RACF实验指导书VIP

RACF 实验指导书实验指导书 课程 大型机操作系统 作者 高珍 gaozhen2005 实验环境构建 高珍 1 实验环境介绍 2 2 实验 1 登陆TSO 4 3 实验 2 创建组RACF实验 6 4 实验 3 用户管理RACF实验 9 5 实验 4 分散式RACF安全管理实验 12 6 实验 5 数据集保护RACF实验I 15 7 实验 6 数据集保护RACF实验II 20 8 实验 7 授权用户登陆TSO实验 22 9 实验 8 授权TSO用户访问USS实验 28 实验环境介绍实验环境介绍 一 RACF 用户示意图如下 其中各组和用户之间的关系如下表 GROUP IDGROUP SPECIAL USER TJG001 TJU001 TJG002 TJU002 TJG003 TJU003 TJG004 TJU004 TJG005 TJU005 TJG006 TJU006 TJG007 TJU007 TJG099 TJU099 二 帐号分配 06 级本和 07 级研 主机主机 IP 218 25 163 35 初始密码 初始密码 PASS 学号 姓名 账号 学号 姓名 账号 学号 姓名 账号 43092 王翱 TJU001 56097 宽尼士 TJU038 796170002 范洋 TJU065 64066 黄岳浩 TJU002 64056 张宁 TJU039 796170003 张仕成TJU066 64067 王文博 TJU003 64076 奚青 TJU040 796170005 周硕进TJU067 64109 张丁伟 TJU004 64084 胡静芸TJU041 796170007 吴春庆TJU068 64153 张志光 TJU005 64112 孟辰 TJU042 796170008 余涛 TJU069 64184 陈子维 TJU006 64113 周瑞娟TJU043 796170010 谢蓉 TJU070 64052 翟英博 TJU007 64136 沈博文TJU044 796170011 胡芳 TJU071 64087 吴竞之 TJU008 64166 费翔 TJU045 796170012 费伟伟TJU072 64118 翟羽佳 TJU009 64183 吴仁桥TJU046 796170013 霍胜杰TJU073 64119 李策 TJU010 64185 胡双杰TJU047 796170014 成圆 TJU074 64171 满烨懋 TJU011 64197 王上望TJU048 796170015 朱晓然TJU075 64180 钟思奇 TJU012 64060 张磊 TJU049 796170016 骆坤 TJU076 64186 魏旭东 TJU013 64083 楼佳易TJU050 796170017 许伟佳TJU077 54164 官振山 TJU014 64097 朱汉亚TJU051 796170019 陈建伟TJU078 54198 梁超 TJU015 64137 郑昊 TJU052 796170020 郑曜 TJU079 64064 孙凡 TJU016 64175 徐岚 TJU053 796170021 郭宁 TJU080 64100 许亚男 TJU017 61681 薛锋 TJU054 796170022 陈永超TJU081 64173 陈 东 TJU018 64054 赵伊秋TJU055 796170024 周晨 TJU082 64189 周磊 TJU019 64062 张晶晶TJU056 796170025 余青枝TJU083 64075 王锡姣 TJU020 64086 王凯 TJU057 796170028 孙华鹏TJU084 64168 蔡思敏 TJU021 64126 王鑫雷TJU058 796170030 张霄翔TJU085 64169 赵卓翔 TJU022 64128 俞陈 TJU059 796170031 俞立嘉TJU086 64181 袁扣林 TJU023 64152 周欢 TJU060 796170033 祝希博TJU087 64187 王炜 TJU024 64156 王帆 TJU061 796170034 张羽 TJU088 64190 朱栋涛 TJU025 64188 俞从正TJU062 796170037 刘瑞卿TJU089 64200 张 君 TJU026 796170038 李平新TJU090 64206 洪韵杰 TJU027 796170039 张征宇TJU091 