Beruflich Dokumente
Kultur Dokumente
Seguridadenmainframe:IntroduccinalRACF
Searchthissite
Acercade
Eventos
RecetasyTrucos
MFCornerCPD
Documentacin
GaleriadeFotos
Seguridadenmainframe:IntroduccinalRACF
BYADMINPOSTEDONJANUARY9,2008
March2015
M
POSTEDIN:DOCUMENTACIN,RECETASYTRUCOS,ZSERIES(MAINFRAME)
ElartculodehoyabordaraunnivelgeneralelsistemadeseguridadquetodomainframeconMVSposee:El
SecurityServeroeltradicionalmentellamadoRACF(ResourceAccessControlFacility).
10
11
12
13
14
15
Aunquepuedaparecerquetodoslossistemasdeseguridadalfinalsebasenenlomismo,enelcasodel
mainframeesuncasoaparte,yaqueelsistemadeseguridaddeunmainframesedesarrolljuntoconel
desarrollodelsistemaoperativoyportanto,esintrnsecoyestafuertementeacopladoalmismo.Encambio,otros
sistemastipoUnixydems,laseguridadfueundesarrolloposterioryportanto,sigueotrasdirectrices.Pero
vamosaloqueinteresa.
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
RACFesuncompendiodereglasdeseguridadquesecreanenbaseaunasclases.Unaclaseesungrupode
objetosloscualesqueremosotorgarleundeterminadoacceso,porloquetodoobjetopertenecientealamisma
clasetendrelmismoniveldeseguridad.Porobjetoseentiendedesdeunfichero,hastaunslotdeprocesoo
abstraccinfuncionaldesoftware,porllamarlodealgunamanera.
Oct
Galeradeimgenes
Existendostiposdeclases:Lasdenominadasnormales,esdecir,clasesdeacceso,facilitys,loggingydems.Y
luegoexistenlasclasesespeciales,quesondos:LasclasesUsuarioylasclasesDataset.Estasclasesse
denominanespecialesporquepuedensergobernadasporclasesnormalesquelesconferirnunciertoacceso,
vamos,queestasclasespuedenserregidasporotrasclases.
Evidentemente,laclaseUsuarioesmuyimportanteporquesehacecargodelaseguridadreferentealtipode
usuario,tipodeaccesoaloselementosmainframeyquefacilitiestieneotorgadopararealizarsutrabajo.
Ylaclasedatasetesunaclaseespecialquesirveparatenerelcontroltotalsobretodoelementosusceptiblede
grabarseendiscoocinta.
Portanto,sepodradecirqueRACFcontrolaTODOelsistemainternamente(procesos,subprocesos,schedulers,
dispatchers,elncleo,etc),controlalosusuarios,elaccesodelosusuariosalosdatos,elaccesodelos
mecanismosdeaccesoalosdatos,lainteraccindelosmecanismosdeaccesoconlosprocesos,vamos,esla
leche.
TantacomplejidadtieneexplicarlosentresijosdelRACF,quelonicoquesemeocurreparaexplicarcomo
funcionaesponerejemplosquemeencuentroeninstalacionesconproblemasquesurgendeautorizacionesy
comosolucionarlosparaquevayishacindoosunaligeraideadehastadondelleganlostentculosdeeste
magnificoperocomplejsimosistemadeseguridad.
Ejemplodeerrordeautorizacin
Porlogeneral,loserroresdeaccesosuelenaparecerenelLOGdelsistemaysuelentenerlamismaestructura.
nicamentecambianlostiposdecamposencadacaso.Portanto,debemossaberinterpretarlosparasaberque
esloqueestsucediendo:
17.09.55STC00098ICH408IUSER(START2)GROUP(SYS1)
NAME()
SYS1.CPAC.HZSPDATACL(DATASET)VOL(OSWORK)
INSUFFICIENTACCESSAUTHORITY
FROMSYS1.*(G)
ACCESSINTENT(UPDATE)ACCESSALLOWED(READ)
17.09.55STC00098IEC150I91338,IFG0194E,HZSPROC,HZSSTEP,HZSPDATA,1014,OSWORK,SYS1.CPAC.HZSPDATA
17.09.55STC00098*HZS0015EPROBLEMWITHHZSPDATADATASET:
COULDNOTOPEN
SignificaqueelusuarioSTART2delGrupoSYS1conrespectoalaclaseDATASETpretendehacerunUPDATE
cuandosolotienepermitidounREADalficheroSYS1.CPAC.HZSPDATA.Portanto,sepuedenhacerdoscosas:
Sieseusuarionodebetenerpermiso,noselodamosyquesejoda,odebemosdarlepermisosparaquepueda
hacerloquenecesita.EnnuestrainstalacinelusuarioSTART2esunusuarioqueseencargaprincipalmentede
arrancarSTARTEDTASKS,yaquelohemosconfiguradoas
enelRACFamenosquecreemosunusuario
especficoparaesastartedtaskespecfica(quesueleseras
enlamayoradeloscasos,peroyosoyundejadoy
unirresponsableyusoelmismousuarioparaarrancarcualquierstartedtask,pasaalgo?Jejeje).
http://mainframecorner.com/?p=93
1/5
25/3/2015
Seguridadenmainframe:IntroduccinalRACF
AltratarsedeunaclaseDATASET,esunaclaseESPECIALquetienesupropiomenenelRACF.Portanto,para
darelaccesoesalgodiferente.Lospasosaseguirsonlossiguientes:
1.AccederalInterfazdeRACFyteclearlaopcin1DATASETPROFILES.Estonosllevaralsubmende
seguridadaniveldedatasets.
