Пт, 27.12.2024, 10:59
Приветствую Вас Гость | RSS
Главная | существует ли z/OS userid? - Форум | Регистрация | Вход
Форма входа
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
существует ли z/OS userid?
GregoryДата: Вс, 11.02.2018, 00:06 | Сообщение # 1
Генерал-майор
Группа: Доверенные
Сообщений: 482
Репутация: 22
Статус: Offline
Возможно, кому-нибудь пригодится...

преамбула
в прикладной системе имеются профайлы, связанные с z/OS userid, содержащие, например, различные параметры этой прикладной системы. естественно, возникает необходимость периодического аудита этих профайлов и удаления данных, относящихся к несуществующим более пользователям.

вопрос
как определить, существует ли в z/OS пользователь с данным userid, не имея специальных привилегий RACF?

решение
ALLOCATE DA(my.dummy.dataset) ...  -- распределяем набор данных с произвольным именем и "своим" HLQ
ADDSD my.dummy.dataset UACC(NONE) -- создаем для него отдельный RACF профайл

PERMIT my.dummy.dataset ID(xxxxxxx) ACCESS(NONE) -- xxxxxxx - проверяемый userid
если userid xxxxxxx не существует, код возврата будет отличен от 0
 
AKonevДата: Вс, 11.02.2018, 14:43 | Сообщение # 2
Лейтенант
Группа: Проверенные
Сообщений: 66
Репутация: 5
Статус: Offline
Речь идет о TSO/ISPF профайлах?
по моему достаточно попытаться войти в TSO с любым абстрактным паролем.
Результатом будет или нет пользователя или неверный пароль. В первом случае профайл можно смело удалять. Во втором или пароль неверный или нет TSO сегмента, значит пользователь есть. Скорее всего и в TSO он имеет право входить - иначе профайлу неоткуда взяться. Разумеется есть одно исключение - администратор зачем-то принудительно создал профайл, а прав входа  в TSO не дал. Так это экзотика. Значит профайл можно смело оставлять.
 
GregoryДата: Вс, 11.02.2018, 15:10 | Сообщение # 3
Генерал-майор
Группа: Доверенные
Сообщений: 482
Репутация: 22
Статус: Offline
Цитата AKonev ()
Речь идет о TSO/ISPF профайлах?
нет
По-видимому, я недостаточно внятно изложил задачу. Попробую еще раз, на примере:
Имеется приложение, у которого есть файл такой структуры:
userid parameter, parameter, ...
где userid - идентификатор пользователя z/OS, parameter - параметр прикладной системы.
требуется проверить этот файл на предмет актуальности записей и удалить из него все те записи, для которых пользователя с указанным идентификатором в этой системе более не существует.
Файл с идентификаторами достаточно большой, в нем несколько тысяч записей, так что попытки интерактивно выполнять logon неприемлемы по времени, а программные попытки регистрации очень быстро вызовут блокирование устройства и последующее малоприятное общение с security officer...
задача это не разовая, процесс аудита должен выполняться регулярно, например, раз в квартал.
 
AKonevДата: Вс, 11.02.2018, 17:23 | Сообщение # 4
Лейтенант
Группа: Проверенные
Сообщений: 66
Репутация: 5
Статус: Offline
Угу, понял..
 
akostДата: Пн, 12.02.2018, 10:40 | Сообщение # 5
Admin
Группа: Администраторы
Сообщений: 619
Репутация: 5
Статус: Offline
элегантное решение!
у нас когда-то, очень-очень давно, что-то подобное было, правда, не с профилем набора данных игрались, а с каким-то другим профилем, но, видимо, что-то недоработали, потому что не выстрелило. заменили на регулярную выгрузку из RACF.
ваш подход с профилем набора данных мне нравится!
 
XOpenДата: Вт, 13.02.2018, 15:18 | Сообщение # 6
Генерал-майор
Группа: Администраторы
Сообщений: 325
Репутация: 4
Статус: Offline
И "своим HLQ не существующим в системе и потому не защищенным профайлом RACF". Могут быть нюансы. SMS может не дать ничего создавать под неизвестными квалификаторами, а все известные могут быть защищены в RACF.
 
GregoryДата: Чт, 15.02.2018, 00:21 | Сообщение # 7
Генерал-майор
Группа: Доверенные
Сообщений: 482
Репутация: 22
Статус: Offline
Цитата XOpen ()
И "своим HLQ не существующим в системе и потому не защищенным профайлом RACF". Могут быть нюансы. SMS может не дать ничего создавать под неизвестными квалификаторами, а все известные могут быть защищены в RACF.

это почему же "свой HLQ не существующий в системе"? очень даже существующий - для нового пользователя создается generic профайл HLQ.* которым он владеет.
А если даже он и не существует, то это не имеет значения, описанный способ все равно работает. Используется свой квалификатор именно потому, что обычный пользователя RACF владеет только свои профайлом.

А ограничения у предлагаемого способа, конечно же, есть, только они совсем другие:
- в системе может вообще отсутствовать RACF, так как это необязательная подсистема;
- в системе может использоваться альтернативный RACF продукт - TopSecret или ACF2.


Сообщение отредактировал Gregory - Вс, 18.02.2018, 17:26
 
  • Страница 1 из 1
  • 1
Поиск: