EKC Test Facility für CA-ACF2™  

 

ETF/A, das EKC Test Facility für ACF2, ist eine wesentliche Erweiterung für das bestehende Security-System ACF/2. ETF/A besteht aus einer Reihe von Modulen (div. Panel und Funktionen), die die grundlegenden Möglichkeiten und Features von ACF/2 verbessern.

 

Insgesamt gehören die folgenden Module zu ETF/A:
RTF - das ETF/A Test Facility
QRF - das ETF/A Quick Recover Facility
FMF - das ETF/A File Maintenance Facility
RAF - das ETF/A Rule Aging Facility
RCI - das Rule Compiler Interface
DUF - das Dual UID Facility
F$F - das Emergency F$recall Facility
ETF/A Test Facility


Mit dem Test Facility wird die Entwicklung von Regeln und der eigentliche Testprozeß wesentlich vereinfacht. Die Regeln, die mit RTF erstellt werden, arbeiten praktisch parallel zu den aktiven ACF2 Regeln im Produktionssystem. Diese Regeln werden in Konkurrenz zu den echten ACF2 Regeln getestet, und sie erhalten die gleichen Log-Informationen und Meldungen, wie mit den ´normalen´ACF2 - Regeln. Dennoch werden Zugriffsverletzungen nicht von ACF2 registriert, sondern sie erhalten den Status des letzten Requests.

Die Ergebnisse der getesteten Regeln werden in den normalen ACF2 Reports mit einem ´Test´-Schlüssel versehen, und geben sofort einen Überblick über die korrekte oder fehlerhafte Funktion einer neuen Regel. Nach einem erfolgreichen Testlauf können die neuen Regeln dann in das ACF2 - System migriert werden.
Die neuen Regeln können entweder bestehende Regeln ersetzen, zusätzlich eingefügt werden, oder wenn sie nur zu reinen Testzwecken dienten, auch wieder gelöscht werden.

 

ETF/A Quick Recover Facility
Mit dem Quick Recover Facility haben sie die Möglichkeit, ACF2 Records wieder herzustellen, ohne daß ACF2 heruntergefahren werden muß. Quick Recover ersetzt bzw. stellt die ACF2 Logon-Ids, die Dataset Access Regeln und die Ressource Regeln wieder her. Die Records werden entweder aus den ACF2 Backup Dateien oder alternativen Clustern gelesen und sofort in die aktiven ACF2 VSAM Cluster gestellt.
Optional können ACF2 Produktions - Regeln oder Logon-ID Records durch neue ersetzt werden. Es gibt Situationen, in denen es wesentlich einfacher ist, bestehende Records, die versehentlich beschädigt oder verändert wurden, zu ersetzen. In solchen Situationen bietet es sich an, mit Quick Recover zu arbeiten, an Stelle einer vollständigen Wiederherstellung des VSAM Clusters.
Quick Recover wird als Menüpunkt unter dem ETF/A Primary Option Panel aufgerufen.

 

--------------------------- ETF/A PRIMARY OPTION MENU -------------------------
OPTION =è USERID - ETFALID
SYSTEM - CPU1
*--- EKC Test Facility Primary Options Menu ---*
Version V1.4
1 - ETF/A Test Facility
2 - ETF/A Quick Recover
3 - ETF/A Maintenance Facility
4 - ETF/A Rule Aging Facility
5 - ETF/A Rule Compiler Interface
6 - ETF/A F$recall Facility
S - ETF/A System Information
Enter END command to terminate ETF/A

 

ETF/A File Maintenance Facility
Das File Maintenance Facility wird dazu benutzt um alle ACF2 Dataset Access und Resource Regeln in denen eine bestimmte Logon-ID oder UID auftritt, anzuzeigen und zu bearbeiten. FMF kann mit der aktiven ACF2 Datenbank, Backup Dateien und VSAM Clustern zusammen-arbeiten.
Zum Funktionsumfang von FMF gehören die Model Functions (Insert, Replace Delete), die Update Funktionen (Remove und Replace abh. Rule, LID, maskierter UID, Datum), die List Funktionen ( Anzeige abh. vom Datum, LID, UID, Expired Rules) und die Display Funktionen (Dataset und Resource Rule Size, 'Last Stored' Information).