54240 张寅超 TJU028 721170258 张硕 TJU092 64053 陈晓俊 TJU029 721170262 朱宏峰TJU093 64085 谢永辉 TJU030 721170607 万哲君TJU094 64102 杨蕙昭 TJU031 721170037 于展奇TJU095 64133 严杰 TJU032 64177 邓运 TJU033 64179 郁佳阳 TJU034 64182 陈荣禄 TJU035 64202 郑立仪 TJU036 54283 刘彬斌 TJU037 实验实验 1 登陆 登陆 TSO 步骤步骤 1 输入 LOGON TJU0 xx 登陆 TSO z OS V1R5 Level 0403 IP Address 220 152 168 239 VTAM Terminal A06TSO28 Application Developer System OOOOOOO SSSSSSS OO OO SS zzzzzz OO OO SS zz OO OO SSSS zz OO OO SS zz OO OO SS zzzzzz OOOOOOO SSSSSSS System Customization ADCD ZOSV1R5 Enter LOGON followed by the TSO userid Example LOGON IBMUSER or Enter L followed by the APPLID Examples L TSO L CICS L IMS3270 LOGON TJU001 步骤步骤 2 进入 TSO 登陆界面 输入初始密码 PASS 然后根据系统提示修改密码 步骤步骤 3 进入 TSO 界面 遇到 直接回车 右 Control 键 即可进入 ISPF 操作界面 ICH70001I RACFU01 LAST ACCESS AT 15 56 23 ON SATURDAY JUNE 2 2007 IKJ56455I RACFU01 LOGON IN PROGRESS AT 18 08 05 ON JUNE 2 2007 IKJ56951I NO BROADCAST MESSAGES WELCOME STUDENT TO MAINFRAME TECHNOLOGY TRAINING 步骤步骤 4 ISPF 界面如下 实验实验 2 创建组 创建组 RACF 实验实验 实验目的 实验目的 利用 RACF 命令创建组结构 实验结果 实验结果 实验后 学生应该掌握 绘制 RACF 组结构 定义新的组 Profile 利用 RACF 命令增加 显示和查找组 Profile 实验指导 实验指导 首先设计组的结构 然后用 RACF 命令实现 实验要求 实验要求 完成实验报告 实验步骤 实验步骤 步骤步骤 1 设计和制定组的结构 一般情况下 需要设计以下几类组 如图示 Administrator Group 管理组 用于管理全部用户的组 命名为 DIV UADM Function Group 功能组 用于实现资源访问控制的组 可以通过这些组给组员访问某种资源 如 数据集 的权限 Data Control Group 数据控制组 又称资源组 这些组的名字需要和数据集的 HLQ 相同 这些 数据集成为组的数据集 另外一些组用于将权限下放 Delegation TJG0 xx DIVxxADMDIVxxFUNDIVxxRES DIVxxPRDDIVxxTSTDIVxxRPRDIVxxRTS TJU0 xx 步骤步骤 2 以 TJG0 xx 组管理员身份登陆 TSO 以 TJU0 xx 用户身份登陆 TSO ISPF 初始密码为 PASS 第一次登陆需要修改密码 如果执行 RACF 命令 请选择 6 OPTION 如果使用 RACF 控制面板 请选择 M 3 OPTION 使用 LU RACF 命令或者 RACF 控制面板查看 TJU0 xx 的属性 请回答以下问题 1 What groups are you connected to 2 Do you have any user attributes 3 Do you have some class authorization 4 Do you have any connect attributes to TJG0 xx 步骤步骤 3 在 TJG0 xx 之下定义子组 请首先参考步骤 1 的组结构 然后利用 RACF 命令或者 RACF 面板定义以下子组 请思考应该指定谁谁为子组的 OWNER 1 