Autorizações do SAF somente para espaços de endereço

As seguintes autorizações do SAF são necessárias para os espaços de endereço do
SYSVIEW
.

Criar autorização de SSID

A autorização do SAF é necessária para impedir que os usuários substituam as Opções de configuração do sistema especificadas pelo DDname GSVXSCFG. A autorização de SSID é necessária para os seguintes espaços de endereço:
  • Espaço de endereço dos serviços principais do
    SYSVIEW
    (SYSVIEW)
  • Espaço de endereço da interface de usuário do
    SYSVIEW
    (SYSVUSER)
  • Espaço de endereço dos serviços auxiliares do
    SYSVIEW
    (SYSVAUX)
Configure a seguinte entidade para o ESM (External Security Manager) que é implementado em seu site.
ESM: ACF2
Classe do SAF:
SYSVIEW
Entidade do SAF:
SV.CREATE.SSID.
smfid
.
ssid
Quando a Classe de recurso do
SYSVIEW
não estiver definida no registro CLASMAP do GSO e você não tiver uma definição genérica, os primeiros três caracteres da Classe de recurso (SYS) serão usados para o tipo de recurso.
Acesso:
READ
ESM: RACF
Classe do SAF:
FACILITY
Entidade do SAF:
SV.CREATE.SSID.
smfid
.
ssid
Acesso:
READ
ESM: Top Secret
Classe do SAF:
CAGSVX
Entidade do SAF:
SV.CREATE.SSID.
smfid
.
ssid
Acesso:
READ
Variáveis:
smfid
Especifica a ID de SMF do sistema em que o espaço de endereço do servidor está em execução.
ssid
Especifica a ID do subsistema especificada para o parâmetro SSID= durante a instalação.
Padrão
: GSVX.
Como alternativa, é possível definir a entidade do SAF como um recurso genérico no ESM (External Security Manager):
SV.CREATE.SSID.*
.
Iniciar um espaço de endereço do servidor que não tem acesso a esse recurso do SAF falha com a seguinte mensagem de erro:
GSVX205E Nucleus load failed, reason 30 not authorized to create or update subsystem
Restringir o acesso de atualização a:
  • A biblioteca de procedimentos que contém a JCL de inicialização para qualquer um dos espaços de endereço do servidor
  • O conjunto de dados de configuração do sistema apontado pelo DDname GSVXSCFG
Exemplos de definições:
ACF2:
ACF SET CONTROL(GSO) INSERT CLASMAP.GSV ENTITYLN(39) RESOURCE(SYSVIEW) RSRCTYPE(GSV) F ACF2,REFRESH(CLASMAP),TYPE(GSO) SET RESOURCE(GSV) COMPILE * $KEY(CREATE) TYPE(GSV) OWNER(SYS1) $USERDATA(SYSVIEW SUBSYSTEM CREATE) $PREFIX(SV) CREATE.SSID.- UID(*****SYSVIEW) SERVICE(READ) ALLOW STORE
RACF:
RDEFINE FACILITY SV.CREATE.SSID.*.* UACC(NONE) PERMIT SV.CREATE.SSID.*.* CLASS(FACILITY) ID(SYSVIEW) ACCESS(READ)
Top Secret:
TSS PERMIT(SYSVIEW) CAGSVX(SV.CREATE.SSID.*.*) ACCESS(READ)

Autorização do
SYSVIEW
Application Server (SYSVAPPS)

O
SYSVIEW
Application Server (SYSVAPPS) exige acesso de segurança para gerenciar a segurança de segmentos do UNIX para conexões do cliente por meio dos recursos BPX.SERVER e BPX.DAEMON.
Opcionalmente, você pode conceder acesso ao recurso BPX.CONSOLE para impedir que todas as mensagens WTO (Write-To-Operator) emitidas pelo SYSVAPPS sejam prefixadas com a ID genérica BPXM023I de mensagens do console do USS.
Exemplos de definições:
ACF2:
SET RESOURCE(FAC) COMPILE $KEY(BPX) TYPE(FAC) SERVER UID(*****SYSVAPPS) SERVICE(READ) ALLOW $KEY(BPX) TYPE(FAC) DAEMON UID(*****SYSVAPPS) SERVICE(UPDATE) ALLOW $KEY(BPX) TYPE(FAC) CONSOLE UID(*****SYSVAPPS) SERVICE(READ) ALLOW STORE
RACF:
PERMIT BPX.SERVER CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ) PERMIT BPX.DAEMON CLASS(FACILITY) ID(SYSVAPPS) ACCESS(UPDATE) PERMIT BPX.CONSOLE CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ)
Top Secret:
TSS PERMIT(SYSVAPPS) IBMFAC(BPX.SERVER) ACCESS(READ) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.DAEMON) ACCESS(UPDATE) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.CONSOLE) ACCESS(READ)

Detecção da versão da JVM

O Espaço de endereço de serviços principais do
SYSVIEW
executa a detecção da JVM, que inclui a detecção de versões da JVM. A ID do usuário atribuído ao Espaço de endereço de serviços principais do
SYSVIEW
deve ter as seguintes permissões:
  • Acesso de leitura ao diretório
    java_home/bin
  • Autoridade de execução para o aplicativo Java no diretório java_home/bin
As permissões são necessárias para cada versão do Java que é usada para executar as JVMs.
Os diretórios que pertencem aos produtos SDK do Java para z/OS geralmente permitem acesso de leitura aos diretórios e autoridade de execução para todas as IDs de usuário. No entanto, quando há versões do Java incorporadas em um diretório de produtos (por exemplo, IBM WebSphere Application Server™), o acesso de leitura e a autoridade de execução podem ser restritos. Você pode usar as ACLs (Access Control Lists - Listas de Controle de Acesso) para conceder à ID de usuário dos serviços principais do
SYSVIEW
a permissão para acessar os diretórios incorporados do Java e a autoridade de execução ao executável do Java.
Embora o
SYSVIEW
não possa detectar as versões das JVMs que estão em execução no sistema, o
SYSVIEW
e o agente do coletor de dados da JVM do
SYSVIEW
podem ser executados sem incidentes e podem detectar as JVMs que estão em execução no sistema.