Ações em Relação às Tarefas: Limitações de Execução

A segunda fase da segurança de comando de spool JES, após especificar os destinos permitidos, inclui as permissões necessárias para executar o comando do operador. Esta autorização de execução é aplicada pelas verificações de segurança do z/OS e do JES.
Nota: Show JCL não é um comando do operador como outros comandos do Monitor de Tarefas (Hold, Release, Cancel e Purge), assim, as limitações abaixo não se aplicam a Show JCL, já que não há nenhuma outra verificação de segurança.

O Monitor de Tarefas emite todos os comandos do operador JES que você ou outro usuário pedir através de um console MCS (EMCS) estendido, cujo nome é controlado com a diretiva CONSOLE_NAME, conforme documentado em BLZJCNFG do Arquivo de Configuração do Monitor de Tarefas.

Com esta configuração, você ou o administrador de segurança pode definir permissões de execução de comandos granulares usando as classes OPERCMDS e CONSOLE.

Seu software de segurança impede a suposição da identidade do servidor do Monitor de Tarefas ao criar um console JMON a partir de uma sessão TSO. Mesmo se o console puder ser criado, o ponto de entrada será diferente: Monitor de Tarefas versus TSO. Os comandos JES emitidos a partir deste console falharão a verificação de segurança se a segurança estiver configurada conforme documentado neste centro de informações e se você ou outro usuário não tiver autoridade para os comandos JSE por outros meios.

Nota: Se o nome do console já estiver em uso, o Monitor de Tarefas não poderá criar o console quando for necessário executar um comando. Para evitar isto, você pode configurar a diretiva GEN_CONSOLE_NAME=ON no arquivo de configuração do Monitor de Tarefas ou definir perfis de segurança para impedir que usuários de TSO criem um console.

Os seguintes comandos RACF de amostra impedem que todos os usuários não-autorizados criem um console TSO ou SDSF:

Nota: Os usuários que não estão autorizados a executar estes comandos do operador ainda podem enviar tarefas e ler a saída de tarefa por meio do Monitor de Tarefas se tiverem autoridade suficiente para acessar perfis que podem proteger estes recursos, como os das classes JESINPUT, JESJOBS e JESSPOOL.

Consulte Security Server RACF Security Administrator's Guide (SA22-7683) para obter informações adicionais sobre proteção de comando do operador.