Vous êtes sur la page 1sur 5

25/3/2015

Seguridadenmainframe:IntroduccinalRACF

THE MAINFRAME CORNER

Searchthissite

LA WEB DE LOS GEEKS DEL MAINFRAME

Acercade

Eventos

RecetasyTrucos

MFCornerCPD

Documentacin

GaleriadeFotos

Seguridadenmainframe:IntroduccinalRACF
BYADMINPOSTEDONJANUARY9,2008

March2015
M

POSTEDIN:DOCUMENTACIN,RECETASYTRUCOS,ZSERIES(MAINFRAME)

ElartculodehoyabordaraunnivelgeneralelsistemadeseguridadquetodomainframeconMVSposee:El
SecurityServeroeltradicionalmentellamadoRACF(ResourceAccessControlFacility).

10

11

12

13

14

15

Aunquepuedaparecerquetodoslossistemasdeseguridadalfinalsebasenenlomismo,enelcasodel
mainframeesuncasoaparte,yaqueelsistemadeseguridaddeunmainframesedesarrolljuntoconel
desarrollodelsistemaoperativoyportanto,esintrnsecoyestafuertementeacopladoalmismo.Encambio,otros
sistemastipoUnixydems,laseguridadfueundesarrolloposterioryportanto,sigueotrasdirectrices.Pero
vamosaloqueinteresa.

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

RACFesuncompendiodereglasdeseguridadquesecreanenbaseaunasclases.Unaclaseesungrupode
objetosloscualesqueremosotorgarleundeterminadoacceso,porloquetodoobjetopertenecientealamisma
clasetendrelmismoniveldeseguridad.Porobjetoseentiendedesdeunfichero,hastaunslotdeprocesoo
abstraccinfuncionaldesoftware,porllamarlodealgunamanera.

Oct

Galeradeimgenes

Existendostiposdeclases:Lasdenominadasnormales,esdecir,clasesdeacceso,facilitys,loggingydems.Y
luegoexistenlasclasesespeciales,quesondos:LasclasesUsuarioylasclasesDataset.Estasclasesse
denominanespecialesporquepuedensergobernadasporclasesnormalesquelesconferirnunciertoacceso,
vamos,queestasclasespuedenserregidasporotrasclases.
Evidentemente,laclaseUsuarioesmuyimportanteporquesehacecargodelaseguridadreferentealtipode
usuario,tipodeaccesoaloselementosmainframeyquefacilitiestieneotorgadopararealizarsutrabajo.
Ylaclasedatasetesunaclaseespecialquesirveparatenerelcontroltotalsobretodoelementosusceptiblede
grabarseendiscoocinta.
Portanto,sepodradecirqueRACFcontrolaTODOelsistemainternamente(procesos,subprocesos,schedulers,
dispatchers,elncleo,etc),controlalosusuarios,elaccesodelosusuariosalosdatos,elaccesodelos
mecanismosdeaccesoalosdatos,lainteraccindelosmecanismosdeaccesoconlosprocesos,vamos,esla
leche.
TantacomplejidadtieneexplicarlosentresijosdelRACF,quelonicoquesemeocurreparaexplicarcomo
funcionaesponerejemplosquemeencuentroeninstalacionesconproblemasquesurgendeautorizacionesy
comosolucionarlosparaquevayishacindoosunaligeraideadehastadondelleganlostentculosdeeste
magnificoperocomplejsimosistemadeseguridad.
Ejemplodeerrordeautorizacin
Porlogeneral,loserroresdeaccesosuelenaparecerenelLOGdelsistemaysuelentenerlamismaestructura.
nicamentecambianlostiposdecamposencadacaso.Portanto,debemossaberinterpretarlosparasaberque
esloqueestsucediendo:
17.09.55STC00098ICH408IUSER(START2)GROUP(SYS1)
NAME()
SYS1.CPAC.HZSPDATACL(DATASET)VOL(OSWORK)
INSUFFICIENTACCESSAUTHORITY
FROMSYS1.*(G)
ACCESSINTENT(UPDATE)ACCESSALLOWED(READ)
17.09.55STC00098IEC150I91338,IFG0194E,HZSPROC,HZSSTEP,HZSPDATA,1014,OSWORK,SYS1.CPAC.HZSPDATA
17.09.55STC00098*HZS0015EPROBLEMWITHHZSPDATADATASET:
COULDNOTOPEN
SignificaqueelusuarioSTART2delGrupoSYS1conrespectoalaclaseDATASETpretendehacerunUPDATE
cuandosolotienepermitidounREADalficheroSYS1.CPAC.HZSPDATA.Portanto,sepuedenhacerdoscosas:
Sieseusuarionodebetenerpermiso,noselodamosyquesejoda,odebemosdarlepermisosparaquepueda
hacerloquenecesita.EnnuestrainstalacinelusuarioSTART2esunusuarioqueseencargaprincipalmentede
arrancarSTARTEDTASKS,yaquelohemosconfiguradoas
enelRACFamenosquecreemosunusuario
especficoparaesastartedtaskespecfica(quesueleseras
enlamayoradeloscasos,peroyosoyundejadoy
unirresponsableyusoelmismousuarioparaarrancarcualquierstartedtask,pasaalgo?Jejeje).

http://mainframecorner.com/?p=93

1/5

25/3/2015

Seguridadenmainframe:IntroduccinalRACF

AltratarsedeunaclaseDATASET,esunaclaseESPECIALquetienesupropiomenenelRACF.Portanto,para
darelaccesoesalgodiferente.Lospasosaseguirsonlossiguientes:
1.AccederalInterfazdeRACFyteclearlaopcin1DATASETPROFILES.Estonosllevaralsubmende
seguridadaniveldedatasets.

