Proteger arranque/parada de un subsistema

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
pitu001
Usuario avanzado
Usuario avanzado
Mensajes: 37
Registrado: 28 Sep 2006, 02:34
País: España
Ciudad: Pamplona
Ocupación: Administrador de seguridad

Proteger arranque/parada de un subsistema

Mensaje por pitu001 » 23 Dic 2014, 04:28

Buenos dias.
Se puede proteger por racf el arranque, parada... de un subsistema. Lo quiero hacer de forma individual, es decir que un usuario por ejemplo pueda parar un subsistema determinado.
El perfil que lo protege es ISFOPER.SYSTEM de la clase SDSF, pero esto permite ejecutar cualquier accion sobre el subsistema.
He mirado la clase opercmds (comandos de operacion) y no lo veo.
Muchas gracias.
pitu

Avatar de Usuario
Vicente
Colaborador avanzado
Colaborador avanzado
Mensajes: 545
Registrado: 21 Jul 2011, 04:52
País: España
Ciudad: Malaga
Ocupación: Técnico en Sistemas

Re: Proteger arranque/parada de un subsistema

Mensaje por Vicente » 23 Dic 2014, 05:34

Hola Pitu:
No conozco una respuesta concreta a tu genérica pregunta y veo poco probable que la haya, por lo siguiente:

RACF puede verse como una base de datos de respuestas SI o NO a preguntas sobre permisos.
Desde este punto de vista la mayor parte de la gestión de la seguridad de uso de un software recae sobre él mismo. Es el software el que, ante la petición de realizar una función por parte de un usuario, pregunta a RACF si tiene permiso para hacerlo; ante una respuesta negativa del RACF el software se negará a realizar la función.

Aunque hay productos que tiene gestión propia de su seguridad sin utilizar RACF, lo más frecuente es que estos se apoyen en RACF; por lo que, estos últimos, nos exigirán que demos de alta en RACF determinadas entradas en su base de datos.

Es la guía de seguridad del software que estamos usando, la que nos dirá que preguntas hace a RACF para según que funciones.
Lo más utilizado son Perfiles dentro de las clases FACILITY, OPERCMDS, STARTED o JESSPOOL. Estos perfiles, que el producto nos exigirá dar de alta, comenzarán por una palabra determinada que el diseñador/programador del software haya decidido.
También es posible que no exija crear una clase propia (como el caso que comentas del SDSF).

Para finalizar, aunque el sistema operativo tenga controles sobre mandatos de operador (en la clase OPERCMDS), sobre permisos a tareas (en la clase STARTED), si tu subsistema no se para con un mandato de operador tendrás que consultar la guía de seguridad del subsistema para saber que clases y perfiles de RACF están implicados.

Como ves habría que estudiar el caso particular de cada subsistema

En el caso del SDSF, este genera mandatos de MVS y de JES2, por lo que habría que revisar los contenidos de la clase OPERCMDs y JESSPOL
En la clase SDSF no solo se pueden crear perfiles comenzando por ISFOPER, sino tambien por ISFAUTH e ISFCMD para proteger mandatos de SDSF.
Siento no poder explicarte muchas cosas sobre SDSF, pero existe una explicación muy detallada sobre la seguridad del uso del SDSF en capítulo 2, capítulo 7, anexo B y Anexo C del manual "z/OS V1R13.0 SDSF Operation and Customization (SA22-7670-15)"
http://www-05.ibm.com/e-business/linkwe ... 22-7670-15#

Creo que ahí encontrarás muchas respuestas sobre el caso particular del susbsistema SDSF.
Un saludo
Varios días probando, equivocandote y volviendo a probar
pueden ahorrarte quince minutos de lectura de un manual.

pitu001
Usuario avanzado
Usuario avanzado
Mensajes: 37
Registrado: 28 Sep 2006, 02:34
País: España
Ciudad: Pamplona
Ocupación: Administrador de seguridad

Re: Proteger arranque/parada de un subsistema

Mensaje por pitu001 » 24 Dic 2014, 05:35

Muchas gracias.
Ya encontre la solucion, proteger el perfil y proteger los comandos mvs.
pitu

Responder