课程:大型机操作系统
作者:高珍 gaozhen2005@gmail.com实验环境构建:高珍
1 实验环境介绍.....................................................................................2 2 实验1:登陆TSO..............................................................................4 3 实验2:创建组RACF实验...............................................................6 4 实验3:用户管理RACF实验...........................................................9 5 实验4:分散式RACF安全管理实验.............................................12 6 实验5:数据集保护RACF实验I....................................................15 7 实验6:数据集保护RACF实验II...................................................20 8 实验7:授权用户登陆TSO实验....................................................22 9 实验8:授权TSO用户访问USS实验.............................................28
实验环境介绍
一、RACF用户示意图如下
其中各组和用户之间的关系如下表
GROUP IDTJG001 TJG002 TJG003 TJG004 TJG005 TJG006 TJG007 …… TJG099
GROUP SPECIAL USER
TJU001 TJU002 TJU003 TJU004 TJU005 TJU006 TJU007 …… TJU099
二、帐号分配(06级本和07级研)
主机IP:218.25.163.35 初始密码:PASS
学号 43092 64066 64067 64109 64153 姓名 王翱 黄岳浩 王文博 张丁伟 张志光 账号 TJU001 TJU002 TJU003 TJU004 TJU005 学号 56097 64056 64076 64084 64112 姓名 宽尼士 张宁 奚青 胡静芸孟辰 账号 TJU038 TJU039 TJU040 TJU041 TJU042 学号 796170002 796170003 796170005 796170007 796170008 姓名 范洋 张仕成周硕进吴春庆余涛 账号 TJU065 TJU066 TJU067 TJU068 TJU069 64184 陈子维 TJU006 64052 翟英博 TJU007 64087 吴竞之 TJU008 64118 翟羽佳 TJU009 64119 李策 TJU010 64171 满烨懋 TJU011 64180 钟思奇 TJU012 64186 魏旭东 TJU013 54164 官振山 TJU014 54198 梁超 TJU015 64064 孙凡 TJU016 64100 许亚男 TJU017 64173 陈?东 TJU018 64189 周磊 TJU019 64075 王锡姣 TJU020 64168 蔡思敏 TJU021 64169 赵卓翔 TJU022 64181 袁扣林 TJU023 64187 王炜 TJU024 64190 朱栋涛 TJU025 64200 张?君 TJU026 64206 洪韵杰 TJU027 54240 张寅超 TJU028 64053 陈晓俊 TJU029 64085 谢永辉 TJU030 64102 杨蕙昭 TJU031 64133 严杰 TJU032 64177 邓运 TJU033 64179 郁佳阳 TJU034 64182 陈荣禄 TJU035 64202 郑立仪 TJU036 54283
刘彬斌
TJU037
64113 周瑞娟TJU043 64136 沈博文TJU044 64166 费翔 TJU045 64183 吴仁桥TJU046 64185 胡双杰TJU047 64197 王上望TJU048 64060 张磊 TJU049 64083 楼佳易TJU050 64097 朱汉亚TJU051 64137 郑昊 TJU052 64175 徐岚 TJU053 61681 薛锋 TJU054 64054 赵伊秋TJU055 64062 张晶晶TJU056 64086 王凯 TJU057 64126 王鑫雷TJU058 64128 俞陈 TJU059 64152 周欢 TJU060 64156 王帆 TJU061 64188
俞从正
TJU062
796170010 谢蓉 TJU070 796170011 胡芳 TJU071 796170012 费伟伟TJU072 796170013 霍胜杰TJU073 796170014 成圆 TJU074 796170015 朱晓然TJU075 796170016 骆坤 TJU076 796170017 许伟佳TJU077 796170019 陈建伟TJU078 796170020 郑曜 TJU079 796170021 郭宁 TJU080 796170022 陈永超TJU081 796170024 周晨 TJU082 796170025 余青枝TJU083 796170028 孙华鹏TJU084 796170030 张霄翔TJU085 796170031 俞立嘉TJU086 796170033 祝希博TJU087 796170034 张羽 TJU088 796170037 刘瑞卿TJU089 796170038 李平新TJU090 796170039 张征宇TJU091 721170258 张硕 TJU092 721170262 朱宏峰TJU093 721170607 万哲君TJU094 721170037
于展奇
TJU095
实验1:登陆TSO
步骤 1 输入‘LOGON TJU0xx’登陆TSO
z/OS V1R5 Level 0403 IP Address = 220.152.168.239
