再上一篇:6.3 数据集的保护
上一篇:6.4 通用资源引论
主页
下一篇:第六章 系统初始化
再下一篇:6.2 初始化过程
文章列表

6.5 RACF 选项

IBM S390 系统管理基础(zSeries,IBMSystemz, z/VM,zOS等操作系统使用,命令的参数与用法等)

控制RACF 环境的主要方式是设置适当的RACF 选项。RACF 选项的设置既可以用 命令SETROPTS,又可以使用RACF 菜单。大多数的SETROPTS 功能需要SPECIAL 或 AUDITOR 属性。如果你没有SPECIAL 或 AUDITOR 属性。你只能用SETROPTS 命令 作如下事情:

(1) 如果你有GROUP SPECIAL 属性或GROUP AUDITOR 属性,则可以使用LIST。

(2) 如果你有 GROUP SPECIAL 属性,或 GROUP AUDITOR 属性,或 AUDITOR 属性,或 OPERATION 属性,或 GROUP OPERATION 属性,或你有指定的类 的授权,则可以使用REFRESH GENERIC。

(3) 如果你有 OPERATION 属性,或你有指定的类的授权,则可以使用 REFRESH

GLOBAL。

(4) 如果你有程序类的授权,则可以使用REFRESH PROGRAM。

1.口令规则的设置 口令规则的设置可用如下命令:

SETROPTS/SETR PASSWORD([HISTORY( 数目 )/NOHISTORY] [REVOKE( 次 数 )/NOREVOKE] [INTERVAL( 天 数 )] [WARNING( 天 数 )/NOWARNING] [RULEn(LENGTH(m1,m2) KEYWORD(位置))/NORULEn/NORULES]

其中:

HISTORY 指定以前的多少条口令不能使用(1-32)。NOHISTORY 则表示无此限制。

REVOKE 指定一个用户输入多少次(1-254)不正确口令后被REVOKE。NOREVOKE 则表示无此限制。所谓 REVOKE 时指用户即使口令输入正确,也暂时不能登录,以防 其它用户猜测口令。

INTERVAL 指示口令在多少天(1-254)后必须改变。

WARNING 指示口令在到期多少天(1-254)前会通知用户。NOWARNING 则表示无 此限制。

RULEn(LENGTH(m1,m2) KEYWORD(位置))指示第n 个口令的规则。M1 是口令

的最长长度,m2 表示口令的最短长度,KEYWORD 表示口令中指定的某个位置必须是 什么字符。如果口令长度只指定了一个数字,则表示口令必须是定长的。KEYWORD 可
以是ALPHA(字母)、ALPHANUM(字母数字)、VOWEL(元音字母)、NOVOWEL(非元音
字母)、CONSONANT(辅音字母)、NUMERIC(数字),它表示在指定的位置必须是指定的 字符。

NORULEn 表示取消第n 条规则。

你可以指定多个口令规则。

NORULES 表示无任何规则。

2.有关数据集保护的设置 有关数据集的设置可用如下命令:

SETROPTS/SET [ADSP/NOADSP] [EGN/NOEGN] [PROTECTALL(FAILURES/WARNING)/NOPROTECTALL] [CATDSNS(FAILURES/WARNING)/NOCATDSNS] [ERASE(ALL/SECLEVEL())/NOERASE]

其中:

ADSP/NOADSP:是否强制创建一个分离的数据集PROFILE。 EGN/NOEGN:指示在本系统通用PROFILE 的命名习惯。 PROTECTALL(FAILURES/WARNING)/NOPROTECTALL:指示是否所有的数据集

都需要保护。如果是:

- FAILURES:未保护的数据集不允许访问。

- WARNING: 未保护的数据集允许访问。但会给用户和管理员一个警告信 息。

CATDSNS(FAILURES/WARNING)/NOCATDSNS: 指示是否所有的数据集都必须

编目。如果是:

- FAILURES:未编目的数据集不允许访问。

- WARNING: 未编目的数据集允许访问。但会给用户和管理员一个警告信 息。

ERASE(ALL/SECLEVEL())/NOERASE:指示是否删除数据集时必须彻底从磁盘上 抹掉。如果是:

- ALL:所有的数据集都必须这样。

- SECLEVEL(安全级别名):只有高于此安全级别的数据集被删除时才会被彻 底从磁盘上抹掉。

-

3.关于授权检查的选项

关于授权检查的选项的命令格式如下:

SETROPTS/SETR WHEN(PROGRAM)/NOWHEN(PROGRAM) GRPLIST/NOGRPLIST TERMINAL(READ/NONE)

