[prev in list] [next in list] [prev in thread] [next in thread] 

List:       racf-l
Subject:    Re: DB2 security under RACF question
From:       Sandra Carroll <smgvbest () GMAIL ! COM>
Date:       2019-08-15 15:42:57
Message-ID: 169a01d55380$1d50ede0$57f2c9a0$ () gmail ! com
[Download RAW message or body]

We've been looking at the same conversion and did the investigation work
into it and what we found on this with Db2 V11 was Db2 itself handled =
this
without issue (ie nothing was cached) after RACF was updated. However, =
we
found that Db2 connect did cache for an existing query.  For a different
query it honored the change to RACF.  A disconnect and reconnect via Db2
connect did resolve this.
Simple example
Select * from db2.table;   gets cached
Change racf
Select * from db2.table;   we still get this query response
Select id from db2.table;   gets denied
Select * from db2.table;   back again, get response
Terminate
Connect
Select * from db2.table;  now it fails

Sandra Carroll

-----Original Message-----
From: RACF Discussion List <RACF-L@LISTSERV.UGA.EDU> On Behalf Of =
Mautalen
Juan Guillermo
Sent: Thursday, August 15, 2019 10:42 AM
To: RACF-L@LISTSERV.UGA.EDU
Subject: DB2 security under RACF question

Hi:

We are evaluating migration from DB2 native security to RACF.

One problem that is often mentioned is the fact that DB2 caches some
successful accesses and removing that authorization from RACF is not =
enough
for preventing the userid to continue accessing the object unless the =
cache
entry is cleared (this can be done by a GRANT/REVOKE sequence, but does =
not
seem an acceptable solution, IMO).

It seems that current DB2 versions have addressed the issue with the
parameter AUTHEXIT_CACHEREFRESH that, when set to ALL, will invalidate =
any
cache entry affected by a RACF change (DB2 listens to some appropriate =
RACF
signals and act accordingly invalidating the cache entry).

Question:
Do you expect any (noticeable) negative DB2 performance impact by =
setting
AUTHEXIT_CACHEREFRESH to ALL?

Thanks in advance for your help,

Juan G. Mautalen

El contenido del presente mensaje y sus anexos es privado, confidencial =
y de
exclusivo uso para el destinatario referenciado. Puede contener =
informacion
privilegiada o amparada por el secreto profesional o por disposiciones
legales y/o reglamentarias vigentes. Cualquier modificacion, =
retransmision,
diseminacion o divulgacion de su informacion se encuentra expresamente
prohibida y su uso inadecuado puede derivar en responsabilidad civil =
para el
usuario o configurar los delitos previstos en los articulos 153 a 157 =
del
Codigo Penal. Si no fuere uno de los destinatarios consignados o lo =
hubiere
recibido por error, Ud. NO ESTA AUTORIZADO a utilizar total o =
parcialmente,
copiar, enviar, revelar, imprimir, divulgar de manera alguna el =
contenido
del presente mensaje o el de sus adjuntos. En consecuencia, tenga a bien
comunicarselo inmediatamente al emisor y ELIMINARLO. ANSES no garantiza =
la
seguridad, integridad, exactitud u oportunidad de lo transmitido por =
este
medio ni se responsabiliza de posibles perjuicios derivados de la =
captura,
incorporaciones de virus o cualquier otra manipulaci=F3n efectuada por
terceros. Asimismo, las opiniones expresadas en este mensaje y en los
archivos adjuntos son propias del remitente y no representan la opinion =
o
politicas de ANSES, salvo que se diga expresamente y el remitente se
encuentre  autorizado para ello. Por ende, ANSES no asumira -en ningun =
caso-
responsabilidad alguna frente al destinatario y/o terceros en virtud de
dichas comunicaciones y ademas, no sera responsable frente a los =
usuarios
por la correspondencia o los mensajes de correo electronico enviados por
terceros u otras personas distintas a ANSES, ya sea que estos hubieren o =
no
solicitado el envio de tales mensajes. ANSES se reserva el derecho de
bloquear el acceso o remover en forma parcial o total todo mensaje y sus
adjuntos que a su criterio pudiere resultar abusivo, difamatorio, =
obsceno,
fraudulento, artificioso, enga=F1oso, ofensivo o violatorio a los =
terminos de
la presente.  PD: Tildes omitidas intencionalmente.
[prev in list] [next in list] [prev in thread] [next in thread]