VTAM Terminal = A06TSO28 Application Developer System // OOOOOOO SSSSSSS // OO OO SS zzzzzz // OO OO SS zz // OO OO SSSS zz // OO OO SS zz // OO OO SS zzzzzz // OOOOOOO SSSSSSS System Customization -ADCD.ZOSV1R5.* ===> Enter \"LOGON\" followed by the TSO userid. Example \"LOGON IBMUSER\" or ===> Enter L followed by the APPLID ===> Examples: \"L TSO\LOGON TJU001
步骤 2 进入TSO登陆界面,输入初始密码PASS,然后根据系统提示修改密码
步骤 3 进入TSO界面,遇到‘***’直接回车(右Control键)即可进入ISPF操作界面
ICH70001I RACFU01 LAST ACCESS AT 15:56:23 ON SATURDAY, JUNE 2, 2007 IKJ56455I RACFU01 LOGON IN PROGRESS AT 18:08:05 ON JUNE 2, 2007 IKJ56951I NO BROADCAST MESSAGES ***************************************************************** * * * WELCOME STUDENT TO * * * * * * * * MAINFRAME TECHNOLOGY TRAINING * * * * * * * * * * * * * * * * * ***************************************************************** ***
步骤 4 ISPF界面如下
实验2:创建组RACF实验
实验目的:利用RACF命令创建组结构 实验结果:实验后,学生应该掌握
绘制RACF组结构 定义新的组Profile
利用RACF命令增加,显示和查找组Profile
实验指导:首先设计组的结构,然后用RACF命令实现 实验要求:完成实验报告 实验步骤:
步骤 1 设计和制定组的结构
一般情况下,需要设计以下几类组,如图示
Administrator Group管理组:用于管理全部用户的组,命名为DIVхUADM
Function Group功能组:用于实现资源访问控制的组,可以通过这些组给组员访问某种资源(如数据集)的权限
Data Control Group数据控制组(又称资源组):这些组的名字需要和数据集的HLQ相同,这些数据集成为组的数据集
另外一些组用于将权限下放(Delegation)
TJG0xxTJU0xxDIVxxADMDIVxxFUNDIVxxRESDIVxxPRDDIVxxTSTDIVxxRPRDIVxxRTS
步骤 2 以TJG0xx组管理员身份登陆TSO
以TJU0xx用户身份登陆TSO/ISPF,初始密码为PASS,第一次登陆需要修改密码 如果执行RACF命令,请选择‘6’OPTION
如果使用RACF控制面板,请选择‘M.3’OPTION
使用‘LU’RACF命令或者RACF控制面板查看TJU0xx的属性,请回答以下问题 (1) What groups are you connected to?
(2) Do you have any user attributes?
(3) Do you have some class authorization?
(4) Do you have any connect attributes to TJG0xx?
步骤 3 在TJG0xx之下定义子组
请首先参考步骤1的组结构
然后利用RACF命令或者RACF面板定义以下子组,请思考应该指定谁为子组的OWNER。 (1) 定义DIVxxADM 用户管理组(相当于公司人事部门),RACF命令:
(2) 定义DIVxxFUN 功能组(相当于公司各职能部门),后继实验将在该组下定义各个子
功能组,RACF命令:
(3) 定义DIVxxRES 资源组(为有机组织和保护系统资源—包括数据集/CICS交易/系统和
用户程序等资源—而设立的组),后继实验将在该组下定义各个子资源组,RACF命令: HINT :ADDGROUP
ADDGROUP DIVxxADM OWNER(TJG0xx) SUPGROUP(TJG0xx) ADDGROUP DIVxxFUN OWNER(TJG0xx) SUPGROUP(TJG0xx) ADDGROUP DIVxxRES OWNER(TJG0xx) SUPGROUP(TJG0xx)
利用RACF命令查看新建的组进行验证,并据此补充步骤1的组结构 HINT :LG
LG DIVxxADM LG DIVxxFUN LG DIVxxRES
步骤 4 在DIVxxFUN下定义子组(功能组)
利用RACF命令或者RACF面板定义以下子组,请思考应该指定谁为子组的OWNER。
(1) 定义DIVxxPRD 功能组,该组将用于对生产系统数据集(Production Data Sets)的访问进
行集中授权(即如果该组对生产系统数据集有访问权限,该组的成员将自动继承这一权限)。 RACF命令:
(2) 定义DIVxxTST 功能组,该组将用于对测试系统数据集(Test Data Sets)的访问进行集中
授权(即如果该组对测试系统数据集有访问权限,该组的成员将自动继承这一权限)。 HINT :ADDGROUP
ADDGROUP DIVxxPRD OWNER(DIVxxFUN) SUPGROUP(DIVxxFUN) ADDGROUP DIVxxTST OWNER(DIVxxFUN) SUPGROUP(DIVxxFUN)
步骤 5 在DIVxxRES下定义子组(资源组)
利用RACF命令或者RACF面板定义以下子组,请思考应该指定谁为子组的OWNER。(RACF
中数据集Profile的HLQ必须是RACF系统中的一个用户或者组,这里我们为即将要保护的数据集DIVxxRPR.*和DIVxxRTS定义2个子组)
(1) 定义DIVxxRPR 资源组,该组将用于保护生产系统的数据集。RACF命令: (2) 定义DIVxxRTS 资源组,该组将用于保护测试系统的数据集。RACF命令:
HINT :ADDGROUP
