¿Sugerencias para migracion de CA-TSS a RACF?

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
Gazapo

¿Sugerencias para migracion de CA-TSS a RACF?

Mensaje por Gazapo » 25 Ene 2008, 09:50

En mi empresa vamos a migrar de CA-Top Secret a RACF y creo que la implicación es muy elevada. ¿Sugerencias?

Luis Miguel Martinez Ch.

Re: ¿Sugerencias para migracion de CA-TSS a RACF?

Mensaje por Luis Miguel Martinez Ch. » 25 Ene 2008, 13:39

1.- Obten un listado de TSS ( base de datos) de todos los usuarios ACIDs, grupos, STC, clases, facilities, etc. y comienza a mapearlo con los comandos RACF que necesitaras ejecutar para crear la misma estructura en RACF.

2.- Tools

http://www.pf-one-consulting.com/
http://www.pf-one-consulting.com/pfa.html
https://www.go2vanguard.com/services/racf_services.cfm

NJB
Su anfitrion
Su anfitrion
Mensajes: 1112
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Mensaje por NJB » 25 Ene 2008, 13:46

Hola

Donde yo trabajo eso lo hicimos hace unos 8 años atras.

Yo como soporte técnico de RACF tuve bastante participación, y por eso te digo que lo primero que hay que entender es que no es una migración, sino arrancar de cero con las normas de tu instalación.

Funcionalmente el TSS trabaja simulando una estructura similar a la administrativa, mientras que el RACF usa una estructura, tambien jerárquica, pero a nivel del sistema.

El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger.

Que sale de esto, que es necesario una excelente planificación, y que todo lo que se impacte sobre la base de RACF se haga con jobs batch, para tener una historia de todo lo que se hizo y poder revertir lo que se desee en cualquier momento.

Desde ya que lo ideal sería un entorno de prueba, pero eso es imposible (teniendo en cuanta todos los usuarios), por lo que lo que queda es planificar, "migrar" y posteriormente dar un IPL de prueba con RACF.

Levantar todos los errores detectados, corregir, y volver a probar.

En cada prueba no queda mas remedio que dar IPL ya que al TSS lo podes subir y bajar pero no al RACF que requiere IPL.

Hay para hablar mucho mas pero a modo de primera imagen con esto tenes.

Cualquier duda postea que en lo que pueda te doy una mano.

Te mando un cordial saludo
Norberto Bocalandro

Gazapo

Mensaje por Gazapo » 28 Ene 2008, 05:42

Gracias por vuestros consejos y ayudas, en teoria un tecnico de IBM va a hacer la migración y yo voy a ser el colaborador de mi empresa. Lo que no tengo tan claro como va a ser el tema porque, sinceramente, lo veo un poco oscuro. Espero tener tiempo de iros informando.

Gazapo

Mensaje por Gazapo » 31 Ene 2008, 10:51

Estamos empezando con la migración, como ya os he comentado y me hace falta un listado de todos los dataset del sistema protegidos por TSS, con el who has dataset(**) solo me salen los alias genericos pero ninguno, más, si hago un listado generico, como por ej. A*, no sale nada, sin embargo, si hago uno como UAN*, salen varios porque se que hay ficheros UANP.*, etc. ¿Alguna sugerencia de comando para poder sacar todos los ficheros protegidos porque no veo en los manuales cual podria ser?

Luis Miguel Martinez Ch.

Mensaje por Luis Miguel Martinez Ch. » 31 Ene 2008, 21:10

* Intentaste ...

TSS WHOHAS DSN(*)
TSO WHOOWNS DSN(*)
TSS WHOHAS DSN (TSS) and (HLQ.*).


* Existen los alias definidos para los HLQ

* Checa con un listado de usuario conocido

TSS LIS(usuario) DATA(all)

* Checa con un listado


TSS LIST(ALL) DATA(ALL)

Gazapo

Mensaje por Gazapo » 04 Feb 2008, 07:51

Gracias, Luis Miguel, el TSS list (all) data(All) ha funcionado pero el que realmente me ha servido ha sido el TSS WHOOWNS DSN(*), con este me da todos los alias que el TSS controla y ahora voy a listarlos uno a uno porque genericamente no sale. Gracias de nuevo. Seguimos para bingo.

man010
Usuario
Usuario
Mensajes: 11
Registrado: 19 Feb 2016, 07:46
País: España
Ciudad: Barcelona
Ocupación: IT Specialist

Re:

Mensaje por man010 » 08 Sep 2016, 11:27

Hola a todos,
Yo me encuentro en la misma situación, pero 8 años despues que Gazapo, estamos en los primeros pasos del estudio de la "migración" de TSS a RACF.

