Translate

Mostrar mensagens com a etiqueta RACROUTE. Mostrar todas as mensagens
Mostrar mensagens com a etiqueta RACROUTE. Mostrar todas as mensagens

segunda-feira, 22 de agosto de 2022

☕💥 A Jornada do Sysprog Padawan – ACEE : O Nascimento do Crachá Mágico do Reino IBM Z - Parte III

 

Bellacosa Mainframe apresenta ACEE parte III

☕💥 A Jornada do Sysprog Padawan – Parte 3

ACEE – O Nascimento do Crachá Mágico do Reino IBM Z

Como o ACEE é criado no TSO, CICS, IMS, USS, Batch, MQ e DB2

"Todo ACEE possui uma história. Ele nasce, trabalha silenciosamente protegendo o reino IBM Z e desaparece sem deixar rastros quando a sessão termina."

Bellacosa Mainframe

Introdução

Na Parte 1 conhecemos o ACEE.

Na Parte 2 desmontamos sua anatomia.

Agora chegamos à pergunta que todo Sysprog Junior faz:

Quem cria o ACEE?

A resposta curta é:

RACF.

Mas a resposta de Sysprog é:

Depende do ambiente, do tipo de autenticação, do contexto da requisição e dos serviços SAF utilizados.

O ciclo de vida do ACEE

O ACEE possui quatro estágios.

CREATE

↓

USE

↓

UPDATE

↓

DELETE

Estágio 1 — Criação

Criado pelo RACF.

Pode ocorrer durante:

  • TSO Logon

  • Batch

  • Started Task

  • CICS Attach

  • IMS Signon

  • DB2 Connect

  • USS Login

  • SSH

  • FTP

  • MQ Connection

Estágio 2 — Utilização

Usado por:

  • SAF

  • DB2

  • CICS

  • IMS

  • MQ

  • USS

  • SDSF

  • JES2

Estágio 3 — Atualização

Pode sofrer ajustes.

Exemplos:

Mudança de grupo

Token MFA

Security Label

Kerberos

Certificate Mapping

Estágio 4 — Destruição

Logoff

Task End

Address Space End

Timeout

Cancel Job

Terminate Thread

Caso 1 — TSO Logon

O cenário clássico.

Usuário:

LOGON VBELLACO

Passo 1

IKJEFT01 recebe.

Passo 2

SAF intercepta.

Passo 3

RACF VERIFY.

Verifica:

Senha

Passphrase

MFA

Certificate

Revoked

Expired

Passo 4

Monta ACEE.

Passo 5

Associa ao TCB.

Passo 6

Usuário entra no ISPF.

Fluxo

USER
 │
 ▼
TSO
 │
 ▼
SAF
 │
 ▼
RACF VERIFY
 │
 ▼
CREATE ACEE
 │
 ▼
TCB
 │
 ▼
ISPF

RACROUTE VERIFY

Um dos serviços favoritos dos Sysprogs.

Exemplo conceitual

RACROUTE REQUEST=VERIFY

Objetivo

Criar ACEE.

Validar credenciais.

Resultado

RC=0

ACEE pronto

Falha

ICH408I

Caso 2 — Batch

JCL

//JOB001 JOB ...


//STEP1 EXEC PGBM=IEFBR14

JES recebe.

Analisa USER=

Exemplo

USER=VBELLACO

SAF

RACF

ACEE

JOB

Caso 3 — Started Tasks

Muito importante.

Exemplo

MQM1

Ou

CICSPRD

Ou

DB2P

Utilizam

STARTED Class

Mapeamento

STC

Userid

ACEE

Caso 4 — USS

Login SSH.

Usuário

ssh vagner@zos

OpenSSH

SAF

RACF

OMVS Segment

ACEE

Shell

Resultado

$

Prompt liberado.

Caso 5 — CICS

Muito interessante.

Região CICS já possui ACEE.

Usuário conecta.

Pode ser criado outro.

Fluxo

Terminal

↓

CICS

↓

SAF

↓

RACF

↓

ACEE

↓

Transaction

Exemplo

PAY1

CICS pergunta

Pode?

SAF usa ACEE.

Resposta.

SIM.

NÃO.

Caso 6 — IMS

Muito parecido.

MPP

BMP

IMS Connect

OTMA

Criam contexto.

Associam ACEE.

Caso 7 — DB2

Thread.

Thread cria contexto.

DB2 usa ACEE.

Verifica.

Plan

Package

Table

View

SP

Exemplo

SELECT *
FROM CLIENTES

DB2 consulta.

ACEE.

Não precisa perguntar senha novamente.

Caso 8 — MQ

MQCONN

MQOPEN

SAF

ACEE

MQADMIN

FASTAUTH

Outro Easter Egg.