Fig.1:PantallaprincipaldeRACF
Fig.2:SeguridaddeDATASETS
2.LoprimeroqueharemosserelegirlaopcinSo9deSEARCH,paracomprobarsilaclasedatasetdelaque
sequeja,existe(quedeberaexistir).EstaclaseeslaSYS1.*(G).
3.EnlapantalladelaFigura3,noaadiremosningunamscaraespecial,simplementedaremosaEnter.
Fig.3:Mascarasdebsqueda.
4.EnlapantalladelaFigura4,escribiremosALLenlaopcinTYPEparaquenoslistetodoloquetiene
controlado.
Fig.4:TiposdeDatasets
5.Aldarenter,nossaldrunalistadetodoslosdatasetsqueestncontroladosenlainstalacin.Y
http://mainframecorner.com/?p=93
2/5
25/3/2015
Seguridadenmainframe:IntroduccinalRACF
efectivamente,eldatasetSYS1.*(G)existe.
Fig.5:Salidadelabsqueda.
6.PulsaremossobrePF3yvolveremosalapantalladelafigura2.Enella,elegiremoslaopcin4ACCESS,lo
quenosllevaralafigurasiguiente:
Fig.6:ConfiguracindeAcceso.
7.EnPROFILENAME,escribiremoseldatasetalquequeremostenermsacceso.Ennuestrocaso,SYS1.*y
pulsaremossobrelateclaEnter.
8.Aadiremosunusuarioparadarleacceso,porloquedaremosa1ADD.
Fig.7:ListadeAccesos
9.Enlasiguientefigura,comonoqueremoscopiarningunperfilpredefinido,vamosaponerSPECIFYaYES.
Fig.8:Especificarmanualmentelosusuarios
10.YparacambiarelaccesoqueteniadeREAD,pondremosAUTHORITYaUPDATEylediremosaque
usuariosledaremosesaautoridad,enestecasoauno,START2.
http://mainframecorner.com/?p=93
3/5
25/3/2015
Seguridadenmainframe:IntroduccinalRACF
Fig.9:CambiarlaautorizacinalusuarioSTART2.
11.UnavezdadoaEnter,aparecerunPROFILECHANGED.Perotodavafaltahacerunltimopaso:Refrescar
elRACF.Paraello,daremosaPF3tantasvecescomoseanecesariohastallegaralmenprincipaldelRACF.
Pararefrescarlosdatos,elegiremoslaopcin5SYSTEMOPTIONSynosaparecerunmencomoeldela
figura10.
Fig.10:MendeOpcionesdeSeguridaddeRACF
Fig.11:OpcionesdeRefresh.
12.Marcaremoslaopcin6REFRESHyesonosllevaraaotraventanaconlasopcionesderefresh,deacuerdo
alaFigura11.Lomassencilloeselegirlaltimaopcin,ladePROFILESFORSPECIFICCLASSESaYESyeso
nospermitirrefrescarnicamentelaclasealaquehemoscambiadolasopciones,deacuerdoalaFigura12.
13.Enesaventana(Fig.12)escribiremoslaclaseespecfica(DATASET)yactualizaremoslazonaGLOBALy
GENERICA.EnunprincipiotambinhemoselegidolaRACLIST,peronoshasalidounerrordeRACFdiciendo
queesaclasenotocalaRACLIST,as
quehemosquitadoelYESdeesacolumnayhemosvueltoaaplicarlos
cambios.
14.Enestemomento,sivolvemosalanzarelprocesoquedabafallo,yanodeberadarloms.
http://mainframecorner.com/?p=93
4/5
25/3/2015
Seguridadenmainframe:IntroduccinalRACF
Fig.12:ClaseespecficaaRefrescar.
Comohabispodidocomprobar,esunsistemabastantecompletoysonmuchospasoslosquehayquedarpara
simplementeasignarunpermisoconcretoaunusuarioconcretoaungrupodeficherosconcreto.Peroahiradica
elcontroldelsistema,esdecir,tenertodocontroladoytodoauditadoporRACF.
CualquierpuristadeUnixdirqueconhacerunsimplechownyunchmodtienessolucionadoelproblema,pero
nohayqueolvidarque,apesardeloquepuedadecirlagente,laseguridaddelossistemasUnixnodejadeser
dejuguetecomparadoconestesistema,deahisusimplicidad,yencambiolarobustezdeunmainframeesta
marcadasobretodoporunaseguridadeficiente,noenvanoesunadelasmaquinasmassegurasdelmundo.
Aboutadmin
DirectordeProyectosdeentornosMainframe,AIXyAS/400,llevomasde10aos
trabajandoparaelsectorserviciosybanca,ascomoproyectosdesistemas,renovacin
tecnolgica,estrategiasdebackup,yconsultoradesistemas.
CommentsClosed
Commentsareclosed.Youwillnotbeabletopostacommentinthispost.
CopyrightTheMainframeCorner.AllRightsReserved.
http://mainframecorner.com/?p=93
AboutArrasWordPressTheme
5/5