許可対象のターゲットを指定した後の、JES スプール・コマンド・セキュリティーの 2 つ目のフェーズには、オペレーター・コマンドを実行するのに必要な許可が含まれます。この実行許可は、z/OS® および JES のセキュリティー検査によって適用されます。
注: Show JCL は、他のジョブ・モニター・コマンド (Hold、Release、Cancel、および Purge) のようなオペレーター・コマンドではないため、詳細なセキュリティー検査はなく、以下の制限は Show JCL には適用されません。
ジョブ・モニターは、ユーザーが拡張 MCS (EMCS) コンソールを介して要求するすべての JES オペレーター・コマンドを実行します。このコンソールの名前は、『ジョブ・モニター構成ファイル BLZJCNFG』で説明されている CONSOLE_NAME ディレクティブで制御されます。
このセットアップにより、管理者またはセキュリティー管理者は、OPERCMDS クラスおよび CONSOLE クラスを使用して、細分度の高いコマンド実行許可を定義できるようになります。
- EMCS コンソールを使用するには、少なくとも、OPERCMDS クラス内の MVS.MCSOPER.console-name プロファイルに対する READ 権限が必要です。
注: プロファイルを定義していない場合、システムは権限要求を認めます。
- JES オペレーター・コマンドを実行するには、OPERCMDS クラス内の JES%.** プロファイルにアクセスするための十分な権限が必要です。
注: プロファイルを定義していない場合、または OPERCMDS クラスがアクティブではない場合、JES はコマンドの実行に失敗します。
- また、ユーザーがジョブ・モニターを使用して operator コマンドを実行するには、PERMIT 定義で WHEN(CONSOLE(JMON)) を指定しなければならないようにすることもできます。このセットアップを機能させるには、CONSOLE クラスがアクティブである必要があります。
注: CONSOLE がアクティブであれば十分です。EMCS コンソールに対するプロファイルの検査はありません。
セキュリティー・ソフトウェアは、TSO セッションから JMON コンソールを作成することによって、ジョブ・モニター・サーバーの ID を推測できないようにしています。コンソールを作成できても、ジョブ・モニターと TSO とではエントリー・ポイントが異なります。このコンソールから実行する JES コマンドは、セキュリティーがこのインフォメーション・センターで説明されているようにセットアップされているときに、そのコマンドの実行者または別のユーザーがその他の手段で JES コマンドに対する権限を所有していなければ、セキュリティー検査に不合格となります。
注: コンソール名が既に使用中であると、ジョブ・モニターは、コマンドを実行する必要があるときにコンソールを作成できません。この問題を防ぐために、ジョブ・モニター構成ファイルで GEN_CONSOLE_NAME=ON ディレクティブを設定するか、または TSO ユーザーによるコンソールの作成を中止するようにセキュリティー・プロファイルを定義することができます。
次のサンプル RACF® コマンドを実行すると、許可されていないすべてのユーザーは TSO または SDSF コンソールを作成できなくなります。
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
注: これらのオペレーター・コマンドを作成することが許可されていないユーザーでも、JESINPUT クラス、JESJOBS クラス、JESSPOOL クラス内のプロファイルのような、これらのリソースを保護できるプロファイルにアクセスするのに十分な権限を所有していれば、ジョブ・モニターを使用してジョブを実行依頼し、ジョブ出力を表示することができます。
オペレーター・コマンドの保護について詳しくは、「z/OS SecureWay Security Server (RACF) セキュリティー管理者のガイド」(SA88-8613) を参照してください。