Optimizacion y Limpieza RACF

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
dalas
Usuario avanzado
Usuario avanzado
Mensajes: 41
Registrado: 05 Sep 2012, 07:51
País: España
Ciudad: Alcala de henares
Ocupación: Auditor de sistemas

Optimizacion y Limpieza RACF

Mensaje por dalas » 19 Sep 2013, 03:20

Buenos Dias,

Me gustaria que me dierais ideas para optimizar, limpiar , ordenar, tener a punto un RACF.

Gracias

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Re: Optimizacion y Limpieza RACF

Mensaje por JuanG » 19 Sep 2013, 14:11

Es una pregunta demasiado amplia. Si la concretas un poco mas, seguramente vas a recibir mejores respuestas. Por el lado de la limpieza y sin entrar en detalles, para eliminar de la base de RACF referencias residuales (por ejemplo, usuarios y grupos existentes de listas de acceso de perfiles), existe un utilitario específico llamado IRRRID00, que está plenamente documentado en los manuales de RACF.

Saludos,
Juan

TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

Re: Optimizacion y Limpieza RACF

Mensaje por TEST » 21 Sep 2013, 09:46

Es correcto, debemos acotar mas la pregunta, para caso especificos... tener en cuenta que para hacer una limpieza a profiles de grupos o de recursos que no se usan o usuarios inactivos, tomara bastante tiempo, la recomendacion es hacer una captura constante de informacion durante 6 a 18 meses y luego de varios reportes, analisis de cada caso, tomar una buena desición... Lo que pasa es que existen archivos que son semestrales o anulaes y se unas por una sola ves, por ello el tiempo sugerido es correcto.

Avatar de Usuario
fernypa
Colaborador
Colaborador
Mensajes: 116
Registrado: 28 Sep 2007, 11:09
País: ESPAÑA
Ciudad: MADRID
Ocupación: IT Specialist
Ubicación: Madrid / España

Re: Optimizacion y Limpieza RACF

Mensaje por fernypa » 23 Sep 2013, 04:56

Además de lo que te han comentado de que la limpieza no es algo que se pueda realizar de un día para otro, hay un par de cosas que si se pueden ir haciendo mas rapido.

Lo primero es valorar cuantos días consideras que un usuario no se haya conectado para borrar los usuarios que no hayan conectado durante ese periodo de tiempo, mi recomendación inicial es que un usuario que no se haya conectado en 90 días puede ser candidato a borrarse.

Lo segundo es generar una lista de todos los alias que tienes en la instalación y sacar un listado de todos los perfiles de dataset de RACF para ver que perfiles existen en RACF y no existe ALIAS (a excepción de lo que tengas en el catalogo maestro relacionadp spbre todo con el sistema operativo)

Para generar estos reports lo primero que hay que hacer es sacar a un fichero la B.D. de RACF con el PGM=IRRDBU00 y a partir de ese fichero con el PGM=ICETOOL puedes sacar reports con la información que quieras por si acaso no has utilizado el ICETOOL te envio un ejemplo de como sacarias la información de los usuarios que no han sido utilizados desde una fecha en concreto, el fichero de entrada (//RACFDATA) es la descarga de la B.D.de RACF que habras hecho anteriormente.

//*--------------------------------------------------------------------
//* REPORT D.B RACF
//* EXTRAE UN INFORME CON LOS USUARIOS QUE TIENEN LA ULTIMA CONEXION
//* ANTES DE LA FECHA ESPECIFICADA AAAA-MM-DD
//*--------------------------------------------------------------------
//REPORT EXEC PGM=ICETOOL
//RACFDATA DD DISP=SHR,DSN=xxxx.xxxxx.bdracf
//TEMP0001 DD DISP=(NEW,DELETE,DELETE),SPACE=(0,(200,100))
//TEMP0002 DD DISP=(NEW,DELETE,DELETE),SPACE=(0,(200,100))
//TOOLMSG DD SYSOUT=*
//PRINT DD SYSOUT=*
//DFSMSG DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//SYSMSG DD SYSOUT=*
//SYSOUT DD SYSOUT=*
//SYSIN DD *
//*------------------------------------------------------------------
//TOOLIN DD *
COPY FROM(RACFDATA) TO(TEMP0001) USING(RACF)
DISPLAY FROM(TEMP0001) LIST(PRINT) -
PAGE -
TITLE('USUARIOS SIN ACTIVIDAD ANTES DE 01/03/12') -
DATE(YMD/) -
TIME(12:) -
BLANK -
ON(79,20,CH) HEADER('USER NAME') -
ON(10,8,CH) HEADER('USERID') -
ON(118,10,CH) HEADER('LAST ACCESS') -
ON(19,10,CH) HEADER('CREATED') -
ON(54,4,CH) HEADER('REVOKED?') -
ON(100,8,CH) HEADER('DEF. GROUP')
/*
//RACFCNTL DD *
SORT FIELDS=(19,10,CH,A,5,4,CH,A)
INCLUDE COND=(5,4,CH,EQ,C'0200',AND,
19,10,CH,LT,C'2012-03-01',AND,
(118,5,CH,EQ,C' ',OR,118,10,CH,LT,C'2012-03-01'))
OPTION VLSHRT
/*
//*------------------------------------------------------------------


Con este programa (ICETOOL) ya puedes sacar cualquier información de la B.D. de RACF

En el manual z/OS V1R13 Security Server RACF Macros and Interfaces en el Chapter 9. RACF database unload utility (IRRDBU00) records viene una descripción de cada registro de la B.D. de RACF y en el manual z/OS V1R12.0 Security Server RACF Auditor's Guide puedes encontrar información acerca del ICETOOL.

Espero que te sirve de ayuda.
fernypa

dalas
Usuario avanzado
Usuario avanzado
Mensajes: 41
Registrado: 05 Sep 2012, 07:51
País: España
Ciudad: Alcala de henares
Ocupación: Auditor de sistemas

Re: Optimizacion y Limpieza RACF

Mensaje por dalas » 17 Oct 2013, 04:51

Muchas gracias por la informacion,

Se esta sacando los usuarios inactivos y borrandolos, grupos vacios, usuarios con install data mal informado etc..

Cuando termine colgare los procesos utilizados, si se os ocurre algo mas comentadme.

Gracias

Responder