☕💥 A Jornada do Sysprog Padawan – ACEE : O Nascimento do Crachá Mágico do Reino IBM Z - Parte III

 

Bellacosa Mainframe apresenta ACEE parte III

☕💥 A Jornada do Sysprog Padawan – Parte 3

ACEE – O Nascimento do Crachá Mágico do Reino IBM Z

Como o ACEE é criado no TSO, CICS, IMS, USS, Batch, MQ e DB2

"Todo ACEE possui uma história. Ele nasce, trabalha silenciosamente protegendo o reino IBM Z e desaparece sem deixar rastros quando a sessão termina."

Bellacosa Mainframe

---

Introdução

Na Parte 1 conhecemos o ACEE.

Na Parte 2 desmontamos sua anatomia.

Agora chegamos à pergunta que todo Sysprog Junior faz:

Quem cria o ACEE?

A resposta curta é:

RACF.

Mas a resposta de Sysprog é:

Depende do ambiente, do tipo de autenticação, do contexto da requisição e dos serviços SAF utilizados.

---

O ciclo de vida do ACEE

O ACEE possui quatro estágios.

CREATE

↓

USE

↓

UPDATE

↓

DELETE

---

Estágio 1 — Criação

Criado pelo RACF.

Pode ocorrer durante:

• TSO Logon

• Batch

• Started Task

• CICS Attach

• IMS Signon

• DB2 Connect

• USS Login

• SSH

• FTP

• MQ Connection

---

Estágio 2 — Utilização

Usado por:

• SAF

• DB2

• CICS

• IMS

• MQ

• USS

• SDSF

• JES2

---

Estágio 3 — Atualização

Pode sofrer ajustes.

Exemplos:

Mudança de grupo

Token MFA

Security Label

Kerberos

Certificate Mapping

---

Estágio 4 — Destruição

Logoff

Task End

Address Space End

Timeout

Cancel Job

Terminate Thread

---

Caso 1 — TSO Logon

O cenário clássico.

Usuário:

LOGON VBELLACO

---

Passo 1

IKJEFT01 recebe.

---

Passo 2

SAF intercepta.

---

Passo 3

RACF VERIFY.

---

Verifica:

Senha

Passphrase

MFA

Certificate

Revoked

Expired

---

Passo 4

Monta ACEE.

---

Passo 5

Associa ao TCB.

---

Passo 6

Usuário entra no ISPF.

---

Fluxo

USER
 │
 ▼
TSO
 │
 ▼
SAF
 │
 ▼
RACF VERIFY
 │
 ▼
CREATE ACEE
 │
 ▼
TCB
 │
 ▼
ISPF

---

RACROUTE VERIFY

Um dos serviços favoritos dos Sysprogs.

Exemplo conceitual

RACROUTE REQUEST=VERIFY

---

Objetivo

Criar ACEE.

Validar credenciais.

---

Resultado

RC=0

ACEE pronto

---

Falha

ICH408I

---

Caso 2 — Batch

JCL

//JOB001 JOB ...


//STEP1 EXEC PGBM=IEFBR14

---

JES recebe.

---

Analisa USER=

Exemplo

USER=VBELLACO

---

SAF

↓

RACF

↓

ACEE

↓

JOB

---

Caso 3 — Started Tasks

Muito importante.

Exemplo

MQM1

---

Ou

CICSPRD

---

Ou

DB2P

---

Utilizam

STARTED Class

---

Mapeamento

STC

↓

Userid

↓

ACEE

---

Caso 4 — USS

Login SSH.

---

Usuário

ssh vagner@zos

---

OpenSSH

↓

SAF

↓

RACF

↓

OMVS Segment

↓

ACEE

↓

Shell

---

Resultado

$

Prompt liberado.

---

Caso 5 — CICS

Muito interessante.

---

Região CICS já possui ACEE.

---

Usuário conecta.

---

Pode ser criado outro.

---

Fluxo

Terminal

↓

CICS

↓

SAF

↓

RACF

↓

ACEE

↓

Transaction

---

Exemplo

PAY1

---

CICS pergunta

Pode?

---

SAF usa ACEE.

---

Resposta.

SIM.

NÃO.

---

Caso 6 — IMS

Muito parecido.

---

MPP

---

BMP

---

IMS Connect

---

OTMA

---

Criam contexto.

---

Associam ACEE.

---

Caso 7 — DB2

Thread.

---

Thread cria contexto.

---

DB2 usa ACEE.

---

Verifica.

Plan

Package

Table

View

SP

---

Exemplo

SELECT *
FROM CLIENTES

---

DB2 consulta.

ACEE.

---

Não precisa perguntar senha novamente.

---

Caso 8 — MQ

MQCONN

↓

MQOPEN

↓

SAF

↓

ACEE

↓

MQADMIN

---

FASTAUTH

Outro Easter Egg.

---

Serviço rápido.

---

Menos CPU.

---

Menos I/O.

---

Mais cache.

---

Muito usado.

---

Performance incrível.

---

ACEE Cloning

Pouca gente conhece.

---

Pode ser copiado.

---

Criado.

---

Passado.

---

Duplicado.

---

Entre contextos.

---

Mas requer autorização.

---

ACEE Substitution

Tema delicado.

---

Programas APF.

Podem.

---

Ferramentas IBM.

Sim.

---

Aplicações comuns.

Não.

---

Quem destrói o ACEE?

Normalmente.

Sistema.

---

Fim da sessão.

---

Fim do JOB.

---

Cancel.

---

Abend.

---

Timeout.

---

Thread End.

---

Problemas comuns

ICH408I

Autorização.

---

Senha.

---

Grupo.

---

Classe.

---

Perfil.

---

S047

Contexto inválido.

---

S106

Problema APF.

---

RC=8 VERIFY

Falha RACF.

---

UID Missing

USS.

---

OMVS.

---

Como acompanhar?

SMF80

---

RACF Logging

---

zSecure

---

IPCO

---

IPCS

---

Security Monitor

---

Curiosidade Bellacosa ☕

Imagine novamente o castelo.

TSO

é a porta principal.

SSH

é a entrada lateral.

CICS

é a ala administrativa.

DB2

é a biblioteca.

MQ

é o correio.

IMS

é o setor financeiro.

USS

é o bairro tecnológico.

E em todas essas portas existe um pequeno funcionário invisível dizendo:

"Por favor, apresente seu crachá ACEE."

Se estiver válido.

Você entra.

Se não estiver.

O Reino IBM Z simplesmente responde:

ACCESS DENIED

---

Resumo para guardar

Ambiente	Cria ACEE
TSO	Sim
USS	Sim
Batch	Sim
Started Task	Sim
CICS	Sim
IMS	Sim
DB2	Utiliza
MQ	Utiliza
SSH	Sim
FTP	Sim

---

☕💥 Frase Bellacosa Mainframe

"O RACF forja o crachá. O SAF o apresenta aos guardas. O ACEE acompanha o viajante. E o Sysprog garante que nenhuma porta do Reino IBM Z seja aberta para quem não deveria atravessá-la."

---

☕💥 Continua na Parte 4

ACEE – Performance, CPU, Memória e Escalabilidade

Quanto custa um ACEE? Quantos podem existir? Como FASTAUTH reduz CPU? O que acontece em bancos com centenas de milhares de sessões simultâneas? Como medir, auditar e otimizar?