У меня есть система разработки, над которой работают несколько разработчиков. Текущая конфигурация позволяет внести любой запрос на новый набор данных в главный каталог. Для защиты главного каталога от записи, кроме авторизованного системного персонала, кажется, что SAF является рекомендуемым и лучшим вариантом. Мой менеджер по безопасности - РАКФ.
При просмотре руководств IBM можно найти много академической информации, но не найти практического решения, описывающего все элементы, необходимые для реализации решения.
Одно из руководств, на которые я ссылался, это Сервер безопасности z / OS для RACF
Вот краткое изложение этого раздела:
RDEFINE GLOBAL DATASET
RALTER GLOBAL DATASET ADDMEM('CATALOG.MASTER'/READ)
ADDGROUP CATALOG # Defines the hlq of the dataset
ADDSD 'CATALOG.MASTER' UACC(READ)
Этот подход не дает никаких положительных результатов, и система по-прежнему позволяет любому вносить в каталог новые наборы данных в главном каталоге.
Я планировал заблокировать и разблокировать доступ по умолчанию, поскольку это тестовая система, но, возможно, мне нужно создать отдельного пользователя для администрирования каталога.
Я ожидаю, что есть множество необходимых элементов из DFSMS, RACF и, возможно, других областей, которые необходимо настроить, чтобы эта работа работала. К сожалению, руководства IBM, хотя и довольно подробные, дают мало практических / полных примеров.
Дешевый способ сделать это - использовать предшествующий SAF метод: установить пароль в главном каталоге. Любой, кто создает набор данных с квалификатором высокого уровня, не совпадающим с записью псевдонима, сгенерирует WTOR с запросом пароля. Он не прошел проверку аудиторов, но в среде разработки ADCD / ADLT я нашел это очень эффективным.