Recomendación para administración del atributo SPECIAL

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
carlos rojas chavez

Recomendación para administración del atributo SPECIAL

Mensaje por carlos rojas chavez » 26 Feb 2007, 13:23

En la empresa donde laboro, por cuestiones de la aplicación de ejercicios de DRP (Disaster Recovery Planning), piden la definición de un usuarios con ATRIBUTO special cuya password será administrada y custodiada en sobre cerrado, los primeros 4 caracteres de la contraseña queda resguardada en la ciudad donde recide el host productivo y los últimos 4 caracteres en la ciudad en donde se aplicaría dicho plan.
En lo personal, pienso que lña contraseña de un usuario con SPECIAL, no debe resguardarse en sobre cerrado, debido a las políticas de bloqueo revoked automatico por xx días sin uso.
Tengo en mente definir una STARTED TASK para que realice la definición del usuario con el atributo, sin embargo el usuario vinculado a dicha STARTED, también debe tener el atributo SPECIAL. Mi pregunta es:

1. Que les parece esta opción?
2. Pueden sugerir alguna idea al respecto?

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Mensaje por JuanG » 26 Feb 2007, 13:48

Un usuario con atributo SPECIAL NO es revocado automáticamente por RACF en NINGUNO de los siguientes casos:

1) exceso de intentos consecutivos con passwords incorrectas
2) intento de logon pasado el tiempo de inactividad especificado en la SETROPTS

En ambos casos, sale un mensaje por consola (diferente según el caso) preguntando al operador que acción tomar. Mientras tanto, al usuario SPECIAL le queda la pantalla "congelada".

En el caso 1), las opciones son:
a) revocar al usuario.
b) autorizar 1 intento adicional.

En el caso 2), las opciones son:
a) revocar al usuario.
b) autorizar el logon.

Por lo tanto, el usuario con atributo SPECIAL bajo sobre NO será automáticamente revocado por inactividad, siempre y cuando se responda adecuadamente el correspondiente mensaje de consola.

Una última advertencia.
Si el usuario SPECIAL está intentando signonearse a CICS, y sucede alguna de las situaciones anteriores, entonces ningún usuario podrá ingresar a esa región CICS hasta tanto no se conteste el mensaje de consola correspondiente. Esto se debe a que el CICS procesa 1 signon x vez, y hasta tanto no lo resuelva no procede con el siguiente.
Este problema no ocurre con TSO, ya que el logon de cada usuario se procesa de manera independiente en su propio AS.

Saludos,
Juan

carlos rojas chavez

RECOMENDACION USUARIO SPECIAL

Mensaje por carlos rojas chavez » 26 Feb 2007, 13:57

De acuerdo,

pero que opinan respecto a la definición del usuario a partir de una STARTED TASK?

Saludos :D

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 375
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Mensaje por LuisFer » 26 Feb 2007, 15:09

JuanG escribió: Una última advertencia.
Si el usuario SPECIAL está intentando signonearse a CICS, y sucede alguna de las situaciones anteriores, entonces ningún usuario podrá ingresar a esa región CICS hasta tanto no se conteste el mensaje de consola correspondiente. Esto se debe a que el CICS procesa 1 signon x vez, y hasta tanto no lo resuelva no procede con el siguiente.
Este problema no ocurre con TSO, ya que el logon de cada usuario se procesa de manera independiente en su propio AS.

Saludos,
Nosotros tenemos abierto un requerimiento a IBM para que el DB2,CICS,MQ permitan mas de 1 TCB para evitar precisamente esta situacion.
Al IMS no le ocurre esta situacion ya que se le pueden definir hasta 20 TCBs en la parametrizacion.
En cuanto a tenerlo en un sobre cerrado si esta perfectamente custodiado y Seguridad/Auditoria lo permiten.....

Un saludo
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

NJB
Su anfitrion
Su anfitrion
Mensajes: 1112
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Mensaje por NJB » 26 Feb 2007, 16:03

Hola

Nosotros tenemos una started task para la administracion automática de password, que no es special, sino que solo puede administrar password.