ADDGROUP DIVxxRPR OWNER(DIVxxRES) SUPGROUP(DIVxxRES) ADDGROUP DIVxxRTS OWNER(DIVxxRES) SUPGROUP(DIVxxRES)
步骤 6 利用RACF命令(Search)或者RACF面板查找组Profile
RACF命令:
HINT :SEARCH CLASS(GROUP) MASK(DIVxx)
步骤 7 总结本次实验体会及建议
实验3:用户管理RACF实验
实验目的:利用RACF命令新建和管理用户 实验结果:实验后,学生应该掌握
新建用户
用户的安全管理
利用RACF命令增加,更改,显示和查找用户Profile
实验介绍:该实验将新建几个用户,然后对用户进行一些安全管理,包括修改用户密码,Revoke
和Resume一个用户
实验要求:完成实验报告 实验步骤:
步骤 1 新建用户
在不太了解用户需要什么权限的情况下,一般只给出最低权限,利用RACF命令或面板完成以下设置
(1) 指定用户的默认组为DIVxxADM (2) 为用户指定初始密码 (3) 考虑为用户指定OWNER (4) 新增以下用户:
TSOxx01 for user Janet Smith TSOxx02 for user Robert Anderson TSOxx03 for user Leslie Brown TSOxx04 for user Arthur Fielding TSOxx05 for user Susan Johnson
TSOxxCP for user Mike Smithers who is a Contract Programmer
HINT :ADDUSER
ADDUSER TSOxx01 OWNER(DIVxxADM) DFLTGRP(DIVxxADM) PASSWORD(PASS) TSO(ACCTNUM(ACT#RACF),PROC(IKJ#RACF),SIZE(4096),COMMAND(ISPF))
步骤 2 为用户重置密码
当用户忘记密码的时后需要管理员为该用户重新指定一个初始密码。
场景:Janet Smith(TSOxx01)遗忘了密码,需要用什么RACF命令为他指定一个临时密码呢?
HINT :ALU
ALU TSOxx01 PASSWORD(PASS)
步骤 3 Revoke用户
当用户帐号暂时不用的时候,安全起见应该将该帐号Revoke挂起。
场景:人力资源部门通知:Arthur Fielding(TSOxx04)将会出差一段时间,请在这段时间将该用户的帐号挂起,RACF命令是什么?
HINT :ALU
ALU TSOxx04 REVOKE
步骤 4 Resume用户
当挂起的用户帐号需要重新启用的时候,应该及时地将帐号Resume。
场景:Arthur Fielding(TSOxx04)出差回来,希望能够继续使用以前的帐号,RACF命令是什么?
HINT :ALU TSOxx04 RESUME
ALU TSOxx04 RESUME
步骤 5 挂起和启用用户帐号的时候,可以指定挂起和启用的具体日期。请设置挂起日期为实验当
天,启用日期为1个月后。
步骤 6 使用Search命令查找以上新建的用户Profile
HINT :SEARCH
SEARCH CLASS(USER) MASK(TSOxx)
步骤 7 RACF中有些Options是和用户相关的,请使用‘SETROPTS LIST’命令显示RACF OPTIONs
设置,回答以下问题:
(1) Are there any SETROPTS password syntax rules?
(2) Are we keep track of previous passwords? If so how many?
(3) Are we giving the user a warning before expiring their password?
(4) Is there a password expiration value?
步骤 8 将用户连接到组。RACF中给用户访问资源权限的最佳方法是将用户关联到可以访问这些
资源的组中,这些组称为功能组(Functional Group)
(1) 将用户Arthur Fielding(TSOxx04)连接到组DIVxxPRD,实现其对生产数据集的访问 (2) 将用户Susan Johnson (TSOxx05)连接到组DIVxxTST,实现其对测试数据集的访问 HINT :CONNECT
CONNECT TSOxx04 GROUP(DIVxxPRD) CONNECT TSOxx05 GROUP(DIVxxTST)
步骤 9 使用什么RACF命令可以验证用户是否关联到组?
HINT :LU or LG
步骤 10 步骤 11
请继续更新组和用户的结构图,以帮助你更好地进行下面的实验 总结本次实验体会及建议
实验4:分散式RACF安全管理实验
实验目的:实现RACF中的管理权限下放(Delegation) 实验结果:实验后,学生应该掌握
将用户以Group Special身份关联到组
实验介绍:该实验将新建几个管理员用户,其中一个管理员负责用户安全的管理,一个管理员负
责将用户连接到功能组,另外一个管理员管控制对数据集资源的访问,如下:
TSOxx01 for user Janet Smith -- group special for DIVxxADM
TSOxx02 for user Robert Anderson -- connect authority for DIVxxPRD & DIVxxTST TSOxx03 for user Leslie Brown -- create authority for DIVxxRPR & DIVxxRTS
实验要求:完成实验报告 实验步骤:
步骤 1 确定前面实验中所建立的TSOxxnn用户的OWNER是DIVxxADM,以下是其中几个用户
身份的定位:
(1) TSOxx01(Janet Smith):该管理员将对DIVxxADM组用户的安全进行管理,包括为用户重置密码,挂起和启用用户,实现的RACF命令是
HINT :CONNECT
CONNECT TSOxx01 GROUP(DIVxxADM) SPECIAL
(2) 使用‘LU’RACF命令或者RACF控制面板查看TSOxx01的属性,请回答以下问题 ► What groups is TSOxx01 connected to?
