在指定允許的目標之後,JES 排存指令安全的第二個階段,包含您執行操作員指令所需的許可權。這項執行權限由 z/OS® 與 JES 安全檢查來施行。
註: 與其他的「工作監視器」指令(保留、釋放、取消和清除)不同,顯示 JCL 並非操作員指令,因此以下的限制不適用於顯示 JCL,因為不會進行進一步的安全檢查。
「工作監視器」會發出所有 JES 操作員指令,這是您或另一位使用者透過延伸 MCS (EMCS) 主控台所要求的,且該主控台的名稱是以 CONSOLE_NAME 指引來控制,如 「工作監視器」配置檔 BLZJCNFG中所記載。
利用這項設定,您或安全管理者可以使用
OPERCMDS 與 CONSOLE 類別,來定義精細的指令執行許可權。
您的安全軟體會從 TSO 階段作業建立一個 JMON 主控台,以防出現假冒「工作監視器」伺服器身分的情況。即使可以建立主控台,進入點並不一樣:「工作監視器」就與 TSO 不同。如果您按照本資訊中心的記載來設定安全,而且您或另一位使用者透過其他方法仍無權存取 JES 指令,則從這個主控台所發出的 JES 指令將無法通過安全檢查。
註: 如果主控台名稱已在使用中,當必須執行指令時,「工作監視器」就無法建立主控台。如果要避免此情況,您可以在「工作監視器」配置檔中設定 GEN_CONSOLE_NAME=ON 指引,或者可以定義安全設定檔,讓 TSO 使用者無法建立主控台。
以下的範例 RACF® 指令,會阻止所有未獲授權的使用者建立 TSO 或 SDSF 主控台:
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
註: 未獲授權發出這些操作員指令的使用者,如果有足夠權限來存取可能保護這些資源的設定檔,例如 JESINPUT、JESJOBS 與 JESSPOOL 類別中的那些設定檔,仍然可以透過「工作監視器」來提交工作和讀取工作輸出。
如需操作員指令保護的相關資訊,請參閱 Security Server RACF Security Administrator's Guide (SA22-7683)。