其中:

WHEN(PROGRAM)/NOWHEN(PROGRAM):指示激活/不激活程序控制。

GRPLIST/NOGRPLIST:指示资源授权检查时检查用户所有的组还是只检查用户当 前连接的组。

TERMINAL(READ/NONE):指示对RACF 未定义的终端的默认访问权限(UACC)。

4.关于类选项

关于类选项的命令格式如下:

SETROPTS/SETR CLASSACT( 类名/*)/NOCLASSACT( 类名/*) AUDIT( 类名

/*)/NOAUDIT( 类名/*) GENERIC( 类名/*)/NOGENERIC( 类名/*) STATISTICS( 类名

/*)NOSTATISTICS( 类 名 /*) GLOBAL( 类 名 /*)/NOGLOBAL( 类 名 /*) GENERICOWNER/NOGENERICOWNER REFRESH

其中:

CLASSACT(类名/*)/NOCLASSACT(类名/*):激活或不激活指定的类或全部类。

AUDIT(类名/*)/NOAUDIT(类名/*):当指定的类或全部类 PROFILE 改变时,是否 写到SMF 记录中。

GENERIC(类名/*)/NOGENERIC(类名/*):是否对指定的类或全部类进行通用的

PROFILE 检查。 STATISTICS(类名/*)NOSTATISTICS(类名/*):是否保存指定的类或全部类的统计。 GLOBAL(类名/*)/NOGLOBAL(类名/*):指示对指定的类或全部类进行全局访问检

查。

GENERICOWNER/NOGENERICOWNER:只对通用资源有效,而对数据集无效。

是否限制用户对某一个特定的资源创建一个比已存在的 PROFILE(当然也是保护这个资 源的)更特别的 PROFILE。所谓更特别的 PROFILE 指相对于已存在的 PROFILE 来说, 已存在的 PROFILE 包含了更特别的 PROFILE。这个限制对所有用户有效,除了具有 SPECIAL 属性的用户,或已存在的PROFILE 的拥有组的GROUP SPECIAL,或已存在 的PROFILE 的拥有者用户。

REFRESH:刷新在内存中的通用PROFILE。

5.关于审计的选项 关于审计选项设置的命令:

SETROPTS/SETR SAUDIT/NOSAUDIT OPERAUDIT/NOOPERAUDIT CMDVIOL/NOCMDVIOL SECLEVELAUDIT( 安 全 级 别 )/NOSECLEVELAUDIT SECLABELAUDIT/NOSECLABELAUDIT AUDIT( 类 名 /*)/NOAUDIT( 类 名 /*) APPLAUDIT/NOAPPLAUDIT [REFRESH GENERIC( 类 名 /*) LIST [LOGOPTIONS(ALWAYS( 类名)/NEVER( 类名)/SUCCESSES( 类名) /FAILURES( 类 名)/DEFAULT(类名))]

其中:

SAUDIT/NOSAUDIT:是否记录所有由SPECIAL或GROUP SPECIAL 发布的RACF

命令。

OPERAUDIT/NOOPERAUDIT 是否记录 所有由 OPERATIONS 或 GROUP OPERATIONS 发布的认可的访问。

CMDVIOL/NOCMDVIOL:是否记录用户的安全违规行为。

SECLEVELAUDIT(安全级别)/NOSECLEVELAUDIT:是否审计对安全级别高于指 定级别的资源的访问。

SECLABELAUDIT/NOSECLABELAUDIT:是否审计对有安全标识的资源的访问。

AUDIT(类名/*)/NOAUDIT(类名/*):当指定的类或全部类的 PROFILE 改变时,是 否写SMF 记录。

APPLAUDIT/NOAPPLAUDIT:是否审计APPC 交易。

REFRESH GENERIC(类名/*):刷新指定的类或全部类在内存中的PROFILE。

LIST:列出系统中当前的RACF 选项值。

LOGOPTIONS(ALWAYS(类名)/NEVER(类名)/SUCCESSES(类名) /FAILURES(类 名)/DEFAULT(类名)):指示指定类的资源被访问时。在什么情况下记录。

6.关于安全类别的选项 设置安全类别的选项的命令格式为:

SETROPTS/SETR COMPATMODE/NOCOMPATMODE SECLABELCONTROL/NOSECLABELCONTROL MLACTIVE(WARNING/FAILURES)/NOMLACTIVE MLSTABLE/NOMLSTABLE MLQUIET/NOMLQUIET MLS/NOMLS(WARNING/FAILURES) SECLABELAUDIT/NOSECLABELAUDIT