► Does TSOxx01 have any user attributes?
► Does TSOxx01 have some class authorization?
► Does TSOxx01 have any connect attributes to DIVxxADM?
(3) TSOxx02(Robert Anderson):该管理员可以将用户关联到DIVxxFUN组下的子功能组中,以实现用户对特定数据的访问权限,实现的RACF命令是
HINT :CONNECT
CONNECT TSOxx02 GROUP(DIVxxPRD) AUTHORITY(CONNECT) CONNECT TSOxx02 GROUP(DIVxxTST) AUTHORITY(CONNECT)
(4) 使用‘LU’RACF命令或者RACF控制面板查看TSOxx02的属性,请回答以下问题 ► What groups is TSOxx02 connected to?
► Does TSOxx02 have any user attributes?
► Does TSOxx02 have some class authorization?
► Does TSOxx02 have any connect attributes to DIVxxPRD and DIVxxTST?
(5) TSOxx03(Leslie Brown):该管理员可以为DIVxxRPR和DIVxxRTS组数据集创建数据集PROFILE,以控制用户对组数据集的访问,实现的RACF命令是
HINT :CONNECT TO GROUPs WITH CREATE AUTHORITY CONNECT TSOxx03 GROUP(DIVxxRPR) AUTHORITY(CREATE) CONNECT TSOxx03 GROUP(DIVxxRTS) AUTHORITY(CREATE)
(6) 使用‘LU’RACF命令或者RACF控制面板查看TSOxx03的属性,请回答以下问题 ► What groups is TSOxx03 connected to?
► Does TSOxx03 have any user attributes?
► Does TSOxx03 have some class authorization?
► Does TSOxx03 have any connect attributes to DIVxxRPR and DIVxxRTS?
步骤 2 测试步骤1的功能是否实现
(1) 以TSOxx01身份登陆TSO,尝试修改用户密码等
HINT :需要参考实验7先对TSOxx01,TSOxx02,TSOxx03用户进行TSO段赋值(已经完成)并进行相应授权(参考代码如下),最后为用户建立ALIAS(参考示例如下)
授权的参考代码
PE ACT#RACF CLASS(ACCTNUM) ID(DIVxxADM) ACCESS(READ) PE IKJ#RACF CLASS(TSOPROC) ID(DIVxxADM) ACCESS(READ) PE JCL CLASS(TSOAUTH) ID(DIVxxADM) ACCESS(READ) SETR RACLIST(TSOPROC) REFRESH
建立ALIAS的参考示例
HINT :如果要为TSOxx01创建别名,打开TJADMIN.JCL.CNTL(DEFALIAS),如下,需将‘TSO0106’改为‘TSOxx01’,在命令行中输入‘SUBMIT’回车即可;在命令行输入‘CANCEL’可退出该数据集。
(2) 测试是否成功
HINT : 在OPTION3.4中DSN Level输入TSOxx01回车,看是否显示其ALIAS,如果出现类似下面的结果则表明ALIAS创建成功(此例中‘xx’为‘00’)。
(3) 以TSOxx02身份登陆TSO,将TSOxx01用户关联到DIVxxPRD和DIVxxTST CONNECT TSOxx01 GROUP(DIVxxPRD) CONNECT TSOxx01 GROUP(DIVxxTST)
步骤 3 将TSOxx01从DIVxxPRD和DIVxxTST组中移走
HINT :REMOVE
REMOVE TSOxx01 GROUP(DIVxxPRD) REMOVE TSOxx01 GROUP(DIVxxTST)
步骤 4 总结本次实验体会及建议
实验5:数据集保护RACF实验I
实验目的:实现对用户数据集和组数据集的保护 实验结果:实验后,学生应该掌握
使用RACF命令对数据集进行保护
实验介绍:该实验将首先保护用户数据集,然后对生产数据集和测试数据集进行保护,然后进行
授权后的验证。
实验要求:完成实验报告 实验步骤:
该实验中会涉及到多个数据集PROFILE,请随着实验的进展填写下面的表格
步骤 1 保护以下用户的数据集。保护准则:只有用户本身可以访问自己的数据集,其他人都不能
访问。(用户的数据集是指以用户名为HLQ的所有数据集)
TSOxx01 for user Janet Smith TSOxx02 for user Robert Anderson TSOxx03 for user Leslie Brown TSOxx04 for user Arthur Fielding TSOxx05 for user Susan Johnson
TSOxxCP for user Mike Smithers who is a Contract Programmer
以TSOxx01身份登陆TSO然后执行RACF命令
HINT :ADDSD
ADDSD ‘TSOxx01.**’ UACC(NONE) ADDSD ‘TSOxx02.**’ UACC(NONE) ……
ADDSD ‘TSOxxCP.**’ UACC(NONE)
步骤 2 查看步骤1创建的用户数据集PROFILE,回答以下问题
(1) PROFILE的ACCESS LIST是否有内容?
