSSUP ZOSSUP ZOSSUP ZOSSUP 15 Oct 2015 00:16 ZOS113 SYS2.PARMLIB.MVS1 GENERIC SYS2 SYS1 MASTER GROUP When RI Name ESTHON MEDEIROS ESTHON MEDEIROS ALICE SHITARA ESTHON MEDEIROS EUGENIO FERNANDES WILLEM DE GELDER LUIZ CRISTIAN MARCELO SANTIAGO DfltGrp USER USER SYSPROG USER SYSPROG USER SYSPROG SYSPROG Ejecute en la línea de comando (Command) el comando ACL NORMAL. Resultado: Line 1 of 35 zSecure Admin+Audit for RACF DATASET Overview like SYS2.PARMLIB.MVS1 Identification Profile name Type Volume serial list Effective first qualifier Owner Installation data User -group-group-groupCEA Access ALTER UPDATE UPDATE READ ACL id ZOSSUP RDZSUP SYSPROG CEA 15 Oct 2015 00:16 ZOS113 SYS2.PARMLIB.MVS1 GENERIC SYS2 SYS1 MASTER GROUP When RI Name DfltGrp SYS1 Administración de Seguridad RACF Security zSecure Admin for RACF -27- Comandos posibles para ACL: ACL EXPLODE – muestra una línea explosionada, que puede contener más de una línea por usuario, mostrando el acceso y por cual vía (ACL id) este acceso fue realizado. ACL RESOLVE – muestra una línea por usuario, con el acceso efectivo que el usuario posee en el recurso. ACL NORMAL – muestra los accesos, como están registrados en el recurso. COMPARAR USUARIOS O GRUPOS zSecure Admin permite que usuarios o grupos sean comparados, para que verifíquense posibles diferencias en sus definiciones. Para esto, use la opción RA.3 (Reports), seguida de G (Compare users). Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Main menu More: + SE Setup Options and input data sets RA RACF RACF Administration U User User information G Group Group information D Data set Data set profiles R Resource General resource profiles S Settings Setropts, RRSF, and class settings H Helpdesk One-panel helpdesk options Q Quick admin Quick User Administration W Windows zSecure Visual administration 1 Access Access Check 2 Queued Display and action on profiles with QUEUED commands 3 Reports Reports with profiles and resources 4 Mass update Specify mass copy/recreate/delete actions 5 RACDCERT Work with certificates, key rings, filters and tokens C Custom Custom report AU Audit Audit security and system resources RE Resource Resource reports Option ===> 3 Menu Options Info Commands Setup Startpanel sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - RACF - Reports 1 2 3 4 5 6 7 8 9 Profiles Non redundant Redundant Permit/scope Out of group Non default Match Group tree USERDATA Any profiles fitting mask/qualifier with their data sets Data set profiles different from less specific profiles All data set profiles, mark if non-redundant (las in 2) User/group on access list, or access by any means Group data sets accessible to users outside the group Data sets with more in access list than 'owner has alter' Find profiles that cover la data set or resource Group tree display Display and action on profiles with USERDATA Administración de Seguridad RACF Security zSecure Admin for RACF -28- A B C D E F G Tapevol RACFvars APPL JES/328X SDSF JES2 Compare users Tapevol profile overview RACF variable profiles Application profiles Jes/328X definitions and log data sets SDSF command and display authorities Access to JES2 resources Compare access and/or connect Option ===> g Menu Options Info Commands Setup ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Reports - Compare users Enter up to 4 userids to compare access and/or connects Userid . . . . EUGENIO POT0001 RONALDO ALICE Select report(s) / Compare access through user-specific permits / Include group permits / Compare connects Output in print format Resultado: zSecure Admin+Audit for RACF Display Selection Line 1 of 2 Name Summary Records Title PERMIT 28 2470 Compare PERMITs for users, including group permits CONNECT 20 20 Compare CONNECTs for users ******************************* Bottom of Data ******************************** Verificando CONNECT: Compare CONNECTs for users Enter S in front of la group to change connect Group EUGENIO POT0001 RONALDO ALICE AACFG Yes Yes No No ABCTESTE Yes Yes No No ADMIN Yes Yes No No AOCDEMO Yes Yes No No CFZADMGP No No No Yes CFZUSRGP No No No Yes C2RGROUP Yes Yes No No DB2ADMIN Yes Yes No No DB2SUP Yes Yes No No DRL Yes Yes No No DRLGRP Yes Yes No No DRLSYS Yes Yes No No DRLUSER Yes Yes No No NETVGRP Yes Yes No No SYSAUDIT Yes Yes No No SYSPROG Yes Yes No Yes SYS1 No No No Yes USER No No Yes No 15 Oct 2015 00:02 ******************************* Bottom of Data ******************************** Administración de Seguridad RACF Security zSecure Admin for RACF -29- Utilizando CARLa CODE El zSecure Suíte ejecuta todas sus funcionalidades utilizando el CARLa code, así, vamos a hacer una pequeña muestra en este punto para que puedan comprender el contexto. Esctrutura básica del código CARLa: Ubicar los archivos (ALLOC), crear nuevos informes (NEWLIST), seleccionar los registros (SELECT) y mostrar los datos (SUMMARY, DISPLAY, LIST). alloc newlist select sortlist summary newlist select sortlist summary Vaya al menu principal del producto y entre en la opción CO (Commands). Menu Options Info Commands Setup Startpanel ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss zSecure Admin+Audit for RACF - Commands Option ===> 1 2 3 4 5 C Libraries Members Edit Run Submit Command Select and maintain command library Work with members from current command library Edit member from current command library Run member from current command library Run member from current command library in background Type in any CARLa command Member name . . . . . . (if 3, 4 or 5 selected) Two pass query . . . . N (Y/N, option 4 only) Current library . . . . DD:CKRCARLa Input complex . . . . . MVST, *NONAME* Current mask type . . . EGN Administración de Seguridad RACF Security zSecure Admin for RACF -30- Ejercicio 1: Listar usuarios POT* Utilizando la opción C entraremos en un miembro vacío en la biblioteca apuntada en el DD CKRCARLa y haremos la codificación, utilizando Carla Code. Sustituya el nombre del miembro por su usuario (POT00xx1). EDIT ****** =NOTE= ==MSG> ==MSG> 000100 000200 000300 ****** SECURITY.ZSEC220.SCKRCARL(POT00xx) - 01.00 Columns 00001 00072 ***************************** Top of Data ****************************** Enter GO or RUN to ejecute commands, SUB or SUBMIT to generate batch job -Warning- The UNDO command is not available until you change your edit profile using the command RECOVERY ON. SELECT s=base c=user MASK=POT* DISPLAY KEY(8) COMPLEX PGMRNAME DFLTGRP OWNER, spec(1,hb) | oper(1,hb) | auditor(1,hb) **************************** Bottom of Data **************************** Ejecute el CARLa arriba a través del comando GO. El resultado será: IBM Security zSecure RACF display 0 s elapsed, 0.0 s CPU 13 Oct 2015 11:10 Profile Complex Name DfltGrp Owner SOA POT0001 ZOS113 USUARIO 0001 POT SYSPROG EUGENIO S POT0002 ZOS113 USUARIO 0002 POT SYSPROG EUGENIO S POT0003 ZOS113 USUARIO 0003 POT SYSPROG EUGENIO S POT0004 ZOS113 USUARIO 0004 POT SYSPROG EUGENIO S POT0005 ZOS113 USUARIO 0005 POT SYSPROG EUGENIO S POT0006 ZOS113 USUARIO 0006 POT SYSPROG EUGENIO