Serviço rápido.

Menos CPU.

Menos I/O.

Mais cache.

Muito usado.

Performance incrível.

ACEE Cloning

Pouca gente conhece.

Pode ser copiado.

Criado.

Passado.

Duplicado.

Entre contextos.

Mas requer autorização.

ACEE Substitution

Tema delicado.

Programas APF.

Podem.

Ferramentas IBM.

Sim.

Aplicações comuns.

Não.

Quem destrói o ACEE?

Normalmente.

Sistema.

Fim da sessão.

Fim do JOB.

Cancel.

Abend.

Timeout.

Thread End.

Problemas comuns

ICH408I

Autorização.

Senha.

Grupo.

Classe.

Perfil.

S047

Contexto inválido.

S106

Problema APF.

RC=8 VERIFY

Falha RACF.

UID Missing

USS.

OMVS.

Como acompanhar?

SMF80

RACF Logging

zSecure

IPCO

IPCS

Security Monitor

Curiosidade Bellacosa ☕

Imagine novamente o castelo.

TSO

é a porta principal.

SSH

é a entrada lateral.

CICS

é a ala administrativa.

DB2

é a biblioteca.

MQ

é o correio.

IMS

é o setor financeiro.

USS

é o bairro tecnológico.

E em todas essas portas existe um pequeno funcionário invisível dizendo:

"Por favor, apresente seu crachá ACEE."

Se estiver válido.

Você entra.

Se não estiver.

O Reino IBM Z simplesmente responde:

ACCESS DENIED

Resumo para guardar

AmbienteCria ACEE
TSOSim
USSSim
BatchSim
Started TaskSim
CICSSim
IMSSim
DB2Utiliza
MQUtiliza
SSHSim
FTPSim

☕💥 Frase Bellacosa Mainframe

"O RACF forja o crachá. O SAF o apresenta aos guardas. O ACEE acompanha o viajante. E o Sysprog garante que nenhuma porta do Reino IBM Z seja aberta para quem não deveria atravessá-la."

☕💥 Continua na Parte 4

ACEE – Performance, CPU, Memória e Escalabilidade

Quanto custa um ACEE? Quantos podem existir? Como FASTAUTH reduz CPU? O que acontece em bancos com centenas de milhares de sessões simultâneas? Como medir, auditar e otimizar?

Publicada por à(s) Sem comentários:
Etiquetas: , , , , , , , , , , , , ,

segunda-feira, 15 de fevereiro de 2021

☕💥 A Jornada do Sysprog Padawan – SAF : Anatomia Interna do Porteiro Invisível do Reino IBM Z - Parte II

 

Bellacosa Mainframe apresenta o SAF parte II

☕💥 A Jornada do Sysprog Padawan – Parte 2

SAF – Anatomia Interna do Porteiro Invisível do Reino IBM Z

RACROUTE, VERIFY, FASTAUTH, Return Codes, ACEE e os mecanismos secretos que fazem bilhões de decisões por dia

"O SAF parece simples. Até o dia em que você precisa explicar para um auditor por que um MQOPEN retornou RC=8 às três horas da manhã."

Bellacosa Mainframe

Introdução

Na Parte 1 descobrimos que o SAF é o porteiro invisível do Reino IBM Z.

Ele não possui usuários.

Ele não possui senhas.

Ele não possui grupos.

Ele não possui perfis.

Mas ele é consultado bilhões de vezes por dia.

A pergunta agora é:

Como o SAF realmente funciona?

Vamos abrir a caixa preta.

O que existe dentro do SAF?

A resposta curta.

Pouco.

A resposta Sysprog.

Muito.

O SAF é composto basicamente por:

Interface de chamadas

Roteador

Serviços

Retornos

Controle de contexto

Integração com ACEE

Comunicação com ESM

O coração do SAF

O principal serviço.

RACROUTE

Praticamente.

O sabre de luz.

Do Security Sysprog.

O que é RACROUTE?

Serviço.

Macrotina.

Interface.

Entre.

Aplicações.

E segurança.

Sintaxe simplificada

RACROUTE REQUEST=AUTH

Ou

RACROUTE REQUEST=VERIFY

Ou

RACROUTE REQUEST=FASTAUTH

Principais REQUESTS

VERIFY

Autenticação

AUTH

Autorização

FASTAUTH

Autorização rápida

EXTRACT

Informações usuário

DEFINE

Criar contexto

DELETE

Remover contexto

STAT

Status

ENVIR

Ambiente

VERIFY

Nosso favorito.

Objetivo.

Criar ACEE.

Exemplo.

TSO Logon.

Fluxo.

USER

↓

TSO

↓

SAF

↓

VERIFY

↓

RACF

↓

ACEE

Resultado.