Estamos preocupados sobre todo por algo que, curiosamente, se comenta al contrario en este foro.

"El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger. "

En nuestra instalación, que ahora tiene TSS, si no definimos un recurso este queda sin protección, y es exactamente eso lo que nos preocupa de RACF, que según entendemos no es así. Todo queda protegido y han de habilitarse los accesos siempre.

Cualquier consideración adicional que creáis importante, por favor hacedmela saber.

Muchas gracias
NJB escribió:Hola

Donde yo trabajo eso lo hicimos hace unos 8 años atras.

Yo como soporte técnico de RACF tuve bastante participación, y por eso te digo que lo primero que hay que entender es que no es una migración, sino arrancar de cero con las normas de tu instalación.

Funcionalmente el TSS trabaja simulando una estructura similar a la administrativa, mientras que el RACF usa una estructura, tambien jerárquica, pero a nivel del sistema.

El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger.

Que sale de esto, que es necesario una excelente planificación, y que todo lo que se impacte sobre la base de RACF se haga con jobs batch, para tener una historia de todo lo que se hizo y poder revertir lo que se desee en cualquier momento.

Desde ya que lo ideal sería un entorno de prueba, pero eso es imposible (teniendo en cuanta todos los usuarios), por lo que lo que queda es planificar, "migrar" y posteriormente dar un IPL de prueba con RACF.

Levantar todos los errores detectados, corregir, y volver a probar.

En cada prueba no queda mas remedio que dar IPL ya que al TSS lo podes subir y bajar pero no al RACF que requiere IPL.

Hay para hablar mucho mas pero a modo de primera imagen con esto tenes.

Cualquier duda postea que en lo que pueda te doy una mano.

Te mando un cordial saludo

Avatar de Usuario
Vicente
Colaborador avanzado
Colaborador avanzado
Mensajes: 543
Registrado: 21 Jul 2011, 04:52
País: España
Ciudad: Malaga
Ocupación: Técnico en Sistemas

Re: ¿Sugerencias para migracion de CA-TSS a RACF?

Mensaje por Vicente » 09 Sep 2016, 12:03

Hola man010,
Se puede configurar si RACF va a impedir o no accesos a recursos no definidos.
Puedes leer sobre SETROPTS PROTECTALL y SETROPTS PROTECALL(WARNING) en

Security Server RACF Security Administrator's Guide
Chapter 5. Specifying RACF Options
RACF-Protecting All Data Sets (PROTECTALL Option)

En particular te interesará leer el apartado:
"SETROPTS Options for Initial Setup" del mismo capítulo 5

Para una completa información sobre el mandato SETROPTS hay que leer el manual
Security Server RACF Command Language Reference

Es posible que desaparezcan tus preocupaciones si lees:
Security Server RACF Security Administrator's Guide
Chapter 2. Organizing for RACF Implementation
en su apartado: Allowing a Warning Period

Espero que estas lecturas te ayuden o te den ideas de otras lecturas que te hagan más fácil el cambio.
Un saludo
Varios días probando, equivocandote y volviendo a probar
pueden ahorrarte quince minutos de lectura de un manual.

man010
Usuario
Usuario
Mensajes: 11
Registrado: 19 Feb 2016, 07:46
País: España
Ciudad: Barcelona
Ocupación: IT Specialist

Re: ¿Sugerencias para migracion de CA-TSS a RACF?

Mensaje por man010 » 14 Sep 2016, 12:04

Muchas gracias Vicente,

La información que me has facilitado está siendo MUY útil, pero me está surgiendo una duda que no consigo resolver respecto a SETROPTS PROTECTALL.

Según veo en la documentación PROTECTALL es un parámetro que podemos definir como NOPROTECTALL: "Un usuario podrá crear y accede a un DS que no esté definido en ningún perfil de RACF. De hecho, RACF utiliza una base de datos inicializada nuevamente."

El problema es, ¿Esta función sólo afecta a los DATASET o se trata de un parametro que afecta a RACF de forma global?
Muchas gracias

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Re: ¿Sugerencias para migracion de CA-TSS a RACF?

Mensaje por JuanG » 14 Sep 2016, 15:09

La opción PROTECTALL de la SETROPTS únicamente afecta a la clase DATASET.

Saludos
Juan

Responder