我有一个开发系统,多个开发人员正在开发该系统。当前配置允许任何请求将新数据集编入主目录。为了保护主目录免受授权系统人员以外的写入,SAF 似乎是建议的最佳选择。我的安全管理器是 RACF。
查看 IBM 手册时,发现有很多学术信息,但没有描述实施解决方案所需的所有元素的实用解决方案。
我参考的其中一本手册是RACF 的 z/OS 安全服务器
以下是本节的摘要:
RDEFINE GLOBAL DATASET
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER'/READ)
ADDGROUP CATALOG # Defines the hlq of the dataset
ADDSD 'CATALOG.MASTER' UACC(READ)
这种方法不会产生任何积极的结果,系统继续允许任何人在主目录中对新数据集进行分类。
我的计划是锁定和解锁默认访问,因为这是一个测试系统,但也许我需要为目录管理创建一个单独的用户。
我预计,DFSMS、RACF 以及其他领域需要配置各种元素才能实现此功能。遗憾的是,IBM 手册虽然非常详细,但提供的实际/完整示例却很少。
答案1
以下摘自手册:z/OS 安全服务器 RACF 安全管理员指南
除极少数用户外,用户应仅被允许读取主目录。要允许此操作,请输入:
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER.**'/READ) ADDSD 'CATALOG.MASTER.**' UACC(READ) PERMIT 'CATALOG.MASTER.**' ID(SYSGROUP) ACCESS(CONTROL)
建议与你的 RACF 管理员联系并进行类似设置
答案2
一种廉价的方法是使用 SAF 之前的方法:在主目录上设置密码。任何创建具有与别名条目不匹配的高级限定符的数据集的人都会生成一个 WTOR 要求输入密码。它不会通过审计员的审查,但在开发 ADCD/ADLT 环境中,我发现这非常有效。
答案3
您可以在 racf 语言参考手册中查看 zos 提供的资源。您还可以在同一文档中看到 addsd 和 adduser 命令。