Fig.1:PantallaprincipaldeRACF

Fig.2:SeguridaddeDATASETS
2.LoprimeroqueharemosserelegirlaopcinSo9deSEARCH,paracomprobarsilaclasedatasetdelaque
sequeja,existe(quedeberaexistir).EstaclaseeslaSYS1.*(G).
3.EnlapantalladelaFigura3,noaadiremosningunamscaraespecial,simplementedaremosaEnter.

Fig.3:Mascarasdebsqueda.
4.EnlapantalladelaFigura4,escribiremosALLenlaopcinTYPEparaquenoslistetodoloquetiene
controlado.

Fig.4:TiposdeDatasets
5.Aldarenter,nossaldrunalistadetodoslosdatasetsqueestncontroladosenlainstalacin.Y

http://mainframecorner.com/?p=93

2/5

25/3/2015

Seguridadenmainframe:IntroduccinalRACF

efectivamente,eldatasetSYS1.*(G)existe.

Fig.5:Salidadelabsqueda.
6.PulsaremossobrePF3yvolveremosalapantalladelafigura2.Enella,elegiremoslaopcin4ACCESS,lo
quenosllevaralafigurasiguiente:

Fig.6:ConfiguracindeAcceso.
7.EnPROFILENAME,escribiremoseldatasetalquequeremostenermsacceso.Ennuestrocaso,SYS1.*y
pulsaremossobrelateclaEnter.
8.Aadiremosunusuarioparadarleacceso,porloquedaremosa1ADD.

Fig.7:ListadeAccesos
9.Enlasiguientefigura,comonoqueremoscopiarningunperfilpredefinido,vamosaponerSPECIFYaYES.

Fig.8:Especificarmanualmentelosusuarios
10.YparacambiarelaccesoqueteniadeREAD,pondremosAUTHORITYaUPDATEylediremosaque
usuariosledaremosesaautoridad,enestecasoauno,START2.

http://mainframecorner.com/?p=93

3/5

25/3/2015

Seguridadenmainframe:IntroduccinalRACF

Fig.9:CambiarlaautorizacinalusuarioSTART2.
11.UnavezdadoaEnter,aparecerunPROFILECHANGED.Perotodavafaltahacerunltimopaso:Refrescar
elRACF.Paraello,daremosaPF3tantasvecescomoseanecesariohastallegaralmenprincipaldelRACF.
Pararefrescarlosdatos,elegiremoslaopcin5SYSTEMOPTIONSynosaparecerunmencomoeldela
figura10.

Fig.10:MendeOpcionesdeSeguridaddeRACF

Fig.11:OpcionesdeRefresh.
12.Marcaremoslaopcin6REFRESHyesonosllevaraaotraventanaconlasopcionesderefresh,deacuerdo
alaFigura11.Lomassencilloeselegirlaltimaopcin,ladePROFILESFORSPECIFICCLASSESaYESyeso
nospermitirrefrescarnicamentelaclasealaquehemoscambiadolasopciones,deacuerdoalaFigura12.
13.Enesaventana(Fig.12)escribiremoslaclaseespecfica(DATASET)yactualizaremoslazonaGLOBALy
GENERICA.EnunprincipiotambinhemoselegidolaRACLIST,peronoshasalidounerrordeRACFdiciendo
queesaclasenotocalaRACLIST,as
quehemosquitadoelYESdeesacolumnayhemosvueltoaaplicarlos
cambios.
14.Enestemomento,sivolvemosalanzarelprocesoquedabafallo,yanodeberadarloms.

http://mainframecorner.com/?p=93

4/5

25/3/2015

Seguridadenmainframe:IntroduccinalRACF

Fig.12:ClaseespecficaaRefrescar.
Comohabispodidocomprobar,esunsistemabastantecompletoysonmuchospasoslosquehayquedarpara
simplementeasignarunpermisoconcretoaunusuarioconcretoaungrupodeficherosconcreto.Peroahiradica
elcontroldelsistema,esdecir,tenertodocontroladoytodoauditadoporRACF.
CualquierpuristadeUnixdirqueconhacerunsimplechownyunchmodtienessolucionadoelproblema,pero
nohayqueolvidarque,apesardeloquepuedadecirlagente,laseguridaddelossistemasUnixnodejadeser
dejuguetecomparadoconestesistema,deahisusimplicidad,yencambiolarobustezdeunmainframeesta
marcadasobretodoporunaseguridadeficiente,noenvanoesunadelasmaquinasmassegurasdelmundo.

Aboutadmin
DirectordeProyectosdeentornosMainframe,AIXyAS/400,llevomasde10aos
trabajandoparaelsectorserviciosybanca,ascomoproyectosdesistemas,renovacin
tecnolgica,estrategiasdebackup,yconsultoradesistemas.

CommentsClosed
Commentsareclosed.Youwillnotbeabletopostacommentinthispost.

CopyrightTheMainframeCorner.AllRightsReserved.

http://mainframecorner.com/?p=93

AboutArrasWordPressTheme

5/5