(2) PROFILE的OWNER是谁?
HINT :LISTDSD
LISTDSD DA(‘TSOxx01.**’) ALL LISTDSD DA(‘TSOxx02.**’) ALL ……
LISTDSD DA(‘TSOxx05.**’) ALL
步骤 3 定义DIVxxRTS组数据集的RPOFILE
在前面的实验中,TSOxx03被指定为DIVxxRPR和DIVxxRTS的Create用户,以拥有对这2个组的数据集的保护权限。以TSOxx03登陆TSO。
(1) 对DIVxxRTS数据集进行以下保护(ADDSD):
Audit all unsuccessful accesses (AUDIT) Make the owner TSOxx03 (OWNER)
No other users or groups should have access (UACC)
HINT :ADDSD
ADDSD ‘DIVxxRTS.**’ AUDIT(FAILURES) OWNER(TSOxx03) UACC(NONE)
步骤 4 修改上面定义的‘DIVxxRTS.**’PORFILE的访问列表,给DIVxxTST组赋予ALTER访
问权限
HINT :PERMIT
PERMIT ‘DIVxxRTS.**’ ID(DIVxxTST) ACCESS(ALTER)
步骤 5 定义DIVxxRPR组数据集的RPOFILE
(1) 对DIVxxRPR数据集进行以下保护(ADDSD):
Audit all unsuccessful accesses (AUDIT)
Audit successful accesses at UPDATE and higher (AUDIT) Make the owner TSOxx03 (OWNER)
No other users or groups should have access (UACC)
HINT :ADDSD
ADDSD ‘DIVxxRPR.**’ AUDIT(FAILURES SUCCESS(UPDATE)) OWNER(TSOxx03) UACC(NONE)
步骤 6 修改上面定义的‘DIVxxRPR.**’PORFILE的访问列表,给DIVxxPRD组赋予ALTER访
问权限
HINT :PERMIT
PERMIT ‘DIVxxRPR.**’ ID(DIVxxPRD) ACCESS(ALTER)
步骤 7 确定组数据集PROFIEL是否创建并按照预定的要求保护成功
HINT :LISTDSD
LISTDSD DATASET(’DIVxxRPR.**’) ALL LISTDSD DATASET(’DIVxxRTS.**’) ALL
步骤 8 以TJU0xx用户登陆TSO,创建DIVxxRTS和DIVxxRPR组数据集
(1) 创建ALIAS:DIVxxRTS和DIVxxRPR
提示:如果要为DIVxxRPR创建别名,打开TJADMIN.JCL.CNTL(DEFALIAS),如下,需将‘TSO0106’改为‘DIVxxRPR’,在命令行中输入‘SUBMIT’回车即可。
如果需要为DIVxxRTS创建别名,需将‘TSO0106’改为‘DIVxxRTS’,然后在命令行中输入‘SUBMIT’回车即可。
(2) 测试是否成功
HINT : 在OPTION3.4中DSN Level分别输入DIVxxRTS、DIVxxRPR,回车,看是否显示其Alias
步骤 9 以TSOxx03登陆TSO,创建组数据集,参考下图
(1) 创建一个顺序数据集DIVxxRPR.DATA (RECFM=FB, LRECL=80, VOLUME=USER03) (2) 创建一个顺序数据集DIVxxRTS.DATA (RECFM=FB, LRECL=80, VOLUME=USER03)
Menu RefList Utilities Help ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss Allocate New Data Set Data Set Name . . . :DIV00RTS.DATA
Management class . . . (Blank for default management class) Storage class . . . . (Blank for default storage class) Volume serial . . . . USER03 (Blank for system default volume) ** Device type . . . . . (Generic unit or device address) ** Data class . . . . . . (Blank for default data class) Space units . . . . . TRKS (BLKS, TRKS, CYLS, KB, MB, BYTES or RECORDS) Average record unit (M, K, or U) Primary quantity . . 1 (In above units) Secondary quantity 1 (In above units) Directory blocks . . (Zero for sequential data set) * Record format . . . . FB Record length . . . . 80 Block size . . . . . Data set name type : (LIBRARY, HFS, PDS, or blank) * (YY/MM/DD, YYYY/MM/DD Expiration date . . . YY.DDD, YYYY.DDD in Julian form Enter \"/\" to select option DDDD for retention period in days Allocate Multiple Volumes or blank) ( * Specifying LIBRARY may override zero directory block) ( ** Only one of these fields may be specified)
验证DIVxxRTS组数据集的保护:成功访问
以TSOxx05用户登陆TSO(从上面的实验中可以看出TSOxx05是DIVxxTST的成员)。
对以DIVxxRTS为HLQ的数据集(如DIVxxRTS.DATA)进行编辑,测试对数据集的保护是否成功,为什么?