Nunca me fije si hay limitaciones en cuanto a los usuarios (special u operations) que puede resetearle las password.

Esa podría ser una opción.

Hay que estudiar un poco mas.

Te mando un cordial saludo
Norberto Bocalandro

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re:

Mensaje por Luislp2004 » 31 Mar 2009, 11:17

JuanG escribió:Un usuario con atributo SPECIAL NO es revocado automáticamente por RACF en NINGUNO de los siguientes casos:

1) exceso de intentos consecutivos con passwords incorrectas
2) intento de logon pasado el tiempo de inactividad especificado en la SETROPTS

En ambos casos, sale un mensaje por consola (diferente según el caso) preguntando al operador que acción tomar. Mientras tanto, al usuario SPECIAL le queda la pantalla "congelada".

En el caso 1), las opciones son:
a) revocar al usuario.
b) autorizar 1 intento adicional.

En el caso 2), las opciones son:
a) revocar al usuario.
b) autorizar el logon.

Por lo tanto, el usuario con atributo SPECIAL bajo sobre NO será automáticamente revocado por inactividad, siempre y cuando se responda adecuadamente el correspondiente mensaje de consola.

Una última advertencia.
Si el usuario SPECIAL está intentando signonearse a CICS, y sucede alguna de las situaciones anteriores, entonces ningún usuario podrá ingresar a esa región CICS hasta tanto no se conteste el mensaje de consola correspondiente. Esto se debe a que el CICS procesa 1 signon x vez, y hasta tanto no lo resuelva no procede con el siguiente.
Este problema no ocurre con TSO, ya que el logon de cada usuario se procesa de manera independiente en su propio AS.

Saludos,
Juan, se que paso un tiempo desde este post, pero.. podrias indicar alguna referencia a nivel de manuales de IBM en donde esta esto indicado/explicado ? No logro encontrarlo.
LuisLP - (CISA - CGEIT - CRISC)

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: RECOMENDACION PARA ADMINISTRACION DEL ATRIBUTO SPECIAL

Mensaje por Luislp2004 » 31 Mar 2009, 12:01

Lo mas proximo que he logrado encontrar es este post de otro foro de mainframe (aunque tampoco he podido acceder al post en el foro, sino que simplemente veo el cache de google)

http://74.125.47.132/search?q=cache:Ubv ... 23032.html

donde muestran dicho mensaje.
Pero .. me gustaria encontrar referencia documental propia de IBM al respecto.
LuisLP - (CISA - CGEIT - CRISC)

TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

Re: Recomendación para administración del atributo SPECIAL

Mensaje por TEST » 03 Mar 2016, 17:03

Estimado Juan,
Se que ha pasado buen tiempo de esta consulta, pero me gustaria mayor detalle de vuestro comentario:
Un usuario con atributo SPECIAL NO es revocado automáticamente por RACF en NINGUNO de los siguientes casos:
1) exceso de intentos consecutivos con passwords incorrectas
2) intento de logon pasado el tiempo de inactividad especificado en la SETROPTS.
Esto es debido a que los usuarios SPECIAL que tenemos se revocaban en esas dos condiciones.
Hemos logrado superar el punto 2, cambiando a NO el parámetro INTERVAL del usuario SPECIAL.
Sin embargo para que un usuario SPECIAL nunca se revoke no sabemos como hacer. En realidad estaba buscando como hacer que un usuario tipo scheduller o de aplicación definido en RAC, nunca se revoke por maximos intentos.
Muchas gracias
DS

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: Recomendación para administración del atributo SPECIAL

Mensaje por Luislp2004 » 04 Mar 2016, 10:37

Paso algo de información que encontré

http://www-01.ibm.com/support/docview.w ... wg21217240

https://www-01.ibm.com/support/knowledg ... k00567.htm

Con lo cual quedas "atado" a la decisión del operador de turno de saber reconocer e identificar el mensaje y la acción a tomar !!
Entiendo que para esta situación los operadores de consola debieran estar "DEBIDAMENTE " entrenados y capacitados para reconocer la situación y saber la acción a tomar.
LuisLP - (CISA - CGEIT - CRISC)

Responder