¿Sugerencias para migracion de CA-TSS a RACF?
-
Gazapo
¿Sugerencias para migracion de CA-TSS a RACF?
En mi empresa vamos a migrar de CA-Top Secret a RACF y creo que la implicación es muy elevada. ¿Sugerencias?
-
Luis Miguel Martinez Ch.
Re: ¿Sugerencias para migracion de CA-TSS a RACF?
1.- Obten un listado de TSS ( base de datos) de todos los usuarios ACIDs, grupos, STC, clases, facilities, etc. y comienza a mapearlo con los comandos RACF que necesitaras ejecutar para crear la misma estructura en RACF.
2.- Tools
http://www.pf-one-consulting.com/
http://www.pf-one-consulting.com/pfa.html
https://www.go2vanguard.com/services/racf_services.cfm
2.- Tools
http://www.pf-one-consulting.com/
http://www.pf-one-consulting.com/pfa.html
https://www.go2vanguard.com/services/racf_services.cfm
-
NJB
- Su anfitrion
- Mensajes: 1116
- Registrado: 12 Oct 2003, 16:27
- País: Argentina
- Ciudad: Capilla del Señor
- Ocupación: System Programmer
- Contactar:
Hola
Donde yo trabajo eso lo hicimos hace unos 8 años atras.
Yo como soporte técnico de RACF tuve bastante participación, y por eso te digo que lo primero que hay que entender es que no es una migración, sino arrancar de cero con las normas de tu instalación.
Funcionalmente el TSS trabaja simulando una estructura similar a la administrativa, mientras que el RACF usa una estructura, tambien jerárquica, pero a nivel del sistema.
El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger.
Que sale de esto, que es necesario una excelente planificación, y que todo lo que se impacte sobre la base de RACF se haga con jobs batch, para tener una historia de todo lo que se hizo y poder revertir lo que se desee en cualquier momento.
Desde ya que lo ideal sería un entorno de prueba, pero eso es imposible (teniendo en cuanta todos los usuarios), por lo que lo que queda es planificar, "migrar" y posteriormente dar un IPL de prueba con RACF.
Levantar todos los errores detectados, corregir, y volver a probar.
En cada prueba no queda mas remedio que dar IPL ya que al TSS lo podes subir y bajar pero no al RACF que requiere IPL.
Hay para hablar mucho mas pero a modo de primera imagen con esto tenes.
Cualquier duda postea que en lo que pueda te doy una mano.
Te mando un cordial saludo
Donde yo trabajo eso lo hicimos hace unos 8 años atras.
Yo como soporte técnico de RACF tuve bastante participación, y por eso te digo que lo primero que hay que entender es que no es una migración, sino arrancar de cero con las normas de tu instalación.
Funcionalmente el TSS trabaja simulando una estructura similar a la administrativa, mientras que el RACF usa una estructura, tambien jerárquica, pero a nivel del sistema.
El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger.
Que sale de esto, que es necesario una excelente planificación, y que todo lo que se impacte sobre la base de RACF se haga con jobs batch, para tener una historia de todo lo que se hizo y poder revertir lo que se desee en cualquier momento.
Desde ya que lo ideal sería un entorno de prueba, pero eso es imposible (teniendo en cuanta todos los usuarios), por lo que lo que queda es planificar, "migrar" y posteriormente dar un IPL de prueba con RACF.
Levantar todos los errores detectados, corregir, y volver a probar.
En cada prueba no queda mas remedio que dar IPL ya que al TSS lo podes subir y bajar pero no al RACF que requiere IPL.
Hay para hablar mucho mas pero a modo de primera imagen con esto tenes.
Cualquier duda postea que en lo que pueda te doy una mano.
Te mando un cordial saludo
Norberto Bocalandro
-
Gazapo
-
Gazapo
Estamos empezando con la migración, como ya os he comentado y me hace falta un listado de todos los dataset del sistema protegidos por TSS, con el who has dataset(**) solo me salen los alias genericos pero ninguno, más, si hago un listado generico, como por ej. A*, no sale nada, sin embargo, si hago uno como UAN*, salen varios porque se que hay ficheros UANP.*, etc. ¿Alguna sugerencia de comando para poder sacar todos los ficheros protegidos porque no veo en los manuales cual podria ser?
-
Luis Miguel Martinez Ch.
-
Gazapo
-
man010
- Usuario
- Mensajes: 11
- Registrado: 19 Feb 2016, 07:46
- País: España
- Ciudad: Barcelona
- Ocupación: IT Specialist
Re:
Hola a todos,
Yo me encuentro en la misma situación, pero 8 años despues que Gazapo, estamos en los primeros pasos del estudio de la "migración" de TSS a RACF.
Estamos preocupados sobre todo por algo que, curiosamente, se comenta al contrario en este foro.
"El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger. "
En nuestra instalación, que ahora tiene TSS, si no definimos un recurso este queda sin protección, y es exactamente eso lo que nos preocupa de RACF, que según entendemos no es así. Todo queda protegido y han de habilitarse los accesos siempre.
Cualquier consideración adicional que creáis importante, por favor hacedmela saber.
Muchas gracias
Yo me encuentro en la misma situación, pero 8 años despues que Gazapo, estamos en los primeros pasos del estudio de la "migración" de TSS a RACF.
Estamos preocupados sobre todo por algo que, curiosamente, se comenta al contrario en este foro.
"El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger. "
En nuestra instalación, que ahora tiene TSS, si no definimos un recurso este queda sin protección, y es exactamente eso lo que nos preocupa de RACF, que según entendemos no es así. Todo queda protegido y han de habilitarse los accesos siempre.
