IBM Security Z Security

 View Only

  • 1.  Access READ is granted although Dataset Profile states UACC(NONE), and no permits have been defined.

    Posted 4 days ago
    Edited by Peter Karel 4 days ago

    Hi,

    Unussual Behaviour is seen for a Dataset Profile.

    My USER YPK2 has Read Access on the Dataset Profile below, although UACC(NONE) and no Permits have been Defined.

    Doe Anyone has any Thoughts ??

    Is their a way to trace the Autorisation flow??

    Kind Regards,

    Peter

    Recreate Output:

    addsd  'PLI.*' GENERIC     owner(PLI) uacc(NONE   ) -                
    audit(failures(READ))                                                
    setropts refresh generic(DATASET)                                    

    When I Try to Update a member I Receive ICH408I ... 

    ICH408I USER(YPK2    ) GROUP(USRYS   ) NAME(KAREL, PETER        )
      PLI.V4R5M0.A.SIBMZPRC CL(DATASET ) VOL(RP3010)                 
      INSUFFICIENT ACCESS AUTHORITY                                  
      FROM PLI.* (G)                                                 
      ACCESS INTENT(UPDATE )  ACCESS ALLOWED(READ   )                
    IEC150I 913-38,IFG0194E,YPK2,TSOCOM,ISP09173,7010,RP3010,        
    PLI.V4R5M0.A.SIBMZPRC                                            
    ***                                                              

    ListUser YPK2

    REVOKE DATE=NONE   RESUME DATE=NONE                                       
    LAST-ACCESS=24.204/09:21:25                                               
    CLASS AUTHORIZATIONS=NONE                                                 
    NO-INSTALLATION-DATA                                                      
    NO-MODEL-NAME                                                             
    LOGON ALLOWED   (DAYS)          (TIME)                                    
    ---------------------------------------------                             
    ANYDAY                          ANYTIME                                   
     GROUP=USRYS     AUTH=USE      CONNECT-OWNER=USRYS     CONNECT-DATE=18.024
       CONNECTS=    69  UACC=NONE     LAST-CONNECT=24.204/09:21:25            
       CONNECT ATTRIBUTES=NONE                                                
       REVOKE DATE=NONE   RESUME DATE=NONE                                    
     GROUP=ADMCAT    AUTH=USE      CONNECT-OWNER=ADMCAT    CONNECT-DATE=18.024
       CONNECTS=    00  UACC=NONE     LAST-CONNECT=UNKNOWN                    
       CONNECT ATTRIBUTES=NONE                                                
       REVOKE DATE=NONE   RESUME DATE=NONE                                    



    ------------------------------
    Peter Karel
    ------------------------------



  • 2.  RE: Access READ is granted although Dataset Profile states UACC(NONE), and no permits have been defined.

    IBM Champion
    Posted 4 days ago

    Hi Peter

    Is there a GLOBAL DATASET profile with member PLI.*/READ ?

    YOu can also do a LISTDSD DA('PLI.*') ALL and LISTDSD DA('PLI.V4R5M0.A.SIBMZPRC') GENERIC ALL to see YOU ACCESS value.



    ------------------------------
    Rob van Hoboken
    ------------------------------

    Original Message


  • 3.  RE: Access READ is granted although Dataset Profile states UACC(NONE), and no permits have been defined.

    Posted 4 days ago

    Hi Rob,

    Thanks for your suggestions...see the output below from both LISTDSD ... As expected...it shows what I see in The Profile....UACC(NONE).