其中:

COMPATMODE/NOCOMPATMODE:是否允许用户和作业不使用安全标识。

SECLABELCONTROL/NOSECLABELCONTROL:是否只允许具有SPECIAL 或具 有GROUP SPECIAL 权限并在其管理权限内的用户可以改变其权限内的PROFILE 中的

安全标识。

MLACTIVE(WARNING/FAILURES)/NOMLACTIVE:是否强制使用多级安全。也 就是说,是否所有的资源都必须有安全标识。如果是则:

-WARNING:对于无安全标识的资源,只要其他授权信息允许(主要只PROFILE

中的授权信息),则允许访问。但同时会给用户或系统管理员一个警告信息。

-FAILURES: 对于无安全标识的资源,即使其他授权信息允许,也不允许访问。

MLSTABLE/NOMLSTABLE:除非 MLQUIET 起作用。任何用户都不能改变

PROFILE 中的安全标识。 或改变安全标识的定义。

MLQUIET/NOMLQUIET:系统是否处于宁静的状态。也就是说。系统只允许已启 动的任务运行以及控制台操作和具有SPECIAL 属性的用户登录。

MLS/NOMLS(WARNING/FAILURES):是否防止用户从低安全标识的资源复制数

据。

SECLABELAUDIT/NOSECLABELAUDIT 是否要审计被一个由安全标识的

PROFILE 覆盖的资源。

习题

1.简述RACF 的主要功能。

2.资源X 由一个资源PROFILR 保护,其UACC 是NONE。资源X 的PROFILE 中访问 列表为用户A 具有READ 访问权限,而组J 具有UPDATE 权限。用户A 和用户B 都

是组J 的成员, 用户C 是组K 的成员,问,这三个用户各具有什么权限?

3.一个RACF PROFILE 可被用户或组拥有,哪一个更好?为什么?

4.如果你在你的系统中指定了:

SETR TERMINAL(NONE)

并且激活了TERMINAL 类,而你又未在系统中在TERMINAL 类中定义任何PROFILE, 会发生什么情况?

5.有如下PROFILE: PAY.*.* PAY.HRLY.*

PAY.HRLY.FEB97

PAY.HRLY.%%%97

PAY.SAL.* PAY.SAL.MAR%%

及如下数据集:

PAY.SAL.JAN97

PAY.SAL.FEB97

PAY.SAL.MAR97

PAY.SAL.APR97

PAY.HRLY.JAN97

PAY.HRLY.FEB97

PAY.HRLY.MAR97

PAY.HRLY.APR97

试指出各个PROFILE 各自覆盖了哪些数据集?
参考文献
[1] 朱卫东,任素芹,林幼萍,黄红:《MVS操作系统用户指南》,中国铁道出版社 [2] http://www.redbook.ibm.com
[3] Implementing System Managed Storage, IBM Red Book
[4] OS/390 V2R6.0 Security Server (RACF) General user's Guide, IBM Red Book [5]OS/390V2R6.0SecurityServer(RACF)SystemProgrammer'sGuide, IBMRedBook [6] OS/390 V2R6.0 Security Server (RACF) Command Language Reference, IBM Red
Book
[7] OS/390 V2R6.0 Security Server (RACF) Introduction, IBM Red Book, IBM Red
Book
[8] OS/390 V2R6.0 Security Server (RACF) Security Administrator's Guide, IBM Red Book
[9] OS/390 V2R6.0 Security Server (RACF) command Syntax booklet, IBM Red Book
[10] OS/390 V2R6.0 MVS JCL User's Guide, IBM Red Book
[11] OS/390 V2R6.0 MVS JCL Reference, IBM Red Book
[12] MVS/ESA SML: Managing data, IBM Red Book
[13] MVS/ESA SML: Managing Storage group, IBM Red Book
[14] DFSMS/MVS V1R3 Using data sets, IBM Red Book
[15] DFSMS/MVS V1R3 General Information, IBM Red Book
[16] DFSMS/MVS V1R3 Managing data Availability, IBM Red Book
[17] DFSMS/MVS V1R3 DFSMSdss Storage Administration Reference, IBM Red Book [18] DFSMS/MVS V1R3 DFSMSdfp Storage Administration Reference, IBM Red Book [20] 徐拾义,萧幕岳,陈晋隆:《新时代大型计算机—IBM S/390 系列》,浙江大学出版 社