SEARCH COMMAND como restringir este comando

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

SEARCH COMMAND como restringir este comando

Mensajepor TEST » 12 Feb 2013, 19:45

Estimados,
Tengo el encargo de restringir el comando SEARCH, solo para los system programmer y batch operations user. Encontre en el manual de IBM Controlling the Use of Operator Commands, que podria controlar el uso de este comando con la clase: OPERCMDS, creando un profile RACF.SEARCH.** y otro MVS.SEARCH.** con UACC=NONE permitiendo solo el acceso a los usuarios indicados, hice eso, pero cualquier usuario de TSO puede ejecutar este comando... Como puedo restringir el uso de este comando...?
Gracias,

NJB
Su anfitrion
Su anfitrion
Mensajes: 1104
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Re: SEARCH COMMAND como restringir este comando

Mensajepor NJB » 13 Feb 2013, 10:20

Hola

Realmente no se si se puede restringir o no, pero el comando search de RACF solo te deja ver aquello para lo que tienes autorización, por lo que realmente restringirlo es innecesario.

En cuanto al comado search de mvs (MVS.SEARCH) realmente no lo conozco, además no tienen nada que ver uno con otro ya que por tu descripción una parece ser un comando de consola (el último) y el otro uno de RACF.

Vos hablas de la clase opercmds y esa es solo para comandos de consola (o de SDSF).

Si podes aclarar un poco el tema seremos varios los que te agradeceremos y quizás podamos ayudarte.

Cordiales saludos
Norberto Bocalandro

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Re: SEARCH COMMAND como restringir este comando

Mensajepor JuanG » 16 Feb 2013, 15:36

Hola:

El comando SEARCH se puede ejecutar desde distintos entornos. Por ejemplo, como comando de TSO, como comando de consola, etc. Cuando se ejecuta como comando de consola, puede protegerse en la clase OPERCMDS. Pero esta proteccion no impide en absoluto la ejecucion desde TSO (foreground o batch). En general, casi todos los comandos de RACF se puede ejecutar como comandos de consola, siempre y cuando el subsistema RACF este activo (lo cual no tiene nada que ver con que RACF este funcionando). De todos modos, para los comandos de RACF ejecutados como comandos de consola, la proteccion en la clase OPERCMDS solo agrega un nivel extra de seguridad. Esto significa que el usuario, aparte de tener autorizacion sobre el perfil apropiado de la clase OPERCMDS, tiene que tener la autorizacion usual que necesitaria si lo ejecutara como comando de TSO.

Volviendo a la pregunta inicial, tal como dijo NJB,el comando SEARCH solo permite listar los perfiles que el usuario esta autorizado a ver. De modo que no parece tener demasiado sentido restringirlo. De todos modos, si se pretendiera insistir en esta idea, que reitero no me parece justificada, se podria proteger el comando en la clase PROGRAM. En tal caso, no solo habria que proteger al SEARCH sino tambien a sus ALIAS, si los tuviera. Y una vez protegidos en la clase PROGRAM, todo usuario para poder ejecutarlo deberia estar autorizado. Incluso los SPECIAL o AUDITOR.

Saludos,
Juan

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 70
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: SEARCH COMMAND como restringir este comando

Mensajepor Luislp2004 » 06 Jul 2017, 13:08

JuanG escribió:Hola:

....el comando SEARCH solo permite listar los perfiles que el usuario esta autorizado a ver. De modo que no parece tener demasiado sentido restringirlo. De todos modos, si se pretendiera insistir en esta idea, que reitero no me parece justificada, se podria proteger el comando en la clase PROGRAM. En tal caso, no solo habria que proteger al SEARCH sino tambien a sus ALIAS, si los tuviera. Y una vez protegidos en la clase PROGRAM, todo usuario para poder ejecutarlo deberia estar autorizado. Incluso los SPECIAL o AUDITOR.

Saludos,


Comparto. en definitiva no deja de ser un programa. Hay que localizar la biblioteca y definir su protección por la clase PROGRAM.

Respecto a q se puede ver con un SR.. basta leer el Help de TSO donde indica:

You must have a sufficient level of authority for each profile, selected as the result of your request, such that one of the,
following conditions is met:,
* You have the SPECIAL attribute,,
* You have the system-AUDITOR attribute,,
* The profile is within the scope of a group in which you have, either the group-SPECIAL or group-AUDITOR attribute, or,

If none of the above is true, one of the following must be true:,
* If the profile is for a data set, the high-level qualifier of the data set name (or the qualifier supplied by a command,
installation exit) is your user ID.,

* If the profile is in the FILE or DIRECTRY class, the second, qualifier of the profile name is your user ID.,

* You are on the access list for the profile and you have at least, READ authority.,

* Your current connect group (or, if list-of-groups checking is, active, any group to which you are connected) is on the access,
list and has at least READ authority.,

* You have the OPERATIONS attribute, or the profile is within the, scope of a group in which you have the group-OPERATIONS,
attribute, and the class is DATASET or a general resource class, that specifies OPER=YES in the static class descriptor table or
OPERATIONS(YES) in the dynamic class descriptor table.,

* The universal access authority is at least READ (or GLOBAL when listing discrete profiles).,
LuisLP - (CISA - CGEIT - CRISC)


Volver a “Seguridad Racf”