Cualquier consideración adicional que creáis importante, por favor hacedmela saber.
Muchas gracias
NJB escribió:Hola
Donde yo trabajo eso lo hicimos hace unos 8 años atras.
Yo como soporte técnico de RACF tuve bastante participación, y por eso te digo que lo primero que hay que entender es que no es una migración, sino arrancar de cero con las normas de tu instalación.
Funcionalmente el TSS trabaja simulando una estructura similar a la administrativa, mientras que el RACF usa una estructura, tambien jerárquica, pero a nivel del sistema.
El TSS niega por default todo, mientras que en el RACF tenes que habilitar lo que queres proteger.
Que sale de esto, que es necesario una excelente planificación, y que todo lo que se impacte sobre la base de RACF se haga con jobs batch, para tener una historia de todo lo que se hizo y poder revertir lo que se desee en cualquier momento.
Desde ya que lo ideal sería un entorno de prueba, pero eso es imposible (teniendo en cuanta todos los usuarios), por lo que lo que queda es planificar, "migrar" y posteriormente dar un IPL de prueba con RACF.
Levantar todos los errores detectados, corregir, y volver a probar.
En cada prueba no queda mas remedio que dar IPL ya que al TSS lo podes subir y bajar pero no al RACF que requiere IPL.
Hay para hablar mucho mas pero a modo de primera imagen con esto tenes.
Cualquier duda postea que en lo que pueda te doy una mano.
Te mando un cordial saludo
-
Vicente
- Colaborador avanzado
- Mensajes: 546
- Registrado: 21 Jul 2011, 04:52
- País: España
- Ciudad: Malaga
- Ocupación: Técnico en Sistemas
Re: ¿Sugerencias para migracion de CA-TSS a RACF?
Hola man010,
Se puede configurar si RACF va a impedir o no accesos a recursos no definidos.
Puedes leer sobre SETROPTS PROTECTALL y SETROPTS PROTECALL(WARNING) en
Security Server RACF Security Administrator's Guide
Chapter 5. Specifying RACF Options
RACF-Protecting All Data Sets (PROTECTALL Option)
En particular te interesará leer el apartado:
"SETROPTS Options for Initial Setup" del mismo capítulo 5
Para una completa información sobre el mandato SETROPTS hay que leer el manual
Security Server RACF Command Language Reference
Es posible que desaparezcan tus preocupaciones si lees:
Security Server RACF Security Administrator's Guide
Chapter 2. Organizing for RACF Implementation
en su apartado: Allowing a Warning Period
Espero que estas lecturas te ayuden o te den ideas de otras lecturas que te hagan más fácil el cambio.
Un saludo
Se puede configurar si RACF va a impedir o no accesos a recursos no definidos.
Puedes leer sobre SETROPTS PROTECTALL y SETROPTS PROTECALL(WARNING) en
Security Server RACF Security Administrator's Guide
Chapter 5. Specifying RACF Options
RACF-Protecting All Data Sets (PROTECTALL Option)
En particular te interesará leer el apartado:
"SETROPTS Options for Initial Setup" del mismo capítulo 5
Para una completa información sobre el mandato SETROPTS hay que leer el manual
Security Server RACF Command Language Reference
Es posible que desaparezcan tus preocupaciones si lees:
Security Server RACF Security Administrator's Guide
Chapter 2. Organizing for RACF Implementation
en su apartado: Allowing a Warning Period
Espero que estas lecturas te ayuden o te den ideas de otras lecturas que te hagan más fácil el cambio.
Un saludo
Varios días probando, equivocandote y volviendo a probar
pueden ahorrarte quince minutos de lectura de un manual.
pueden ahorrarte quince minutos de lectura de un manual.
-
man010
- Usuario
- Mensajes: 11
- Registrado: 19 Feb 2016, 07:46
- País: España
- Ciudad: Barcelona
- Ocupación: IT Specialist
Re: ¿Sugerencias para migracion de CA-TSS a RACF?
Muchas gracias Vicente,
La información que me has facilitado está siendo MUY útil, pero me está surgiendo una duda que no consigo resolver respecto a SETROPTS PROTECTALL.
Según veo en la documentación PROTECTALL es un parámetro que podemos definir como NOPROTECTALL: "Un usuario podrá crear y accede a un DS que no esté definido en ningún perfil de RACF. De hecho, RACF utiliza una base de datos inicializada nuevamente."
El problema es, ¿Esta función sólo afecta a los DATASET o se trata de un parametro que afecta a RACF de forma global?
Muchas gracias
La información que me has facilitado está siendo MUY útil, pero me está surgiendo una duda que no consigo resolver respecto a SETROPTS PROTECTALL.
Según veo en la documentación PROTECTALL es un parámetro que podemos definir como NOPROTECTALL: "Un usuario podrá crear y accede a un DS que no esté definido en ningún perfil de RACF. De hecho, RACF utiliza una base de datos inicializada nuevamente."
El problema es, ¿Esta función sólo afecta a los DATASET o se trata de un parametro que afecta a RACF de forma global?
Muchas gracias
-
JuanG
- Colaborador
- Mensajes: 75
- Registrado: 24 Nov 2003, 18:04
- País: Argentina
- Ciudad: Buenos Aires
- Ocupación: Administrador de seguridad
- Ubicación: Buenos Aires, Argentina
Re: ¿Sugerencias para migracion de CA-TSS a RACF?
La opción PROTECTALL de la SETROPTS únicamente afecta a la clase DATASET.
Saludos
Saludos
Juan