验证DIVxxRTS组数据集的保护:拒绝访问
以TSOxx04用户登陆,执行RACF命令‘PROFILE WTPMSG’。然后编辑以DIVxxRTS为HLQ的数据集(如DIVxxRTS.DATA),看是否成功,为什么?
验证DIVxxRPR组数据集的保护:成功访问
以TSOxx04用户登陆,编辑以DIVxxRPR为HLQ的数据集(如DIVxxRPR.DATA),看是否成功,为什么?
步骤 10
步骤 11
步骤 12
步骤 13
以TSOxx01登陆,删除DIVxxRPR打头的数据集(如DIVxxRPR.DATA),看是否成功?
步骤 14
保留TSOxx01登陆的Session,再打开一个新的Session,以TSOxx03登陆TSO,修改
‘DIVxxRPR.**’Profile,给TSOxx01赋ALTER权(ACCESS LIST)
PERMIT ‘DIVxxRPR.**’ ID(TSOxx01) ACCESS(ALTER)
步骤 15
再尝试用TSOxx01用户删除DIVxxRPR.DATA,看是否成功?为什么?
TSOxx01重新登陆后再尝试删除DIVxxRPR.DATA,看是否成功?为什么?
总结本次实验体会及建议
步骤 16
步骤 17
实验6:数据集保护RACF实验II
实验目的:实现对用户数据集和组数据集的保护 实验结果:实验后,学生应该掌握
使用RACF命令对数据集进行保护
制定最佳匹配的数据集PROFILE对特定的数据集进行保护
实验介绍:该实验将创建数据集,确定创建数据集需要的权限,然后建立Generic PROFILE对数
据集进行保护,最后对PROFILE的Warning状态进行理解和配置,并使用LISTDSD命令确定最佳匹配PROFILE和确定Generic PROFILE所保护的数据集范围
实验要求:完成实验报告 实验步骤:
步骤 1 以TSOxx04登陆,创建‘DIVxxRPR.PROD.STUFF’数据集,是否成功,为什么?
步骤 2 以TSOxx03登陆,为‘DIVxxRPR.DATA’创建一个全匹配的PROFILE进行保护
HINT :ADDSD
ADDSD 'DIVxxRPR.DATA' UACC(READ)
步骤 3 在数据集PROFILE中打开Warning状态,把‘DIVxxRTS.**’PROFILE的Warning状态打
开
HINT :ALTDSD
ALTDSD ’DIVxxRTS.**’ WARNING
步骤 4 以TSOxx04登陆,浏览‘DIVxxRTS.DATA’数据集,是否成功,是否收到什么系统信息?
步骤 5 在数据集PROFILE中关闭Warning状态,把‘DIVxxRTS.**’PROFILE的Warning状态关
闭
HINT :ALTDSD
ALTDSD ’DIVxxRTS.**’ NOWARNING
步骤 6 以TSOxx03登陆
假设DIVxxRPR.NEWAPPL.FINANCE.DATA和DIVxxRPR.NEWAPPL.HR.DATA是一个新应用系统的2个数据集,DIVxxTST组需要对这2个数据集有UPDATE权限,而不能对其他应用系统的数据集有操作权限。而对于DIVxxPRD组需要对所有的应用系统的数据集有操作权限。
HINT :ADDSD PERMIT
ADDSD ’DIVxxRPR.NEWAPPL.**’ UACC(NONE) FROM(’DIVxxRPR.**’) PERMIT ’DIVxxRPR.NEWAPPL.**’ ID(DIVxxTST) ACC(UPDATE)
步骤 7 检测哪一个PROFILE在保护‘DIVxxRPR.NEWAPPL.FINANCE.DATA’和
‘DIVxxRPR.NEWAPPL.HR.DATA’
HINT :LISTDSD
LISTDSD DATASET(’DIVxxRPR.NEWAPPL.FINANCE.DATA’) GEN LISTDSD DATASET(’DIVxxRPR.NEWAPPL.HR.DATA’) GEN
步骤 8 检测一个Generic PROFILE ” DIVxxRPR.**”保护了那些数据集
HINT :LISTDSD
LISTDSD DATASET(’DIVxxRPR.**’) DSNS
步骤 9 总结本次实验体会及建议
实验7:授权用户登陆TSO实验
实验目的:授权用户登陆TSO 实验结果:实验后,学生应该掌握
RACF如何控制用户对TSO的访问
如何利用RACF通用资源PROFILE保护TSO的登陆过程(TSOPROC)和用户帐号(ACCTNUM) 如何定义用户PROFILE的TSO段
实验介绍:该实验将首先为AP和SP用户建立组结构,然后为TSO的登陆过程(TSOPROC)和用户
帐号(ACCTNUM)建立一些通用资源PROFILE进行保护,接着新增AP/SP用户PROFILE,对TSO段进行赋值,并对他们授权访问TSO
实验要求:完成实验报告 实验步骤:
实验中的组结构如下图
需要用到的一些通用资源RPOFILE结构如下图,请逐渐补充完整:
TSOPROCOWNERUACCAccess ListACCTNUMOWNERUACCAccess List
步骤 1 以TJU0xx登陆TSO,该用户是TJG0xx的Group Special用户,应该已经赋予了充分的权
限新建和管理该组的用户,请使用‘LU’命令查询TJU0xx的权限回答以下问题:
(1) What give you the capability to define the new user profiles to RACF?