 

Rule Aging Facility
Mit ETF/A-RAF steht Ihnen ein Tool zur Verfügung, mit dem alte, unbenutzte Regeln aus Dataset Access und Ressource Rulesets entfernt werden können. Wenn das Rule Aging Facility aktiv ist, werden Regeln automatisch beobachtet und mit einem Expiration´- Date versehen, wenn sie benutzt werden. Unbenutzte Regeln können dann über das File Maintenance Facility entfernt werden.

 

Rule Compiler Interface
Das Rule Compiler Interface bietet Ihnen eine einfache Möglichkeit, Regeln zu editieren und zu kompilieren. Die jeweilige Dataset oder Ressource Regel wird dekompiliert und in eine ISPF Edit Session gestellt. Dort können Sie die geforderten Änderungen vornehmen. Danach wird die Regel automatisch rekompiliert und die entsprechende ACF2 Cluster zurückgestellt.

 

Multi UID Facility
Die Multi UID Facility unterstützt den Mechanismus für eine individuelle Logonid mehrere unterschiedliche UIDs zu haben.
So ist es beispielsweise nicht nötig, daß der Sicherheitsadministrator, für den Fall, daß ein User in eine andere Abteilung wechselt, er aber für einen bestimmten Zeitraum in beiden Abteilungen tätig ist, eine zusätzliche Logonid vergibt. Diese Vorgehensweise wäre sowohl für den Administator als auch für den User schwer zu handhaben. Der Administrator müßte für beide Logonids Zugriffsrechte definieren, und der User müßte ständig von einer Logonid zur anderen wechseln.
Auch wäre die Möglichkeit für eine bestehende ID alle Regeln für beide Abteilungen zu schreiben, keine Lösung, denn wie möchte man bestimmen, welche Regeln nach dem Ende der Übergangszeit entfernt werden sollen?

 

ETF/A Multi UID Facility befähigt Sie, dem User einen zusätzliche UID String für die neue Abteilung zu vergeben.
Mittels dem Multi UID Facility wird ACF2 dahingehend erweitert, daß zu einem einzelnen LIDREC ein weiterer UID String verknüpft wird. Dieser zweite UID String wird über die ETFAUID @CFDE Definition in ACFFDR erstellt.
ACF2 prüft zuerst die ursprüngliche UID, wenn es die Zugriffsentscheidung trifft - falls der Zugriff verneint wird, prüft es den alternativen UID String. Der User kann während der Übergangsperiode beide UIDs nutzen. Wenn diese Übergangsperiode beendet ist, wird die alternative UID durch Migration zur primären, und die ursprünglichen Zugriffsrechte für die alte Abteilung werden automatisch entfernt.

 

EKC Emergency F$recall Facility
Mit dieser Funktion ist es möglich, während einer 'Notfall'-Situation, Zugriffsberechtigungen auf sensitive Ressourcen zu erhalten. Mit dem Emergency F$recall Utility werden spezielle Autorisierungen und Privilegien kontrolliert an bestimmte Anwender vergeben. Der Zugriff kann unter einer alternativen UID erfolgen, oder es werden AUDIT, READALL, SECURITY und NON-CNCL Rechte vergeben. Zusätzlich kann auch die Berechtigung für Password Resets erteilt werden.
Alle Requests und Autorisierungen werden unter SMF protokolliert, und mit dem EF$C1SMF Programm können entsprechende Reports der F$recall Nutzung gedruckt werden. Ressource Rules, $TYPE(F$F) werden dazu genutzt, die Anwender zu bestimmen, die für bestimmte Rechte privilegiert werden.

 

Batchverabeitung / Diverses
Obwohl ETF/A primär für die interaktive Online - Tätigkeit unter TSO ausgelegt ist, sind eine Reihe von Funktionen auch im Batch verfügbar: File Maintenance Facility, Rule Test Facility, QuickRecover Facility und Rule Aging Facility.
Daneben gibt es ein Dormat Rule Report Programm, das unbrauchbare Zeilen innerhalb von ACF2 Regeln auflistet, das ETFASMFP Programm, mit dem alle unter ETF/A erstellten SMF Records aufgelistet werden, und das EF$C1SMF Programm zur Auflistung der Nutzung des F$recall Utilities.
ETF/A arbeitet ab MVS/XA oder MVS/ESA mit CA-ACF2 ab R5.0 und SMP/E. 

 

 

Produktseite des Herstellers