У меня есть система разработки, над которой работают несколько разработчиков. Текущая конфигурация позволяет внести любой запрос на новый набор данных в главный каталог. Для защиты главного каталога от записи, кроме авторизованного системного персонала, кажется, что SAF является рекомендуемым и лучшим вариантом. Мой менеджер по безопасности - RACF.
При просмотре руководств IBM есть много академической информации, но нет практического решения, описывающего все элементы, необходимые для реализации решения.
Одно из руководств, на которые я ссылался. is z / OS Security Server для RACF
Вот сводка из этого раздела:
RDEFINE GLOBAL DATASET
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER'/READ)
ADDGROUP CATALOG # Defines the hlq of the dataset
ADDSD 'CATALOG.MASTER' UACC(READ)
Этот подход не дает никаких положительных результатов, и система по-прежнему позволяет кому угодно каталогизировать новые наборы данных в главном каталоге.
Мой план состоял в том, чтобы заблокировать и разблокировать доступ по умолчанию, поскольку это тестовая система, но, возможно, мне нужно создать отдельного пользователя для администрирования каталога.
Я ожидаю, что есть множество необходимых элементов из DFSMS, RACF и возможно, другие области, которые необходимо настроить, чтобы это работало. К сожалению, руководства IBM, хотя и довольно подробные, дают мало практических / полных примеров.
Дешевый способ сделать это при помощи prior-to-SAF метода: установите пароль на основном каталоге. Любой создающий набор данных со спецификатором высокого уровня, не соответствующим записи псевдонима, генерирует просьбу WTOR о пароле. Это wouldn’t передают осмотр аудитора, но в разработке среда ADCD/ADLT I’ve нашел это очень эффективным.
Ниже взято из руководства: z/OS Security Server RACF Security Administrator's Guide
"За исключением очень избранной группы, пользователям должно быть разрешено только ЧТЕНИЕ главного каталога. Чтобы разрешить введите:
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER. '/READ)
ADDSD 'КАТАЛОГ.МАСТЕР. ' UACC(READ)
РАЗРЕШИТЬ 'CATALOG.MASTER.**' ID(SYSGROUP) ACCESS(CONTROL)"
Предложите обратиться к администратору RACF и настроить нечто подобное
Вы можете просмотреть предоставленный zos ресурс в справочном руководстве по языку racf. Вы также можете увидеть команды addd и adduser в том же документе.