Acciones contra trabajos: limitaciones de ejecución

La segunda fase de la seguridad de mandatos de cola, después de especificar los objetivos permitidos, incluye los permisos que necesita para ejecutar el mandato de operador. Esta autorización de ejecución se respeta por parte de las comprobaciones de seguridad de z/OS y JES.
Nota: Mostrar JCL no es un mandato de operador como los demás mandatos del supervisor del trabajo (Hold, Release, Cancel y Purge), así que las limitación que vienen a continuación no se aplican a Mostrar JCL, ya que no hay más comprobaciones de seguridad.

El supervisor del trabajo emite todos los mandatos del operador JES que se solicitaron a través de una consola MCS (EMCS) ampliada, cuyo nombre está controlado por la directiva CONSOLE_NAME , como se documenta en Archivo de configuración del supervisor del trabajo BLZJCNFG.

Con esta configuración, el administrador de seguridad puede definir los permisos de ejecución del mandato granular utilizando las clases OPERCMDS y CONSOLE .

El software de seguridad impide la asunción de la identidad del servidor del supervisor del trabajo creando una consola JMON a partir de una sesión TSO. Aunque se pueda crear la consola, el punto de entrada es diferente: supervisor del trabajo frente a TSO. Los mandatos JES emitidos desde esta consola fallarán la comprobación de seguridad si la seguridad se establece como documentada en este Information Center, y si no tiene autoridad para los mandatos JES a través de otros medios.

Nota: Si ya se está utilizando el nombre de la consola, el supervisor del trabajo no puede crear la consola cuando se tiene que ejecutar un mandato. Para impedir esto, puede configurar la directiva GEN_CONSOLE_NAME=ON en el archivo de configuración del supervisor del trabajo, o puede definir los perfiles de seguridad para detener a los usuario TSO de crear una consola.

Los siguientes mandatos RACF de muestra impiden que los usuarios no autorizados cree una consola TSO o SDSF:

Nota: Usuarios que no están autorizados a hacer que estos mandatos de operadores puedan someter trabajos y leer la salida de trabajo a través del supervisor del trabajo, siempre que tengan autorización suficiente para acceder a perfiles que puedan proteger estos recursos, como los de las clases JESINPUT, JESJOBS y JESSPOOL .

Consulte Security Server RACF Security Administrator's Guide (SA22-7683) para obtener más información acerca de la protección de mandatos de operador.