我有一个多个开发人员正在开发的开发系统。当前配置允许在主目录中对新数据集进行编目的任何请求。为了保护主目录免受授权系统人员之外的写入,SAF 似乎是建议的最佳选择。我的安全经理是 RACF。
在翻阅 IBM 手册时,有很多学术信息,但没有描述实现解决方案所需的所有元素的实用解决方案。
我一直参考的手册之一是z/OS Security Server for RACF
以下是本节的摘要:
RDEFINE GLOBAL DATASET
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER'/READ)
ADDGROUP CATALOG # Defines the hlq of the dataset
ADDSD 'CATALOG.MASTER' UACC(READ)
这种方法不会产生任何积极的结果,并且系统继续允许任何人在主目录中对新数据集进行编目。
我的计划是锁定和解锁默认访问,因为这是一个测试系统,但也许我需要为目录管理创建一个单独的用户。
我希望 DFSMS、RACF 以及可能需要配置的其他领域中的各种必需元素才能完成这项工作。不幸的是,IBM 手册虽然非常详细,但在实际/完整示例方面却很少。
一种廉价的方法是使用先于 SAF 的方法:在主目录上设置密码。任何创建具有与别名条目不匹配的高级限定符的数据集的人都将生成 WTOR 要求输入密码。它不会通过审核员召集,但在开发 ADCD/ADLT 环境中,我发现这非常有效。
以下来自手册:z/OS 安全服务器 RACF 安全管理员指南
建议与您的 RACF 管理员联系并进行类似的设置
您可以在 racf 语言参考手册中查看 zos 提供的资源。您还可以在同一文档中看到添加和添加用户命令。