ListDS dudas

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
pablo brisas

ListDS dudas

Mensaje por pablo brisas » 18 Ene 2012, 16:18

Hola, necesito determinar cual es la seguridad de una biblioteca , ¿cual seria el comando a usar?
Probe con SR Mask(nombre de la biblio) pero no me dio nada.
Muchas Gracias
Pablo

Avatar de Usuario
Vicente
Colaborador avanzado
Colaborador avanzado
Mensajes: 545
Registrado: 21 Jul 2011, 04:52
País: España
Ciudad: Malaga
Ocupación: Técnico en Sistemas

Re: Comandos RACF desde CONSOLA

Mensaje por Vicente » 19 Ene 2012, 07:35

Hola Pablo:
Deberías leer el manual "Security Server RACF Command Language Reference" y en particular lo que dice del mandato LISTDSD
Saludos
Varios días probando, equivocandote y volviendo a probar
pueden ahorrarte quince minutos de lectura de un manual.

Avatar de Usuario
gaston777
Usuario
Usuario
Mensajes: 20
Registrado: 05 Feb 2008, 21:03
País: Argentina
Ciudad: Capital Federal
Ocupación: Administrador de seguridad
Ubicación: Argentina, Buenos Aires

Re: ListDS dudas

Mensaje por gaston777 » 21 Ene 2012, 10:54

Pablo,

Para salir de paso, el comando sería:

LD DA('nombredeldataset') G ALL

Pero te sugiero que, como dijo Vicente, leas el manual "Security Server RACF Command Language Reference", que te explica TODOS los comandos y las diferentes opciones que podés usar.
Gaston Decuzzi
Banco Nacion, Infraestructura RACF
Buenos Aires, Argentina

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Re: ListDS dudas

Mensaje por JuanG » 23 Ene 2012, 15:38

Los datasets, en RACF, pueden estar protegidos DISCRETAMENTE (es decir, por un perfil discreto) o GENERICAMENTE (por un perfil genérico). Actualmente, los perfiles discretos son muy poco usados, aunque aún plenamente soportados por RACF. La forma de encontrar exactamente el perfil protector de un dataset debería hacerse en 2 pasos:

A) Hay que determinar si el dataset está protegido discretamente. Para ello, debe ejecutarse el comando:
LD DA('nombre-del-archivo') ALL
Existen 3 posibilidades:
1- El comando lista el perfil discreto. Éste es entonces el perfil protector.
2- El comando lista un perfil genérico COMPLETO. Se diferencia de uno discreto por figurar una (G) a continuación del nombre. En este caso, al igual que en (1), éste es el perfil protector del dataset.
3- Sale el mensaje: ICH35003I NO RACF DESCRIPTION FOUND FOR nombre-del-archivo. Esto significa que el archivo no está protegido de forma discreta (ni tampoco por un "genérico completo"). La protección, por lo tanto, la dará el perfil genérico mas ajustado, que se obtiene en el paso (B).

B) Debe ejecutarse el comando:
LD DA('nombre-del-archivo') GEN ALL
Se trata aparentemente del mismo comando ejecutado en (A), pero tiene el fundamental agregado del parámetro GEN, que indica a RACF que busque la protección entre los perfiles genéricos.
Existen aquí 2 posibilidades:
1- El comando lista un perfil genérico. Éste será, entonces, el perfil protector del dataset.
2- Sale el mensaje: ICH35003I NO RACF DESCRIPTION FOUND FOR nombre-del-archivo. Esto significa que el archivo no está protegido de forma genérica. En consecuencia, el archivo simplemente no está protegido (ya habíamos verificado, en el punto A, que no estaba protegido discretamente).

Finalmente, si un archivo no está protegido, entonces será o no accesible dependiendo del seteo de la opción PROTECT-ALL de la SETROPTS.

Si se está absolutamente seguro de que no se usan perfiles discretos de dataset, entonces el paso (A) puede omitirse y la protección se obtiene directamente ejecutando el comando especificado en (B), como comentó Gaston en su respuesta.

Saludos,
Juan

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: ListDS dudas

Mensaje por Luislp2004 » 28 Feb 2012, 10:42

JuanG escribió:Los datasets, en RACF, pueden estar protegidos DISCRETAMENTE (es decir, por un perfil discreto) o GENERICAMENTE (por un perfil genérico). Actualmente, los perfiles discretos son muy poco usados, aunque aún plenamente soportados por RACF. La forma de encontrar exactamente el perfil protector de un dataset debería hacerse en 2 pasos:

A) Hay que determinar si el dataset está protegido discretamente. Para ello, debe ejecutarse el comando:
LD DA('nombre-del-archivo') ALL
Existen 3 posibilidades:
1- El comando lista el perfil discreto. Éste es entonces el perfil protector.
2- El comando lista un perfil genérico COMPLETO. Se diferencia de uno discreto por figurar una (G) a continuación del nombre. En este caso, al igual que en (1), éste es el perfil protector del dataset.
3- Sale el mensaje: ICH35003I NO RACF DESCRIPTION FOUND FOR nombre-del-archivo. Esto significa que el archivo no está protegido de forma discreta (ni tampoco por un "genérico completo"). La protección, por lo tanto, la dará el perfil genérico mas ajustado, que se obtiene en el paso (B).

B) Debe ejecutarse el comando:
LD DA('nombre-del-archivo') GEN ALL
Se trata aparentemente del mismo comando ejecutado en (A), pero tiene el fundamental agregado del parámetro GEN, que indica a RACF que busque la protección entre los perfiles genéricos.
Existen aquí 2 posibilidades:
1- El comando lista un perfil genérico. Éste será, entonces, el perfil protector del dataset.
2- Sale el mensaje: ICH35003I NO RACF DESCRIPTION FOUND FOR nombre-del-archivo. Esto significa que el archivo no está protegido de forma genérica. En consecuencia, el archivo simplemente no está protegido (ya habíamos verificado, en el punto A, que no estaba protegido discretamente).

Finalmente, si un archivo no está protegido, entonces será o no accesible dependiendo del seteo de la opción PROTECT-ALL de la SETROPTS.

Si se está absolutamente seguro de que no se usan perfiles discretos de dataset, entonces el paso (A) puede omitirse y la protección se obtiene directamente ejecutando el comando especificado en (B), como comentó Gaston en su respuesta.

Saludos,
Correcto, solo dos minimas aclaraciones.

1) con un Search ya podemos encontrar como estan definidos los perfiles para saber si existe algo relacionado a nuestra busqueda.

Es decir.. con SR clas(data) Mask(PRIMERCALIFICADOR)
detectaremos todos los perfiles que comienzan con ese primercalificador

si la lista es muy extensa, podemos incorporar tambien el segundo calificador
Es decir.. con SR clas(data) Mask(PRIMERCALIFICADOR.SEGUNDOCALIFICADOR)


2) los perfiles discretos pueden existir PERO NO NECESARIAMENTE protegeran ese dataset, ya que como perfil discreto tiene la necesidad de especificarse el VOLUME donde reside el dataset a protegerse, con lo cual, si el dataset existe PERO en otro VOLUME que no sea el indicado en ese perfil discreto ... ese dataset no estara protegido por ese perfil discreto ...... sino que lo protegera un perfil generico relacionado.............:pensando: se entendió ?
LuisLP - (CISA - CGEIT - CRISC)

Responder