定义 DIVxxADM 用户管理组 相当于公司人事部门 RACF 命令 2 定义 DIVxxFUN 功能组 相当于公司各职能部门 后继实验将在该组下定义各个子 功能组 RACF 命令 3 定义 DIVxxRES 资源组 为有机组织和保护系统资源 包括数据集 CICS 交易 系统和 用户程序等资源 而设立的组 后继实验将在该组下定义各个子资源组 RACF 命令 HINT ADDGROUP ADDGROUP DIVxxADM OWNER TJG0 xx SUPGROUP TJG0 xx ADDGROUP DIVxxFUN OWNER TJG0 xx SUPGROUP TJG0 xx ADDGROUP DIVxxRES OWNER TJG0 xx SUPGROUP TJG0 xx 利用 RACF 命令查看新建的组进行验证 并据此补充步骤 1 的组结构 HINT LG LG DIVxxADM LG DIVxxFUN LG DIVxxRES 步骤步骤 4 在 DIVxxFUN 下定义子组 功能组 利用 RACF 命令或者 RACF 面板定义以下子组 请思考应该指定谁谁为子组的 OWNER 1 定义 DIVxxPRD 功能组 该组将用于对生产系统数据集 Production Data Sets 的访问进 行集中授权 即如果该组对生产系统数据集有访问权限 该组的成员将自动继承这一权限 RACF 命令 2 定义 DIVxxTST 功能组 该组将用于对测试系统数据集 Test Data Sets 的访问进行集中 授权 即如果该组对测试系统数据集有访问权限 该组的成员将自动继承这一权限 HINT ADDGROUP ADDGROUP DIVxxPRD OWNER DIVxxFUN SUPGROUP DIVxxFUN ADDGROUP DIVxxTST OWNER DIVxxFUN SUPGROUP DIVxxFUN 步骤步骤 5 在 DIVxxRES 下定义子组 资源组 利用 RACF 命令或者 RACF 面板定义以下子组 请思考应该指定谁谁为子组的 OWNER RACF 中数据集 Profile 的 HLQ 必须是 RACF 系统中的一个用户或者组 这里我们为即将要保护的数 据集 DIVxxRPR 和 DIVxxRTS 定义 2 个子组 1 定义 DIVxxRPR 资源组 该组将用于保护生产系统的数据集 RACF 命令 2 定义 DIVxxRTS 资源组 该组将用于保护测试系统的数据集 RACF 命令 HINT ADDGROUP ADDGROUP DIVxxRPR OWNER DIVxxRES SUPGROUP DIVxxRES ADDGROUP DIVxxRTS OWNER DIVxxRES SUPGROUP DIVxxRES 步骤步骤 6 利用 RACF 命令 Search 或者 RACF 面板查找组 Profile RACF 命令 HINT SEARCH CLASS GROUP MASK DIVxx 步骤步骤 7 总结本次实验体会及建议 实验实验 3 用户管理 用户管理 RACF 实验实验 实验目的 实验目的 利用 RACF 命令新建和管理用户 实验结果 实验结果 实验后 学生应该掌握 新建用户 用户的安全管理 利用 RACF 命令增加 更改 显示和查找用户 Profile 实验介绍 实验介绍 该实验将新建几个用户 然后对用户进行一些安全管理 包括修改用户密码 Revoke 和 Resume 一个用户 实验要求 实验要求 完成实验报告 实验步骤 实验步骤 步骤步骤 1 新建用户 在不太了解用户需要什么权限的情况下 一般只给出最低权限 利用 RACF 命令或面板完成以下设 置 1 指定用户的默认组为 DIVxxADM 2 为用户指定初始密码 3 考虑为用户指定 OWNER 4 新增以下用户 TSOxx01 for user Janet Smith TSOxx02 for user Robert Anderson TSOxx03 for user Leslie Brown TSOxx04 for user Arthur Fielding TSOxx05 for user Susan Johnson TSOxxCP for user Mike Smithers who is a Contract Programmer HINT ADDUSER ADDUSER TSOxx01 OWNER DIVxxADM DFLTGRP DIVxxADM PASSWORD PASS TSO ACCTNUM