 |
| Bellacosa Mainframe apresenta o SAF parte II |
☕💥 A Jornada do Sysprog Padawan – Parte 2
SAF – Anatomia Interna do Porteiro Invisível do Reino IBM Z
RACROUTE, VERIFY, FASTAUTH, Return Codes, ACEE e os mecanismos secretos que fazem bilhões de decisões por dia
"O SAF parece simples. Até o dia em que você precisa explicar para um auditor por que um MQOPEN retornou RC=8 às três horas da manhã."
Bellacosa Mainframe
Introdução
Na Parte 1 descobrimos que o SAF é o porteiro invisível do Reino IBM Z.
Ele não possui usuários.
Ele não possui senhas.
Ele não possui grupos.
Ele não possui perfis.
Mas ele é consultado bilhões de vezes por dia.
A pergunta agora é:
Como o SAF realmente funciona?
Vamos abrir a caixa preta.
O que existe dentro do SAF?
A resposta curta.
Pouco.
A resposta Sysprog.
Muito.
O SAF é composto basicamente por:
Interface de chamadas
Roteador
Serviços
Retornos
Controle de contexto
Integração com ACEE
Comunicação com ESM
O coração do SAF
O principal serviço.
RACROUTE
Praticamente.
O sabre de luz.
Do Security Sysprog.
O que é RACROUTE?
Serviço.
Macrotina.
Interface.
Entre.
Aplicações.
E segurança.
Sintaxe simplificada
RACROUTE REQUEST=AUTH
Ou
RACROUTE REQUEST=VERIFY
Ou
RACROUTE REQUEST=FASTAUTH
Principais REQUESTS
VERIFY
Autenticação
AUTH
Autorização
FASTAUTH
Autorização rápida
EXTRACT
Informações usuário
DEFINE
Criar contexto
DELETE
Remover contexto
STAT
Status
ENVIR
Ambiente
VERIFY
Nosso favorito.
Objetivo.
Criar ACEE.
Exemplo.
TSO Logon.
Fluxo.
USER
↓
TSO
↓
SAF
↓
VERIFY
↓
RACF
↓
ACEE
Resultado.
Usuário autenticado.
AUTH
Verifica.
Pode.
Ou.
Não.
Exemplo.
PROD.DB2.MASTER
Classe.
DATASET
Resultado.
READ
UPDATE
ALTER
CONTROL
NONE
FASTAUTH
Aqui mora.
A mágica.
FASTAUTH.
É.
Um AUTH.
Com turbo.
Menos CPU.
Mais cache.
Menos overhead.
Bilhões.
De chamadas.
Por dia.
Muito utilizado.
CICS
MQ
DB2
Subsystems
O SAF Router
Pouco conhecido.
Muito importante.
Responsável.
Por encaminhar.
Requisições.
Fluxo.
Application
↓
SAF Router
↓
ESM
↓
Response
Sem router.
Nada funciona.
O melhor amigo do SAF
ACEE
SAF ama.
ACEEs.
Por quê?
CPU.
I/O.
Locks.
Performance.
Escalabilidade.
Exemplo
Sem ACEE.
AUTH
↓
RACF
↓
VSAM
↓
CPU
Com ACEE.
AUTH
↓
ACEE
↓
ALLOW
Muito mais rápido.
Return Codes
Sysprog gosta.
RC
RSN
RC comuns
RC=0
Sucesso.
RC=4
Aviso.
RC=8
Negado.
RC=12
Erro.
RC=16
Falha severa.
Exemplo
RC=8
RSN=24
Pode significar.
Perfil.
Ausente.
Grupo.
Incorreto.
Classe.
Inativa.
Reason Codes
Mais detalhados.
Explicam.
O motivo.
São.
Os verdadeiros.
Detetives.
Do SAF.
Como interpretar?
SMF.
IPCS.
zSecure.
IBM manuals.
Security Server.
Classes
SAF trabalha.
Com classes.
Exemplos.
DATASET
FACILITY
OPERCMDS
TCICSTRN
DSNR
JESJOBS
SURROGAT
UNIXPRIV
MQADMIN
Fluxo DB2
SELECT *
FROM CLIENTES
DB2.
↓
SAF.
↓
AUTH.
↓
ACEE.
↓
ALLOW.
Fluxo MQ
MQOPEN
↓
SAF
↓
FASTAUTH
↓
ALLOW
Fluxo USS
SSH
↓
VERIFY
↓
ACEE
↓
Shell
Fluxo CICS
PAY1
↓
AUTH
↓
TCICSTRN
↓
ALLOW
O custo em CPU
Pequeno.
Principalmente.
FASTAUTH.
Muito eficiente.
Memória
Praticamente.
Irrelevante.
Para IBM Z.
O segredo da IBM
Não reinventar.
Segurança.
Em cada produto.
Criar.
Uma API.
Universal.
SAF.
Easter Egg Bellacosa
Pergunte.
Para um Sysprog.
Experiente.
Quem faz mais trabalho?
RACF?
Ou SAF?
Resposta típica.
RACF.
Decide.
SAF.
Trabalha.
Muito mais.
Porque atende.
Todas.
As portas.
Do reino.
Curiosidade
Provavelmente.
O SAF.
É um dos.
Componentes.
Mais executados.
Do zOS.
Sem aparecer.
Na maioria.
Dos monitores.
Sem glamour.
Sem interface.
Sem marketing.
Apenas.
Funcionando.
Dicas para Sysprog Junior
Estude.
RACROUTE.
Aprenda.
FASTAUTH.
Entenda.
ACEE.
Leia.
SMF80.
Pratique.
IPCS.
Use.
zSecure.
Conheça.
Reason Codes.
Como impressionar um arquiteto
Diga.
O SAF não toma decisões de segurança.
Ele apenas.
Orquestra.
A comunicação.
Entre.
Aplicações.
E ESM.
Provavelmente.
A conversa.
Mudará.
De nível.
Analogia Bellacosa ☕
Imagine.
O castelo.
CICS.
DB2.
MQ.
IMS.
USS.
Chegam.
Na portaria.
SAF atende.
Pergunta.
Ao cartório.
Recebe.
Resposta.
Olha.
O crachá.
ACEE.
Libera.
Ou bloqueia.
SMF.
Anota.
Tudo.
Frase Bellacosa Mainframe
"O RACF decide quem entra. O ACEE lembra quem você é. O SMF escreve a história. Mas é o SAF que passa o dia inteiro abrindo e fechando portas dentro do Reino IBM Z."
☕💥 Continua na Parte 3
SAF – Como Funciona na Vida Real
TSO, CICS, IMS, MQ, DB2, USS, JES2, Batch, Started Tasks, exemplos passo a passo, diagramas completos, consumo de CPU, troubleshooting e auditoria.
Sem comentários:
Enviar um comentário