Usuário autenticado.

AUTH

Verifica.

Pode.

Ou.

Não.

Exemplo.

PROD.DB2.MASTER

Classe.

DATASET

Resultado.

READ

UPDATE

ALTER

CONTROL

NONE

FASTAUTH

Aqui mora.

A mágica.

FASTAUTH.

É.

Um AUTH.

Com turbo.

Menos CPU.

Mais cache.

Menos overhead.

Bilhões.

De chamadas.

Por dia.

Muito utilizado.

CICS

MQ

DB2

Subsystems

O SAF Router

Pouco conhecido.

Muito importante.

Responsável.

Por encaminhar.

Requisições.

Fluxo.

Application

↓

SAF Router

↓

ESM

↓

Response

Sem router.

Nada funciona.

O melhor amigo do SAF

ACEE

SAF ama.

ACEEs.

Por quê?

CPU.

I/O.

Locks.

Performance.

Escalabilidade.

Exemplo

Sem ACEE.

AUTH

↓

RACF

↓

VSAM

↓

CPU

Com ACEE.

AUTH

↓

ACEE

↓

ALLOW

Muito mais rápido.

Return Codes

Sysprog gosta.

RC

RSN

RC comuns

RC=0

Sucesso.

RC=4

Aviso.

RC=8

Negado.

RC=12

Erro.

RC=16

Falha severa.

Exemplo

RC=8

RSN=24

Pode significar.

Perfil.

Ausente.

Grupo.

Incorreto.

Classe.

Inativa.

Reason Codes

Mais detalhados.

Explicam.

O motivo.

São.

Os verdadeiros.

Detetives.

Do SAF.

Como interpretar?

SMF.

IPCS.

zSecure.

IBM manuals.

Security Server.

Classes

SAF trabalha.

Com classes.

Exemplos.

DATASET

FACILITY

OPERCMDS

TCICSTRN

DSNR

JESJOBS

SURROGAT

UNIXPRIV

MQADMIN

Fluxo DB2

SELECT *

FROM CLIENTES

DB2.

SAF.

AUTH.

ACEE.

ALLOW.

Fluxo MQ

MQOPEN

SAF

FASTAUTH

ALLOW

Fluxo USS

SSH

VERIFY

ACEE

Shell

Fluxo CICS

PAY1

AUTH

TCICSTRN

ALLOW

O custo em CPU

Pequeno.

Principalmente.

FASTAUTH.

Muito eficiente.

Memória

Praticamente.

Irrelevante.

Para IBM Z.

O segredo da IBM

Não reinventar.

Segurança.

Em cada produto.

Criar.

Uma API.

Universal.

SAF.

Easter Egg Bellacosa

Pergunte.

Para um Sysprog.

Experiente.

Quem faz mais trabalho?

RACF?

Ou SAF?

Resposta típica.

RACF.

Decide.

SAF.

Trabalha.

Muito mais.

Porque atende.

Todas.

As portas.

Do reino.

Curiosidade

Provavelmente.

O SAF.

É um dos.

Componentes.

Mais executados.

Do zOS.

Sem aparecer.

Na maioria.

Dos monitores.

Sem glamour.

Sem interface.

Sem marketing.

Apenas.

Funcionando.

Dicas para Sysprog Junior

Estude.

RACROUTE.

Aprenda.

FASTAUTH.

Entenda.

ACEE.

Leia.

SMF80.

Pratique.

IPCS.

Use.

zSecure.

Conheça.

Reason Codes.

Como impressionar um arquiteto

Diga.

O SAF não toma decisões de segurança.

Ele apenas.

Orquestra.

A comunicação.

Entre.

Aplicações.

E ESM.

Provavelmente.

A conversa.

Mudará.

De nível.

Analogia Bellacosa ☕

Imagine.

O castelo.

CICS.

DB2.

MQ.

IMS.

USS.

Chegam.

Na portaria.

SAF atende.

Pergunta.

Ao cartório.

Recebe.

Resposta.

Olha.

O crachá.

ACEE.

Libera.

Ou bloqueia.

SMF.

Anota.

Tudo.

Frase Bellacosa Mainframe

"O RACF decide quem entra. O ACEE lembra quem você é. O SMF escreve a história. Mas é o SAF que passa o dia inteiro abrindo e fechando portas dentro do Reino IBM Z."

☕💥 Continua na Parte 3

SAF – Como Funciona na Vida Real

TSO, CICS, IMS, MQ, DB2, USS, JES2, Batch, Started Tasks, exemplos passo a passo, diagramas completos, consumo de CPU, troubleshooting e auditoria.

Publicada por à(s) Sem comentários:
Etiquetas: , , , , , , , , , , , , ,
Subscrever: Mensagens (Atom)