(2) You have been given UPDATE access in a profile name USER.TSO.* in the Field general resource class. Will this be sufficient to allow you to define TSO segments when you define new users?
(3) What give you the capability to define profiles to control access to TSO logon procedures? (4) What give you the capability to define profiles to control access to account numbers?
步骤 2 为AP和SP用户创建组结构
(1) 在TJG0xx下创建子组DIVxxAP
HINT :ADDGROUP
ADDGROUP DIVxxAP OWNER(TJG0xx) SUPGROUP(TJG0xx)
(2) 在TJG0xx下创建子组DIVxxSP
HINT :ADDGROUP
ADDGROUP DIVxxSP OWNER(TJG0xx) SUPGROUP(TJG0xx)
步骤 3 新增AP和SP用户,这些用户需要访问TSO
(1) 新增SP用户TSOxx06,要求如下:
z OWNER和默认组应该是DIVxxADM z 可以登陆TSO
z 账户使用ACCT#Sxx z 登陆过程使用PROCxx z Region大小为4096
HINT: ADDUSER CONNECT
ADDUSER TSOxx06 OWNER(DIVxxADM) NAME(’SYSTEM PROGRAMMER’) DFLTGRP(DIVxxADM) PASSWORD(PASS)
TSO(ACCTNUM(ACCT#Sxx),PROC(PROCxx),SIZE(4096),COMMAND(ISPF))
CONNECT TSOxx06 GROUP(DIVxxSP)
(2) 新增AP用户TSOxx07,要求如下:
z OWNER和默认组应该是DIVxxADM z 可以登陆TSO
z 账户使用ACCT#Axx z 登陆过程使用PROCxx z Region大小为4096
ADDUSER TSOxx07 OWNER(DIVxxADM) NAME(’SYSTEM PROGRAMMER’) DFLTGRP(DIVxxADM) PASSWORD(PASS)
TSO(ACCTNUM(ACCT#Axx),PROC(PROCxx),SIZE(4096),COMMAND(ISPF))
CONNECT TSOxx07 GROUP(DIVxxAP)
步骤 4 为TSO用户创建一个新的登陆过程PROCxx(下图中的IKJ#ST是已建好的登陆过程的模
版),该登陆过程必须存放在TJGRP.PROCLIB库中
Menu Functions Confirm Utilities Help
ssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss EDIT TJGRP.PROCLIB Row 00001 of 00002 Command ===>S PROCxx;COPY PROC Scroll ===> PAGE Name Prompt Size Created Changed ID _________ PROC 181 2005/06/12 2007/05/16 17:28:10 IBMUSER _________ PROC00 181 2007/06/09 2007/06/09 17:48:41 IBMUSER **End**
F1=Help F2=Split F3=Exit F5=Rfind F7=Up F8=Down F9=Swap F10=Left F11=Right F12=Cancel
步骤 5 保护PROCxx登陆过程(TSOPROC类):创建一个通用资源RPOFILE
(1) 创建RPOFILE:PROCxx 该TSOPROC为AP和SP提供TSO登陆服务
HINT: RDEFINE PE RDEFINE TSOPROC PROCxx OWNER(TJG0xx) UACC(NONE)
PE PROCxx CLASS(TSOPROC) ID(DIVxxSP DIVxxAP) AC(READ)
(2) 浏览PROFILE:PROCxx 该TSOPROC为AP和SP提供TSO登陆服务 HINT: RLIST
RLIST TSOPROC PROCxx AUTHUSER
步骤 6 刷新TSOPROC类在内存中的Profile
HINT: SETROPTS
SETROPTS RACLIST(TSOPROC) REFRESH
步骤 7 保护ACCTNUM
创建两个TSO账户(ACCTNUM),并创建一个通用资源RPOFILE保护该ACCTNUM
(1) 创建RPOFILE:ACCT#Sxx 该ACCTNUM为SP提供TSO登陆服务
HINT: RDEFINE PE
RDEFINE ACCTNUM ACCT#Sxx OWNER(TJG0xx) UACC(NONE) PE ACCT#Sxx CLASS(ACCTNUM) ID(DIVxxSP) AC(READ)
