W dniu 2012-03-09 18:00, Juan Mautalen pisze:
Hi:
We currently have our VTAMLST libraries protected with UACC(READ). IBM suggests
UACC(NONE) for them (RACF Security Administrator Guide, apendix D- Security for
system datasets) . I want to make the change, but of course i know i must be
extremely carefull with this change. I need to detect all users needing read
access to VTAMLST. Human users are not my problem, my worry is about non-human
ones (users of system tasks, started tasks, etc.).
[...]
That brought to my mind missing (IMHO) features of RACF.
Now one can put the profile in WARNING mode, which effectively mean
UACC(ALTER), or one can set AUDIT and wait for the SMF records, which
can be ineffective and lengthy.
The following solutions could help in such case:
1. "ACC-WARN"
A warning set at given access level. Especially useful for such purposes
like change UACC(NONE) -> UACC(READ).
One simply changes UACC and sets additional field with WARN-READ.
Effect: regular checking is performed, only for unauthorized READ
requests there is an access with warning message, higher accesses are
rejected.
To be checked after regular WARNING (which would make the above
ineffective).
2. "Warning for selected users/groups"
IMHO less sexy, but still fine.
An access list for users/groups - only for them the WARNING is honored.
In such case the candidates would be started tasks users.
My €0.02
--
Radoslaw Skorupka
Lodz, Poland
--
Treść tej wiadomości może zawierać informacje prawnie chronione Banku
przeznaczone wyłącznie do użytku służbowego adresata. Odbiorcą może być jedynie
jej adresat z wyłączeniem dostępu osób trzecich. Jeżeli nie jesteś adresatem
niniejszej wiadomości lub pracownikiem upoważnionym do jej przekazania
adresatowi, informujemy, że jej rozpowszechnianie, kopiowanie, rozprowadzanie
lub inne działanie o podobnym charakterze jest prawnie zabronione i może być
karalne. Jeżeli otrzymałeś tę wiadomość omyłkowo, prosimy niezwłocznie
zawiadomić nadawcę wysyłając odpowiedź oraz trwale usunąć tę wiadomość
włączając w to wszelkie jej kopie wydrukowane lub zapisane na dysku.
This e-mail may contain legally privileged information of the Bank and is intended solely for business use of the addressee. This e-mail may only be received by the addressee and may not be disclosed to any third parties. If you are not the intended addressee of this e-mail or the employee authorised to forward it to the addressee, be advised that any dissemination, copying, distribution or any other similar activity is legally prohibited and may be punishable. If you received this e-mail by mistake please advise the sender immediately by using the reply facility in your e-mail software and delete permanently this e-mail including any copies of it either printed or saved to hard drive.
BRE Bank SA, 00-950 Warszawa, ul. Senatorska 18, tel. +48 (22) 829 00 00, fax
+48 (22) 829 00 33, www.brebank.pl, e-mail: [email protected]
Sąd Rejonowy dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego, nr rejestru przedsiębiorców KRS 0000025237, NIP: 526-021-50-88.
Według stanu na dzień 01.01.2012 r. kapitał zakładowy BRE Banku SA (w całości wpłacony) wynosi 168.410.984 złotych.
----------------------------------------------------------------------
For IBM-MAIN subscribe / signoff / archive access instructions,
send email to [email protected] with the message: INFO IBM-MAIN
