Definir autorización de seguridad para agente de política

Defina las autorizaciones de seguridad adecuadas para el agente de política.

Antes de empezar

Puede utilizar RACF para autorizar los componentes necesarios para las comunicaciones seguras. Para otros productos de gestión de seguridad, consulte la documentación del producto.

Los términos siguientes aparecen en esta tarea:

Agente de política: Definición de política para AT-TLS. Para obtener más información, consulte z/OS Communications Server: IP Configuration Guide:Policy Agent.
PAGENTE: El agente de política ha iniciado la tarea.
búsqueda: Mandato z/OS® UNIX System Services utilizado para consultar información del agente de políticas, como por ejemplo visualizar definiciones de política.
syslogd: El daemon syslog z/OS UNIX System Services . La documentación de TCP/IP recomienda escribir los mensajes del Agente de Políticas en el syslog de z/OS UNIX en lugar de utilizar el fichero de log por defecto. AT-TLS siempre escribe mensajes en el syslog z/OS UNIX.

Información relacionada

z/OS Communications Server: Guía de configuración de IP: Pasos para configurar el agente de política
z/OS Communications Server: Guía de configuración de IP: Control de acceso de inicialización de pila TCP/IP

Acerca de esta tarea

Debe definir la autorización RACF para la tarea iniciada del agente de política (PAGENT) y los mandatos pasearch . Los pasos de este procedimiento incluyen proporcionar las protecciones siguientes:

Protección INITSTACK: El agente de política se inicia después de inicializar TCP/IP. Esto significa que hay una ventana (pequeña) en la que las aplicaciones pueden utilizar la pila TCP/IP sin que se aplique la política TTLS. Defina el perfil EZB.INITSTACK.** en la clase SERVAUTH para impedir el acceso a la pila durante esta ventana de tiempo, excepto para las aplicaciones con acceso READ al perfil. Debe permitir un conjunto limitado de aplicaciones administrativas en el perfil para garantizar la inicialización completa de la pila, tal como se documenta en z/OS Communications Server: IP Configuration Guide: Control de acceso de inicialización de la pila TCP/IP.
pasearch protección: Defina el perfil EZB.PAGENT.** en la clase SERVAUTH para restringir el acceso al mandato pasearch .

El procedimiento siguiente proporciona mandatos RACF de ejemplo para realizar estos pasos.

Nota: Los ejemplos están pensados como guía; puede organizar las definiciones de seguridad de forma diferente, en función de los requisitos del sitio.

Procedimiento

Realice los pasos siguientes para configurar definiciones de seguridad para el agente de política en RACF.

Defina la autorización RACF para la tarea iniciada de PAGENT y el mandato pasearch .
En este ejemplo, el agente de política se ejecuta como una tarea iniciada de z/OS denominada PAGENT. Para definir la tarea iniciada del agente de política en RACF, utilice el mandato RDEFINE para crear PAGENT.* en la clase STARTED. (Los mandatos SETROPTS se incluyen para que se completen. Estos mandatos no tienen ningún efecto cuando la clase STARTED ya está activada.)
```
SETROPTS CLASSACT(STARTED)
SETROPTS RACLIST(STARTED)
SETROPTS GENERIC(STARTED)
RDEFINE STARTED PAGENT.*
RDEFINE STARTED SYSLOGD.*
```
Defina el ID de usuario de PAGENT.
En este ejemplo, el agente de políticas se ejecuta bajo el ID de usuario z/OS denominado PAGENT y tiene un grupo predeterminado (DFLTGRP) de OMVS y un segmento OMVS con un UID de 0.
```
ADDUSER PAGENT NAME('user-name') DFLTGRP(OMVS)
ALTUSER PAGENT OMVS(UID(0),HOME(/u),PROGRAM(/bin/sh))
RALTER STARTED PAGENT.* STDATA(USER(PAGENT))
RALTER STARTED PAGENT.* STDATA(USER(SYSLOGD))
```

Renovar los perfiles genéricos en almacenamiento.

SETROPTS RACLIST(STARTED) REFRESH
SETROPTS GENERIC(STARTED) REFRESH

Otorgue al agente de políticas la posibilidad de realizar solicitudes de socket durante la inicialización de la pila TCP/IP.
Una pila TCP/IP se inicializa antes de que el agente de políticas instale las políticas en la pila. Durante la ventana de inicialización, sólo los ID de usuario que están permitidos en el perfil EZB.INITSTACK.sysname.tcpname en la clase SERVAUTH pueden realizar solicitudes de socket.
```
SETROPTS CLASSACT(SERVAUTH)
SETROPTS RACLIST(SERVAUTH)
RDEFINE SERVAUTH EZB.PAGENT.sysname.tcpname.* UACC(READ)
RDEFINE SERVAUTH EZB.INITSTACK.sysname.tcpname.* UACC(READ)
SETROPTS GENERIC(SERVAUTH) REFRESH
SETROPTS RACLIST(SERVAUTH) REFRESH
```
Donde sysname es el nombre del sistema (por ejemplo, TVT5011) y tcpname es el nombre del trabajo TCP/IP (por ejemplo, TCPIP).