(2) 创建PROFILE:ACCT#Axx 该ACCTNUM为AP提供TSO登陆服务
HINT: RDEFINE PE RDEFINE ACCTNUM ACCT#Axx OWNER(TJG0xx) UACC(NONE)
PE ACCT#Axx CLASS(ACCTNUM) ID(DIVxxAP) AC(READ)
(3) 浏览PROFILE:ACCT#Sxx和ACCT#Axx
HINT: RLIST
RLIST ACCTNUM ACCT#Sxx AUTHUSER RLIST ACCTNUM ACCT#Axx AUTHUSER
步骤 8 保护TSOAUTH
TSOAUTH通用资源类用户保护TSO权限,TSO权限主要包括:ACCT,JCL,MOUNT,OPER,RECOVER等。系统已经定义了一个JCL PROFILE用于保护TSO的JCL权限,该权限是允许通过TSO向JES提交JCL批量作业
(1) 为SP和AP用户赋权访问TSO JCL权限
HINT: PE
PE JCL CLASS(TSOAUTH) ID(DIVxxSP DIVxxAP) ACCESS(READ)
步骤 9 保护用户数据集
(1) 保护TSOxx06的用户数据集
ADDSD ‘TSOxx06.**’ UACC(NONE)
(2) 保护TSOxx07的用户数据集
ADDSD ‘TSOxx07.**’ UACC(NONE)
为TSOxx06和TSOxx07创建ALIAS(普通用户不能修改Master Catalog,所以为了让
用户可以创建自己的编目数据集,必须为用户创建ALIAS,ALIAS指向User Catalog)
(1) 为TSOxx06创建别名
HINT: 举例:
如果要为TSO0106创建别名,则打开TJADMIN.JCL.CNTL(DEFALIAS),如下,在命令行中输入‘SUBMIT’回车即可。(此时‘xx’为‘01’)
如果需要为TSO0107创建别名,只需将‘TSO0106’改为‘TSO0107’,然后在命令行中输入‘SUBMIT’回车即可。
步骤 10
删除别名‘TSO0106’举例如下
(2) 测试是否成功
HINT:在OPTION3.4中DSN Level输入TSOxx06,回车,看是否显示TSOxx06的Alias
(3) 为TSOxx07创建别名
(4) 测试是否成功
步骤 11
检测TSO用户的设置是否有效
(5) 以TSOxx06和TSOxx07登陆TSO,测试是否成功
(6) 在登陆过程中,可以尝试做下面的测试 z 删除TSOPROC和ACCTNUM,看系统怎么反应?
z 键入不存在的TSOPROC和ACCTNUM,看系统怎么反应?
z 输入Region大小值大于4096,或者小于4096,看系统怎么反应?
(7) 以TJU0xx登陆TSO,删除TSOxx06用户RPOFILE的TSO段,然后再尝试以TSOxx06登陆,看系统怎么反应?
HINT:请查阅《Security Server RACF Command Language Reference》(SA22-7687-09)参考书的123页
(8) 为TSOxx06重新赋值TSO段
(9) 以TJU0xx登陆TSO,取消TSOxx07用户RPOFILE的TSOPROC赋值或者ACCTNUM赋值,然后再尝试以TSOxx07登陆,看系统怎么反应?
HINT:请查阅《Security Server RACF Command Language Reference》(SA22-7687-09)参考书的123页
步骤 12
总结本次实验体会及建议
实验8:授权TSO用户访问USS实验
实验目的:授权TSO用户访问USS 实验结果:实验后,学生应该掌握
如何定义用户PROFILE的OMVS段,以授权用户访问USS
实验介绍:该实验将为AP和SP用户配置OMVS段,授权他们访问USS 实验要求:完成实验报告 实验约定:
对于每个TJU0xx所建的DIVxxADM组,组GID=100xx
对于每个TJU0xx所建的TSOxxnn用户(隶属于DIVxxADM组),用户UID=1xxnn
实验步骤:
步骤 1 增加组DIVxxADM的OMVS字段
HINT:ALG
ALG DIVxxADM OMVS(GID(100xx))
步骤 2 增加SP用户TSOxx06的OMVS字段
HINT:ALU TSOxxnn OMVS(UID(1xxnn) PROGRAM(’/bin/sh’) HOME(’/u/tjgrp/TJU0xx’)) 其中nn为01到99的数字,比如对于TSOxx06,上面的语句应该为: ALU TSOxx06 OMVS(UID(1xx06) PROGRAM(’/bin/sh’) HOME(’/u/ tjgrp/TJU0xx’))
ALU TSOxx06 OMVS(UID(1xx06) PROG(’/bin/sh’) HOME(’/u/tjgrp/TJU0xx’))
步骤 3 增加AP用户TSOxx07的OMVS字段
步骤 4 登陆TSO,在TSO命令栏输入OMVS,是否可以进入USS?如果可以进入,输入‘exit’
即可退出USS
步骤 5 登陆TSO,进入USS,尝试用UNIX命令新建文件和目录,用oedit命令编辑文件等操作,
观察是否成功,为什么?
步骤 6 总结本次实验体会及建议
因篇幅问题不能全部显示,请点此查看更多更全内容