Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Schutz der openFT-Verwaltungsdateien

&pagelevel(5)&pagelevel

Die Datasets, die zur Verwaltung und zum Betrieb von openFT angelegt werden, sollten vor unbefugtem Zugriff geschützt werden (z.B. mittels RACF). Wie stark dieser Schutz sein soll, hängt von den individuellen Sicherheitsbedürfnissen des Rechenzentrums ab. Im Folgenden werden Empfehlungen zum Schutz der wichtigsten dieser Datasets gegeben; für einige dieser Datasets werden die strengsten Einschränkungen der Zugriffsrechte beschrieben, mit denen ein Betrieb von openFT noch möglich ist.

FT-Parameterbibliothek

In der FT-Parameterbibliothek werden die Parameter abgelegt, mit denen openFT an die installationsspezifischen Bedürfnisse angepasst wird (siehe Abschnitt „Einrichten der FT-Parameterbibliothek“). Hierbei handelt es sich um sehr sensible Daten, deren Integrität für das ordnungsgemäße Funktionieren von openFT unabdingbar ist (beispielsweise die Liste der FT- bzw. der FTAC-Verwalter sowie gegebenenfalls der Name der FTAC-Datei; siehe unten). Daher muss diese Datei besonders sorgfältig geschützt werden.

Auftragsbuch, Partnerliste, Betriebsparameter-Datei

Auftragsbuch, Partnerliste und Betriebsparameter-Datei sind drei DA-Datasets, die automatisch beim ersten Start unter folgenden Namen eingerichtet werden:

  • Das Auftragsbuch '<openft qualifier>.<inst>.SYSRQF'

  • Die Partnerliste '<openft qualifier>.<inst>.SYSPTF'
    Die Partnerliste enthält die Adressinformationen zu den Partnersystemen und entspricht dem Netzbeschreibungsbuch in früheren openFT-Versionen.

  • Die Betriebsparameter-Datei '<openft qualifier>.<inst>.SYSOPF'.

<openft qualifier> ist dabei das Präfix, unter dem die Verwaltungsdateien von openFT angelegt werden (OPENFT QUALIFIER im FJGEN). <inst> ist der Instanzname (INSTANCE NAME im FJGEN).

Auf diese drei Dateien muss nur die Benutzerkennung, unter der openFT läuft, zugreifen können.

Logging-Datei

Die Logging-Datei wird von openFT automatisch eingerichtet. Ihre Komponenten sind im Abschnitt „Interne Datasets von openFT“ beschrieben.

Standardmäßig haben die Komponenten der Logging-Dateien den gemeinsamen Dateinamensbeginn '<openft qualifier>.<inst>.SYSLOG'. <openft qualifier> ist das Präfix, unter dem die Verwaltungsdateien von openFT angelegt werden (OPENFT QUALIFIER im FJGEN). <inst> ist der Instanzname (INSTANCE NAME im FJGEN). Statt des standardmäßig verwendeten "second level qualifiers" <inst>.SYSLOG kann auch ein vom Verwalter vorgegebener Name verwendet werden (Schlüsselwort LOGFILE_2ND_Q im Element PARM der FT-Parameterbibliothek).

Die Komponenten der Logging-Dateien sollten so geschützt werden, dass nur die Benutzerkennung, unter der openFT läuft, darauf zugreifen kann. Beachten Sie dazu den Hinweis im Anschluss an den Abschnitt "FTAC-Datei".

Wenn Sie Loggingsätze langfristig sichern wollen, leiten Sie die Ausgabe des FTSHWLOG-Kommandos in eine Datei um und sichern Sie diese Datei, oder verwenden Sie die mit der Version 12 eingeführte, neue Logging-Funktionalität, um Logging-Sätze in Offline-Logging-Dateien zu sichern.

Damit die Logging-Datei nicht unnötig groß wird, sollten Sie gelegentlich mit dem Kommando FTDELLOG ältere Loggingsätze löschen, oder Sie wechseln von Zeit zu Zeit die Logging-Datei mit dem Kommando FTMODOPT LOGGING=*CHANGE-FILES (siehe Abschnitt „FT-Logging“) und lagern offline gewordene Logging-Dateien gegebenenfalls aus.

FTAC-Datei

Beim Einsatz von FTAC wird die FTAC-Datei von openFT automatisch eingerichtet. Diese Datei enthält das FTAC-Environment, d.h. die Berechtigungssätze, Berechtigungsprofile usw. Ihre Komponenten sind im Abschnitt „Interne Datasets von openFT“ beschrieben.

Standardmäßig haben die Komponenten der FTAC-Datei den gemeinsamen Dateinamensbeginn '<openft qualifier>.<inst>.SYSFSA'. <openft qualifier> ist das Präfix, unter dem die Verwaltungsdateien von openFT angelegt werden (OPENFT QUALIFIER im FJGEN). <inst> ist der Instanzname (INSTANCE NAME im FJGEN). Statt des standardmäßig verwendeten "second level qualifiers" <inst>.SYSFSA kann auch ein vom Verwalter vorgegebener Name verwendet werden (Schlüsselwort FILE_2ND_Q im Element FTACPAR der FT-Parameterbibliothek).

Aus Sicherheitsgründen wird bei dieser Datei dringend empfohlen, dass ihre Komponenten so geschützt werden, dass nur die Benutzerkennung, unter der openFT läuft, darauf zugreifen kann.

Hinweis

Wenn Sie RACF nutzen und den Schutz für die Komponenten der Logging-Datei und der FTAC-Datei mit Hilfe von "generic profiles" einrichten wollen, müssen Sie darauf achten, dass durch die Namensgebung der "generic profiles" alle Komponenten dieser Dateien erfasst werden.

Wenn Sie einen einheitlichen Schutz für das Auftragsbuch, die Partnerliste, die Logging-Datei und die FTAC-Datei wünschen und wenn Sie einen einheitlichen Dateinamensbeginn für diese Dateien wählen, benötigen Sie nur zwei "generic profiles" zum Schutz dieser Dateien.

Wenn Sie die standardmäßige Namensgebung für diese Dateien verwenden, genügt es beispielsweise, für die einzelnen openFT-Instanzen jeweils folgende "generic profiles" einzurichten:

'<openft qualifier>.<inst>.SYS*’

Dieses "generic profile" schützt das Auftragsbuch (SYSRQF), die Partnerliste (SYSPTF) sowie die PS-Datasets, die Bestandteil der Logging-Datei und der FTAC-Datei sind (SYSLOG bzw. SYSFSA).

'<openft qualifier>.<inst>.SYS*.*’

Dieses "generic profile" schützt die Komponenten der VSAM-Cluster, die Bestandteil der Logging-Datei und der FTAC-Datei sind (SYSLOG.P00 usw. für die Logging-Datei, SYSFSA.P00 usw. für die FTAC-Datei).

Der OPENFT QUALIFIER steht für das im FJGEN festgelegte Dateinamen-Präfix, und <inst> bezeichnet den Instanznamen, der mit dem Parameter INSTANCE NAME beim FJGEN für die jeweilige openFT-Instanz festgelegt wird.