    LISTDSD DA('PLI.*') ALL 

    INFORMATION FOR DATASET PLI.* (G)                 
                                                      
    LEVEL  OWNER    UNIVERSAL ACCESS   WARNING   ERASE
    -----  -------- ----------------   -------   -----
     00    PLI             NONE          NO      NO   
                                                      
    AUDITING                                          
    --------                                          
    FAILURES(READ)                                    
                                                      
    NOTIFY                                            
    --------                                          
    NO USER TO BE NOTIFIED                            
                                                      
    YOUR ACCESS  CREATION GROUP  DATASET TYPE         
    -----------  --------------  ------------         
        NONE        USRYS          NON-VSAM           
                                                      
    GLOBALAUDIT                                       
    -----------                                       
     NONE                                             
                                                      
    NO INSTALLATION DATA                              
                                                      
                  SECURITY LEVEL                      
    ------------------------------------------        
    NO SECURITY LEVEL                                 
                                                      CATEGORIES                                           
    ----------                                           
    NO CATEGORIES                                        
                                                         
    SECLABEL                                             
    --------                                             
    NO SECLABEL                                          
                                                         
    CREATION DATE  LAST REFERENCE DATE  LAST CHANGE DATE 
    (DAY) (YEAR)        (DAY) (YEAR)      (DAY) (YEAR)   
    -------------  -------------------  ---------------- 
     204    24      NOT APPLICABLE FOR GENERIC PROFILE   
                                                         
    ALTER COUNT  CONTROL COUNT  UPDATE COUNT  READ COUNT 
    -----------  -------------  ------------  ---------- 
    NOT APPLICABLE FOR GENERIC PROFILE                   
                                                         
       ID     ACCESS                                     
    --------  -------                                    
    NO ENTRIES IN STANDARD ACCESS LIST                   
                                                         
       ID    ACCESS   CLASS                ENTITY NAME   
    -------- ------- -------- ---------------------------
    NO ENTRIES IN CONDITIONAL ACCESS LIST              

    LISTDSD DA('PLI.V4R5M0.A.SIBMZPRC') GENERIC ALL 

    INFORMATION FOR DATASET PLI.* (G)                   
                                                        
    LEVEL  OWNER    UNIVERSAL ACCESS   WARNING   ERASE  
    -----  -------- ----------------   -------   -----  
     00    PLI             NONE          NO      NO     
                                                        
    AUDITING                                            
    --------                                            
    FAILURES(READ)                                      
                                                        
    NOTIFY                                              
    --------                                            
    NO USER TO BE NOTIFIED                              
                                                        
    YOUR ACCESS  CREATION GROUP  DATASET TYPE           
    -----------  --------------  ------------           
        NONE        USRYS          NON-VSAM             
                                                        
    GLOBALAUDIT                                         
    -----------                                         
     NONE                                               
                                                        
    NO INSTALLATION DATA                                
                                                        
                  SECURITY LEVEL                        
    ------------------------------------------          
    NO SECURITY LEVEL                                   
                                                        
    CATEGORIES                                          
    ----------                                          
    NO CATEGORIES                                       
                                                        
    SECLABEL                                            
    --------                                            
    NO SECLABEL                                         
                                                        
    CREATION DATE  LAST REFERENCE DATE  LAST CHANGE DATE
    (DAY) (YEAR)        (DAY) (YEAR)      (DAY) (YEAR)  
    -------------  -------------------  ----------------
     204    24      NOT APPLICABLE FOR GENERIC PROFILE  
     ALTER COUNT  CONTROL COUNT  UPDATE COUNT  READ COUNT                          
    -----------  -------------  ------------  ----------                          
    NOT APPLICABLE FOR GENERIC PROFILE                                            
                                                                                  
       ID     ACCESS                                                              
    --------  -------                                                             
    NO ENTRIES IN STANDARD ACCESS LIST                                            
                                                                                  
       ID    ACCESS   CLASS                ENTITY NAME                            
    -------- ------- -------- ----------------------------------------------------
    NO ENTRIES IN CONDITIONAL ACCESS LIST                                         



    ------------------------------
    Peter Karel
    ------------------------------

    Original Message


  • 4.  RE: Access READ is granted although Dataset Profile states UACC(NONE), and no permits have been defined.

    Posted 4 days ago

    As you mentioned Rob Hoboken....

    There was a DATASET profile in the  Resource Class(Global)  which had a member for PLI.*/READ

    Thanks for the help.



    ------------------------------
    Peter Karel
    ------------------------------

    Original Message