Seguridad basada en grupos para directorios de z/OS UNIX System Services

De forma predeterminada, los directorios z/OS UNIX creados por el software de configuración para los archivos de soporte de aplicaciones del agente de autodescripción (SDA) se crean con permisos de directorio de grupo y usuario MODE (7,5, 5), que establece el permiso como lectura-escritura-ejecución (7) para el propietario, y de lectura-ejecución (5) para el resto (grupo y otros). Si desea implementar un esquema de acceso más seguro para los directorios, puede hacerlo mediante la seguridad basada en grupo.

El parámetro TEMS_MANIFEST_PATH del miembro KDSENV apunta al nombre del directorio de inicio de z/OS UNIX donde el servidor de supervisión almacenará los archivos jar de agente cargados y otros archivos de soporte de aplicaciones. El valor del parámetro consta del nombre del directorio del entorno de ejecución seguido de &rtename/kds/support/TEMS. De forma predeterminada, el trabajo KCIJPUSS (PARMGEN) crea los miembros RKANDATV (KDS*) z/OS UNIX para invocar los mandatos mkdir para el directorio y subdirectorios TEMS_MANIFEST_PATH con propietario, grupo y otros en el permiso MODE (7,5, 5). Por ejemplo, uno de los mandatos mkdir que procesa el trabajo KCIJPUSS de PARMGEN en WKANSAMU es este miembro de mkdir de la biblioteca RKANDATV:

 VIEW   &rte_hilev.&rte_name.RKANDATV(KDSRMKDB) 
%mkdir '/rtehome/ibmuser1/USSRTE1/kds/support/TEMS' MODE(7,5,5) +

El último bit de permiso 5 en el parámetro MODE(7,5,5) otorga permiso de lectura-ejecución a los directorios z/OS UNIX para el entorno de ejecución a todos los usuarios. Tenga en cuenta que el ID de usuario TSO de la persona que ejecuta el trabajo no es necesariamente el ID de usuario asociado con la tarea iniciada por el servidor de supervisión. Sin embargo, ambos ID de usuario requieren acceso de escritura a los directorios z/OS UNIX por las razones siguientes:

Para dar soporte a la característica de agente de autodescripción, el servidor de supervisión z/OS® debe poder añadir y eliminar archivos de estos directorios. Un parámetro MODE() más restrictivo impediría al servidor de supervisión realizar esta función.
El ID de usuario TSO de la persona que ejecuta los trabajos z/OS UNIX debe tener acceso de escritura a estos mismos directorios.

Para implementar un esquema de acceso más seguro para los directorios z/OS UNIX, utilice la seguridad basada en grupos, tal como se ilustra en el ejemplo siguiente:

Supongamos que el ID de usuario de TSO ibmuser1 está conectado a tres grupos de seguridad, GROUP1, GROUP2 y GROUP3. Puesto que GROUP1 es el grupo predeterminado de ibmuser1, todos los directorios z/OS UNIX recién creados son propiedad de GROUP1 de forma predeterminada. El ID de usuario de la tarea iniciada de supervisión es CANSDSST y está conectado a dos grupos de seguridad, GROUP2 y GROUP4. Puesto que ambos ID de usuario tienen GROUP2 en común, el ID de usuario de ibmuser1 podría iniciar sesión en z/OS UNIX y emitir un mandato chgrp para establecer GROUP2 como propietario de los directorios UNIX de z/OS del entorno de ejecución. Por ejemplo:

/rtehome/ibmuser1> chgrp -R GROUP2 USSRTE1

A continuación, el ID de usuario ibmuser1 puede emitir un mandato chmod para modificar el valor MODE(7,5,5), como por ejemplo:

/rtehome/ibmuser1> chmod -R 775 USSRTE1

Después de emitir este mandato chmod , sólo los usuarios que estén conectados a GROUP2 tendrán acceso de escritura a los directorios UNIX de z/OS para el entorno de ejecución.

Si el ID de usuario de TSO y los ID de usuario de la tarea iniciada por el servidor de supervisión no tienen grupos de seguridad en común, debería conectar uno de estos ID de usuario, o ambos, a un grupo de seguridad común o debería definir un nuevo grupo de seguridad y conectar ambos ID de usuario a dicho grupo. Con cualquiera de las opciones, debería igualmente ejecutar las acciones chgrp y chmod.