ACT RACF PROC IKJ RACF SIZE 4096 COMMAND ISPF 步骤步骤 2 为用户重置密码 当用户忘记密码的时后需要管理员为该用户重新指定一个初始密码 场景 Janet Smith TSOxx01 遗忘了密码 需要用什么 RACF 命令为他指定一个临时密码呢 HINT ALU ALU TSOxx01 PASSWORD PASS 步骤步骤 3 Revoke 用户 当用户帐号暂时不用的时候 安全起见应该将该帐号 Revoke 挂起 场景 人力资源部门通知 Arthur Fielding TSOxx04 将会出差一段时间 请在这段时间将该用户的 帐号挂起 RACF 命令是什么 HINT ALU ALU TSOxx04 REVOKE 步骤步骤 4 Resume 用户 当挂起的用户帐号需要重新启用的时候 应该及时地将帐号 Resume 场景 Arthur Fielding TSOxx04 出差回来 希望能够继续使用以前的帐号 RACF 命令是什么 HINT ALU TSOxx04 RESUME ALU TSOxx04 RESUME 步骤步骤 5 挂起和启用用户帐号的时候 可以指定挂起和启用的具体日期 请设置挂起日期为实验当 天 启用日期为 1 个月后 步骤步骤 6 使用 Search 命令查找以上新建的用户 Profile HINT SEARCH SEARCH CLASS USER MASK TSOxx 步骤步骤 7 RACF中有些Options是和用户相关的 请使用 SETROPTS LIST 命令显示RACF OPTIONs 设置 回答以下问题 1 Are there any SETROPTS password syntax rules 2 Are we keep track of previous passwords If so how many 3 Are we giving the user a warning before expiring their password 4 Is there a password expiration value 步骤步骤 8 将用户连接到组 RACF 中给用户访问资源权限的最佳方法是将用户关联到可以访问这些 资源的组中 这些组称为功能组 Functional Group 1 将用户 Arthur Fielding TSOxx04 连接到组 DIVxxPRD 实现其对生产数据集的访问 2 将用户 Susan Johnson TSOxx05 连接到组 DIVxxTST 实现其对测试数据集的访问 HINT CONNECT CONNECT TSOxx04 GROUP DIVxxPRD CONNECT TSOxx05 GROUP DIVxxTST 步骤步骤 9 使用什么 RACF 命令可以验证用户是否关联到组 HINT LU or LG 步骤步骤 10 请继续更新组和用户的结构图 以帮助你更好地进行下面的实验 步骤步骤 11 总结本次实验体会及建议 实验实验 4 分散式 分散式 RACF 安全管理实验安全管理实验 实验目的 实验目的 实现 RACF 中的管理权限下放 Delegation 实验结果 实验结果 实验后 学生应该掌握 将用户以 Group Special 身份关联到组 实验介绍 实验介绍 该实验将新建几个管理员用户 其中一个管理员负责用户安全的管理 一个管理员负 责将用户连接到功能组 另外一个管理员管控制对数据集资源的访问 如下 TSOxx01 for user Janet Smith group special for DIVxxADM TSOxx02 for user Robert Anderson connect authority for DIVxxPRD COPY PROC Scroll PAGE Name Prompt Size Created Changed ID PROC 181 2005 06 12 2007 05 16 17 28 10 IBMUSER PROC00 181 2007 06 09 2007 06 09 17 48 41 IBMUSER End F1 Help F2 Split F3 Exit F5 Rfind F7 Up F8 Down F9 Swap F10 Left F11 Right F12 Cancel 步骤步骤 5 保护 PROCxx 登陆过程 TSOPROC 类 创建一个通用资源 RPOFILE 1 创建 RPOFILE PROCxx 该 