Seguridad basada en grupos para directorios de z/OS UNIX System Services

Por defecto, los directorios z/OS UNIX creados por el software de configuración para los archivos de soporte de aplicaciones del agente autodescriptor (SDA) se crean con permisos de directorio de grupo y usuario MODE(7,5,5), que establece el permiso como lectura-escritura-ejecución (7) para el propietario, y lectura-ejecución (5) para todos los demás (grupo y otros). Si desea implementar un esquema de acceso más seguro para los directorios, puede hacerlo mediante la seguridad basada en grupo.

El parámetro TEMS_MANIFEST_PATH en el miembro KDSENV apunta al nombre del directorio de inicio z/OS UNIX donde los archivos jar del agente cargados y otros archivos de soporte de la aplicación serán almacenados por el servidor de monitorización. El valor del parámetro consta del nombre del directorio del entorno de ejecución seguido de &rtename/kds/support/TEMS. Por defecto, el trabajo KCIJPUSS (PARMGEN) crea los miembros RKANDATV(KDS*) z/OS UNIX para invocar los comandos mkdir para el directorio y subdirectorios TEMS_MANIFEST_PATH con propietario, grupo y otros en permiso MODE(7,5,5). Por ejemplo, uno de los mandatos mkdir que procesa el trabajo KCIJPUSS de PARMGEN en WKANSAMU es este miembro de mkdir de la biblioteca RKANDATV:

 VIEW   &rte_hilev.&rte_name.RKANDATV(KDSRMKDB) 
%mkdir '/rtehome/ibmuser1/USSRTE1/kds/support/TEMS' MODE(7,5,5) +

El último bit de permiso 5 en el parámetro MODE(7,5,5) concede permiso de lectura-ejecución a los directorios z/OS UNIX para el entorno de ejecución a todos los usuarios. Tenga en cuenta que el ID de usuario TSO de la persona que ejecuta el trabajo no es necesariamente el ID de usuario asociado con la tarea iniciada por el servidor de supervisión. Sin embargo, ambos ID de usuario necesitan acceso de escritura a los directorios de z/OS UNIX por las siguientes razones:

Para dar soporte a la característica de agente de autodescripción, el servidor de supervisión z/OS® debe poder añadir y eliminar archivos de estos directorios. Un parámetro MODE() más restrictivo impediría al servidor de supervisión realizar esta función.
El ID de usuario TSO de la persona que ejecuta los trabajos de z/OS UNIX debe tener acceso de escritura a estos mismos directorios.

Para implementar un esquema de acceso más seguro para los directorios de z/OS UNIX, utilice la seguridad basada en grupos, como se ilustra en el siguiente ejemplo:

Supongamos que el ID de usuario de TSO ibmuser1 está conectado a tres grupos de seguridad, GROUP1, GROUP2 y GROUP3. Dado que GROUP1 es el grupo por defecto de ibmuser1, todos los directorios recién creados de z/OS UNIX pertenecen por defecto a GROUP1. El ID de usuario de la tarea iniciada de supervisión es CANSDSST y está conectado a dos grupos de seguridad, GROUP2 y GROUP4. Dado que ambos ID de usuario tienen GROUP2 en común, el ID de usuario ibmuser1 podría iniciar sesión en z/OS UNIX y emitir un comando chgrp para establecer GROUP2 como propietario de los directorios z/OS UNIX del entorno de ejecución. Por ejemplo:

/rtehome/ibmuser1> chgrp -R GROUP2 USSRTE1

A continuación, el ID de usuario ibmuser1 puede emitir un mandato chmod para modificar el valor MODE(7,5,5), como por ejemplo:

/rtehome/ibmuser1> chmod -R 775 USSRTE1

Después de emitir este comando chmod , sólo los usuarios conectados a GROUP2 tendrán acceso de escritura a los directorios z/OS UNIX para el entorno de ejecución.

Si el ID de usuario de TSO y los ID de usuario de la tarea iniciada por el servidor de supervisión no tienen grupos de seguridad en común, debería conectar uno de estos ID de usuario, o ambos, a un grupo de seguridad común o debería definir un nuevo grupo de seguridad y conectar ambos ID de usuario a dicho grupo. Con cualquiera de las opciones, debería igualmente ejecutar las acciones chgrp y chmod.