S POT0007 ZOS113 USUARIO 0007 POT SYSPROG EUGENIO S POT0008 ZOS113 USUARIO 0008 POT SYSPROG EUGENIO S POT0009 ZOS113 USUARIO 0009 POT SYSPROG EUGENIO S POT0010 ZOS113 USUARIO 0010 POT SYSPROG EUGENIO S POT0011 ZOS113 USUARIO 0011 POT SYSPROG EUGENIO S POT0012 ZOS113 USUARIO 0012 POT SYSPROG EUGENIO S ******************************* Bottom of Data ******************************** Ejercicio 2: SORTLIST x DISPLAY. Listar Usuarios de un Grupo. Vamos a crear ahora un CARLa para listar los usuarios de un grupo. Cree un miembro POT00xx2 con eses comandos: NEWLIST TYPE=RACF SELECT CLASS=GROUP SEGMENT=BASE SORTLIST KEY(8) CONNECTS CREADATE Ejecute el CARLa arriba a través del comando GO. El resultado será: Profile AACFG User/Grp PC00008 ZSEC001 DIRCEUG B345678 Auth USE USE USE USE R SOA AG Uacc NONE NONE NONE NONE Revokedt Administración de Seguridad RACF Resumedt CreateDate 11 Nov 2009 Security zSecure Admin for RACF -31- Sustitua ahora SORTLIST por DISPLAY, que muestra el informe el informe en display 3270. El resultado está abajo. Ahora, los usuarios de un grupo son listados con un ‘s’ adelante del nombre del grupo. Profile AACFG AAGUESTG AASRVG ABC ABCTESTE ADCCODE ADCC370 CreateDate 11 Nov 2009 11 Nov 2009 11 Nov 2009 5 Jun 2013 25 Jun 2011 1 Nov 1993 1 Nov 1993 Ejercicio 3: Lista datos de varios segmentos. Vamos a crear un informe que lista los usuarios, nombre y si están revogados. Vamos a agregar datos que vienen del segmento TSO, como TLSIZE y UID. Cree un miembro POT00xx3 con eses comandos: NEWLIST TYPE=RACF SELECT CLASS=USER SEGMENT=BASE SORTLIST KEY(‘USERID’,8) NAME REVOKE TLSIZE UID(12) Ejecute el CARLa arriba a través del comando GO. El resultado será: USERID irrcerta irrmulti irrsitec AAACRU Name CERTAUTH Anchor Criteria Anchor SITE Anchor WAS CR OWNER- Rev DftKB YES YES YES Uid Ahora pongas un ‘ : ‘ (dos puntos) antes de TLSIZE y UID, para que el producto busque en otros segmentos (aquí, TSO). El resultado será: USERID irrcerta irrmulti irrsitec AAACRU AAADMIN AAADMSH Name CERTAUTH Anchor Criteria Anchor SITE Anchor WAS CR OWNERWAS ADMINISTRATOR WAS ASYNCH ADMIN TAS Rev DftKB Uid YES 0 YES 0 YES 0 0 0 0 400001 400002 400003 Ejercicio 4: Generar comandos RACF La salida de una ejecución de comandos CARLa puede ser comandos RACF para ejecución. Vamos a listar los usuarios que empezan con TE. NEWLIST TYPE=RACF file=ckrcmd nopage SELECT CLASS=user segment=base mask=te* sortLIST "alu" key(8) "tso(size(4096) acctnum(1234) proc(tsoproc))" La salida será: /* CKRCMD file CKR1CMD complex ZOS113 generated Administración de Seguridad RACF 5 Jul 2016 21:40 */ Security zSecure Admin for RACF -32- alu TEACEL1 alu TECOPER alu TELCEL tso(size(4096) acctnum(1234) proc(tsoproc)) tso(size(4096) acctnum(1234) proc(tsoproc)) tso(size(4096) acctnum(1234) proc(tsoproc)) Atención al mensaje al final del archivo: Press PF3, enter R at the cursor location, press ENTER to run these commands O sea, es posible ya ejecutar los comandos. Una pequeña variación: vamos a conectar varios usuarios a un grupo: NEWLIST TYPE=RACF file=ckrcmd nopage SELECT CLASS=user segment=base mask=te* sortLIST "connect (" key(8) ") group(SYSPROG) authority(USE), uacc(NONE)" La salida será: /* CKRCMD connect ( connect ( connect ( file CKR1CMD complex ZOS113 generated 5 Jul 2016 21:44 */ TEACEL1 ) group(SYSPROG) authority(USE),uacc(NONE) TECOPER ) group(SYSPROG) authority(USE),uacc(NONE) TELCEL ) group(SYSPROG) authority(USE),uacc(NONE) Administración de Seguridad RACF Security zSecure Admin for RACF -33-