Z/OS由RACF 提供安全保護,RACF 具有四大功能:認證用戶、資源授權檢查、記錄與報告及安全管理。
RACF 保護的資源分4類:用戶(USER),組(GROUP),數據集(DATASET),通用資源(GENERAL RESOURCE)
1.1 RACF控制機制:
RACF 有一個數據庫,裏面的每條記錄稱爲profile
通過RACF 命令或ISPF菜單增、改、刪profile來進行權限控制。
1.2 權限:由低到高6級權限
NONE,EXECUTE,READ,UPDATE,CONTROL,ALTER
- NONE:無任何權限,不允許訪問任何資源
- EXECUTE:只針對執行代碼庫具有執行權限
- READ:只讀權限
- UPDATE:讀寫,拷貝權限
- CONTROL:對於NON-VSAM數據集,CONTROL 與ALTER 同權限。對於VSAM數據集,CONTROL 具有CI級讀寫權限
- ALTER:任何權限。可以刪除,重命名,移動。
1.3 管理方式:
RACF 才用分散式管理,系統安全管理員放權給若干用戶組,組由用戶組成,組中的用戶通常是具有相似屬性或權限。
採用對組授權的方式進行授權,一般不單獨對某個用戶授權。若需要給某個用戶授權,把該用戶CONNECT到資源授權組中;若需收回授權,則將該用戶REMOVE某個授權組。
這樣可以簡化授權,使維護更方便,從而簡化安全控制工作。