TSOPROC 为 AP 和 SP 提供 TSO 登陆服务 HINT RDEFINE PE RDEFINE TSOPROC PROCxx OWNER TJG0 xx UACC NONE PE PROCxx CLASS TSOPROC ID DIVxxSP DIVxxAP AC READ 2 浏览 PROFILE PROCxx 该 TSOPROC 为 AP 和 SP 提供 TSO 登陆服务 HINT RLIST RLIST TSOPROC PROCxx AUTHUSER 步骤步骤 6 刷新 TSOPROC 类在内存中的 Profile HINT SETROPTS SETROPTS RACLIST TSOPROC REFRESH 步骤步骤 7 保护 ACCTNUM 创建两个 TSO 账户 ACCTNUM 并创建一个通用资源 RPOFILE 保护该 ACCTNUM 1 创建 RPOFILE ACCT Sxx 该 ACCTNUM 为 SP 提供 TSO 登陆服务 HINT RDEFINE PE RDEFINE ACCTNUM ACCT Sxx OWNER TJG0 xx UACC NONE PE ACCT Sxx CLASS ACCTNUM ID DIVxxSP AC READ 2 创建 PROFILE ACCT Axx 该 ACCTNUM 为 AP 提供 TSO 登陆服务 HINT RDEFINE PE RDEFINE ACCTNUM ACCT Axx OWNER TJG0 xx UACC NONE PE ACCT Axx CLASS ACCTNUM ID DIVxxAP AC READ 3 浏览 PROFILE ACCT Sxx 和 ACCT Axx HINT RLIST RLIST ACCTNUM ACCT Sxx AUTHUSER RLIST ACCTNUM ACCT Axx AUTHUSER 步骤步骤 8 保护 TSOAUTH TSOAUTH 通用资源类用户保护 TSO 权限 TSO 权限主要包括 ACCT JCL MOUNT OPER RECOVER 等 系统已经定义了一个 JCL PROFILE 用于保护 TSO 的 JCL 权限 该权限是允许通过 TSO 向 JES 提交 JCL 批量作业 1 为 SP 和 AP 用户赋权访问 TSO JCL 权限 HINT PE PE JCL CLASS TSOAUTH ID DIVxxSP DIVxxAP ACCESS READ 步骤步骤 9 保护用户数据集 1 保护 TSOxx06 的用户数据集 ADDSD TSOxx06 UACC NONE 2 保护 TSOxx07 的用户数据集 ADDSD TSOxx07 UACC NONE 步骤步骤 10 为 TSOxx06 和 TSOxx07 创建 ALIAS 普通用户不能修改 Master Catalog 所以为了让 用户可以创建自己的编目数据集 必须为用户创建 ALIAS ALIAS 指向 User Catalog 1 为 TSOxx06 创建别名 HINT 举例 如果要为 TSO0106 创建别名 则打开 TJADMIN JCL CNTL DEFALIAS 如下 在命令行中输 入 SUBMIT 回车即可 此时 xx 为 01 如果需要为 TSO0107 创建别名 只需将 TSO0106 改为 TSO0107 然后在命令行中输入 SUBMIT 回车即可 删除别名 TSO0106 举例如下 2 测试是否成功 HINT 在在 OPTION3 4 中中 DSN Level 输入输入 TSOxx06 回车 看是否显示 回车 看是否显示 TSOxx06 的的 Alias 3 为 TSOxx07 创建别名 4 测试是否成功 步骤步骤 11 检测 TSO 用户的设置是否有效 5 以 TSOxx06 和 TSOxx07 登陆 TSO 测试是否成功 6 在登陆过程中 可以尝试做下面的测试 删除 TSOPROC 和 ACCTNUM 看系统怎么反应 键入不存在的 TSOPROC 和 ACCTNUM 看系统怎么反应 输入 Region 大小值大于 4096 或者小于 4096 看系统怎么反应 7 以 TJU0 xx 登陆 TSO 删除 TSOxx06 用户 RPOFILE 的 TSO 段 然后再尝试以 TSOxx06 登陆 看系统怎么反应 HINT 请查阅 请查阅 Security Server RACF Command Language Reference SA22 7687 09 参考书