Aktionen für Jobs: Ausführungseinschränkungen

Die zweite Phase der Befehlssicherheit für den JES-Spool, die nach der Angabe der zulässigen Ziele beginnt, umfasst die Berechtigungen, die für die Ausführung des Bedienerbefehls erforderlich sind. Diese Ausführungsberechtigung erfolgt durch die z/OS- und JES-Sicherheitsprüfungen.
Anmerkung: Show JCL ist kein Bedienerbefehl wie die anderen Befehle der Jobüberwachung (Hold, Release, Cancel, and Purge). Folglich gelten die unten aufgeführten Eischränkungen nicht für Show JCL, da keine weitere Sicherheitsprüfung stattfindet.

Die Jobüberwachung setzt alle JES-Bedienerbefehle, die Sie oder ein anderer Benutzer anfordern, über eine EMCS-Konsole (Extended MCS) ab, deren Name mit der Anweisung CONSOLE_NAME festgelegt wird. Informationen hierzu finden Sie in Job-Monitor-Konfigurationsdatei BLZJCNFG.

Diese Konfiguration ermöglicht Ihnen oder dem Sicherheitsadministrator, mit den Klassen OPERCMDS und CONSOLE differenzierte Befehlsausführungsberechtigungen zu definieren.

Ihre Sicherheitssoftware verhindert die Annahme der Identität des Job-Monitor-Servers, indem sie eine JMON-Konsole in einer TSO-Sitzung erstellt. Obwohl die Konsole erstellt werden kann, hat sie einen anderen Eingangspunkt: Job Monitor gegenüber TSO. JES-Befehle, die von dieser Konsole abgesetzt werden, scheitern an der Sicherheitsprüfung, wenn die Sicherheit wie in diesem Information Center dokumentiert konfiguriert wurde, und wenn Sie oder ein anderer Benutzer nicht auf andere Weise die erforderliche Berechtigung für JES-Befehle erlangt haben.

Anmerkung: Wenn der Konsolname bereits verwendet wird, kann Job Monitor die Konsole nicht erstellen, wenn ein Befehl ausgeführt werden muss. Um dies zu verhindern, können Sie die Anweisung GEN_CONSOLE_NAME=ON in der Konfigurationsdatei der Jobüberwachung definieren, oder Sie können Sicherheitsprofile definieren, um TSO-Benutzer daran zu hindern, eine Konsole zu erstellen.

Die folgenden RACF-Beispielbefehle verhindern, dass nicht berechtigte Benutzer eine TSO- oder SDSF-Konsole erstellen:

Anmerkung: Benutzer, die für diese Bedienerbefehle nicht berechtigt sind, können dennoch Jobs über Job Monitor übergeben und die Jobausgabe über Job Monitor lesen, wenn sie die erforderliche Berechtigung für die Profile besitzen, durch die diese Ressourcen eventuell geschützt werden, wie diejenigen in den Klassen JESINPUT, JESJOBS und JESSPOOL.

Weitere Informationen zum Schutz von Bedienerbefehlen finden Sie in der Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683).


Feedback

Waren die Informationen hilfreich? Sie können auf Jazz.net (Registrierung erforderlich) Feedback geben: Comment in the forums oder submit a bug