为安全性发现分析创建输入安全性元数据

安全性管理员运行 JCL 作业以抽取 RACF® 定义并将其转换为输入安全性元数据,这表示角色和事务的安全性定义 (采用 ESM 不可知格式)。

有关整个安全性发现过程的概述,请参阅 工作方式: CICS 安全性发现。 此任务是该流中的步骤 1。

开始之前

要为共享安全性定义的每组 CICS® 区域创建安全性元数据,请确保这些区域具有相同的 RACF 类和 SECPRFX SIT 参数。

有关安全元数据的更多信息,请参阅什么是安全元数据? 这项任务不需要备份数据。

过程

  1. 安全性管理员需要定制 DFH$R2SM JCL ,这是 hlq.SDFHSAMP中的样本。
    根据需要定制以下参数:
    SECMETA EXEC DFHXSMET , SAMPLIB=hlq.SDFHSAMP
    JCL 使用 CICS 样本库中的 REXX 程序。 在此行上,将 hlq 更改为已安装库的高级限定符。
    DIR
    指定将在其中创建输出文件的 zFS 上的一个目录。 此目录必须已存在。
    Fn
    指定输出文件的文件名。 将以 ASCII 格式创建文件扩展名为 .esm的文件。
    共青团
    指定允许抽取 RACF 数据大小的柱面数。 缺省值允许 200 万行输出,这足以用于大多数安装。
    Xnnn
    在 SIT 安全类参数 (Xnnn) 上定义的 CICS 类的名称,例如 XTRAN=CICSTRNXFCT=CICSFCT
    事务类始终是必需的。 如果在 JCL 中指定了 XTRAN=NO ,那么将返回错误:
    错误 :XTRAN 不受支持并终止,返回码为 12

    对于其他类,假定 Xnnn=NO ,除非指定了此选项。

    SECPRFX
    SECPRFX SIT 参数上定义的安全前缀。
    HIDE
    如果需要将输出发送到 IBM® 以进行诊断,请对输出进行模糊处理。 将其设置为 NO 以供客户使用。
    DEBUG
    如果需要 IBM 支持,请将其用于诊断目的。 将其设置为 NO 以供客户使用。
  2. 该作业需要由至少具有 ROAUDIT 权限的安全性管理员提交,以便 RACF 命令抽取所有事务和组数据。

    安全性元数据类似于以下示例:

    图 1。 生成的安全性元数据的示例
    --- # Security Metadata--- 
version: 2
file_created:
  - date: "17 Mar 2023"
  - time: "15:27:26"
  - user: SUE
  - esm: "RACF"
group_list:
  - name: MANAGER
    users:
      - MAINWRN
user_list:
  - user: MAINWRN
    username: "George Mainwaring"
secprfx: NO
classes:
  - class: XTRAN
    name: CICSTRN
    profiles:
      - name: MENU
        access_lists:
          - access: READ
            groups:
              - MANAGER
  3. 作业步骤返回完成代码:
    • 0-成功完成
    • 4-发出警告消息 (作业将继续)
    • 8 , 12-发出错误消息 (作业将终止)
  4. 每个作业步骤都可能导致向 SYSTSPRT 发出消息。 对于不支持的定义会发出警告信息,因为转换程序无法处理这些定义。

结果

安全元数据是在 zFS 上以 ASCII 格式生成的。

下一步操作

安全管理员将安全元数据传递给系统程序员,以便在 CICS Explorer®.有关说明,请参阅 CICS Explorer 中使用安全发现分析安全定义

6.2 及更高版本系统程序员可以选择捕获安全发现数据 (SDD) 作为附加输入数据,以便在 CICS Explorer 中进行分析。