Autorizações do SAF somente para espaços de endereço
As seguintes autorizações do SAF são necessárias para os espaços de endereço do
SYSVIEW
.Criar autorização de SSID
A autorização do SAF é necessária para impedir que os usuários substituam as Opções de configuração do sistema especificadas pelo DDname GSVXSCFG. A autorização de SSID é necessária para os seguintes espaços de endereço:
- Espaço de endereço dos serviços principais doSYSVIEW(SYSVIEW)
- Espaço de endereço da interface de usuário doSYSVIEW(SYSVUSER)
- Espaço de endereço dos serviços auxiliares doSYSVIEW(SYSVAUX)
Configure a seguinte entidade para o ESM (External Security Manager) que é implementado em seu site.
- ESM: ACF2
- Classe do SAF:SYSVIEW
- Entidade do SAF:SV.CREATE.SSID.smfid.ssid
- Quando a Classe de recurso doSYSVIEWnão estiver definida no registro CLASMAP do GSO e você não tiver uma definição genérica, os primeiros três caracteres da Classe de recurso (SYS) serão usados para o tipo de recurso.
- Acesso:READ
- ESM: RACF
- Classe do SAF:FACILITY
- Entidade do SAF:SV.CREATE.SSID.smfid.ssid
- Acesso:READ
- ESM: Top Secret
- Classe do SAF:CAGSVX
- Entidade do SAF:SV.CREATE.SSID.smfid.ssid
- Acesso:READ
Variáveis:
- smfid
- Especifica a ID de SMF do sistema em que o espaço de endereço do servidor está em execução.
- ssid
- Especifica a ID do subsistema especificada para o parâmetro SSID= durante a instalação.
- Padrão: GSVX.
Como alternativa, é possível definir a entidade do SAF como um recurso genérico no ESM (External Security Manager):
SV.CREATE.SSID.*
.Iniciar um espaço de endereço do servidor que não tem acesso a esse recurso do SAF falha com a seguinte mensagem de erro:
GSVX205E Nucleus load failed, reason 30 not authorized to create or update subsystem
Restringir o acesso de atualização a:
- A biblioteca de procedimentos que contém a JCL de inicialização para qualquer um dos espaços de endereço do servidor
- O conjunto de dados de configuração do sistema apontado pelo DDname GSVXSCFG
Exemplos de definições:
- ACF2:
- ACF SET CONTROL(GSO) INSERT CLASMAP.GSV ENTITYLN(39) RESOURCE(SYSVIEW) RSRCTYPE(GSV) F ACF2,REFRESH(CLASMAP),TYPE(GSO) SET RESOURCE(GSV) COMPILE * $KEY(CREATE) TYPE(GSV) OWNER(SYS1) $USERDATA(SYSVIEW SUBSYSTEM CREATE) $PREFIX(SV) CREATE.SSID.- UID(*****SYSVIEW) SERVICE(READ) ALLOW STORE
- RACF:
- RDEFINE FACILITY SV.CREATE.SSID.*.* UACC(NONE) PERMIT SV.CREATE.SSID.*.* CLASS(FACILITY) ID(SYSVIEW) ACCESS(READ)
- Top Secret:
- TSS PERMIT(SYSVIEW) CAGSVX(SV.CREATE.SSID.*.*) ACCESS(READ)
Autorização do SYSVIEW Application Server (SYSVAPPS)
SYSVIEW
Application Server (SYSVAPPS)O
SYSVIEW
Application Server (SYSVAPPS) exige acesso de segurança para gerenciar a segurança de segmentos do UNIX para conexões do cliente por meio dos recursos BPX.SERVER e BPX.DAEMON. Opcionalmente, você pode conceder acesso ao recurso BPX.CONSOLE para impedir que todas as mensagens WTO (Write-To-Operator) emitidas pelo SYSVAPPS sejam prefixadas com a ID genérica BPXM023I de mensagens do console do USS.
Exemplos de definições:
- ACF2:
- SET RESOURCE(FAC) COMPILE $KEY(BPX) TYPE(FAC) SERVER UID(*****SYSVAPPS) SERVICE(READ) ALLOW $KEY(BPX) TYPE(FAC) DAEMON UID(*****SYSVAPPS) SERVICE(UPDATE) ALLOW $KEY(BPX) TYPE(FAC) CONSOLE UID(*****SYSVAPPS) SERVICE(READ) ALLOW STORE
- RACF:
- PERMIT BPX.SERVER CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ) PERMIT BPX.DAEMON CLASS(FACILITY) ID(SYSVAPPS) ACCESS(UPDATE) PERMIT BPX.CONSOLE CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ)
- Top Secret:
- TSS PERMIT(SYSVAPPS) IBMFAC(BPX.SERVER) ACCESS(READ) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.DAEMON) ACCESS(UPDATE) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.CONSOLE) ACCESS(READ)
Detecção da versão da JVM
O Espaço de endereço de serviços principais do
SYSVIEW
executa a detecção da JVM, que inclui a detecção de versões da JVM. A ID do usuário atribuído ao Espaço de endereço de serviços principais do SYSVIEW
deve ter as seguintes permissões:- Acesso de leitura ao diretóriojava_home/bin
- Autoridade de execução para o aplicativo Java no diretório java_home/bin
As permissões são necessárias para cada versão do Java que é usada para executar as JVMs.
Os diretórios que pertencem aos produtos SDK do Java para z/OS geralmente permitem acesso de leitura aos diretórios e autoridade de execução para todas as IDs de usuário. No entanto, quando há versões do Java incorporadas em um diretório de produtos (por exemplo, IBM WebSphere Application Server™), o acesso de leitura e a autoridade de execução podem ser restritos. Você pode usar as ACLs (Access Control Lists - Listas de Controle de Acesso) para conceder à ID de usuário dos serviços principais do
SYSVIEW
a permissão para acessar os diretórios incorporados do Java e a autoridade de execução ao executável do Java.Embora o
SYSVIEW
não possa detectar as versões das JVMs que estão em execução no sistema, o SYSVIEW
e o agente do coletor de dados da JVM do SYSVIEW
podem ser executados sem incidentes e podem detectar as JVMs que estão em execução no sistema.