JES コマンド・セキュリティーの定義

ジョブ・モニターは、すべての JES オペレーター・コマンドを、名前が CONSOLE_NAME ディレクティブ (『ジョブ・モニター構成ファイル BLZJCNFG』を参照) で制御される拡張 MCS (EMCS) コンソールを介して発行します。

以下の RACF® コマンド例では、Job Monitor のユーザーが、JES の限られたコマンド・セット (Hold、Release、Cancel、および Purge) に条件付きでアクセスできるようにします。ジョブ・モニターを介してコマンドを発行する場合、ユーザーには実行権限しかありません。#console プレースホルダーは実際のコンソール名に置き換えてください。
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
注:
  1. MVS.MCSOPER.#console プロファイルが定義されていない場合は、コンソールの使用が許可されます。
  2. CONSOLE クラスは、作業する WHEN(CONSOLE(JMON)) でアクティブである必要がありますが、EMCS コンソールの CONSOLE クラスでは実際のプロファイル検査はありません。
  3. JMON を、WHEN(CONSOLE(JMON)) 文節内の実際のコンソール名に置き換えないでください。JMON キーワードは、コンソール名ではなく、エントリー・ポイントのアプリケーションを表しています。
重要: ご使用のセキュリティー・ソフトウェアに、誰でもアクセスできるように NONE を指定して JES コマンドを定義すると、他のアプリケーションおよび操作に影響を与える可能性があります。実動システムでアクティブにする前にこれをテストしてください。

表 1 および表 2 には、JES2 と JES3 で発行されるオペレーター・コマンド、およびそれらの保護に使用できる個別のセキュリティー・プロファイルが示されています。

表 1. JES2 ジョブ・モニターのオペレーター・コマンド
アクション コマンド OPERCMDS プロファイル 必須アクセス権限
Hold

$Hx(jobid)
x の場合 = {J、S、または T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
Release

$Ax(jobid)
x の場合 = {J、S、または T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
Cancel

$Cx(jobid)
x の場合 = {J、S、または T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Purge

$Cx(jobid),P
x の場合 = {J、S、または T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
表 2. JES3 ジョブ・モニター のオペレーター・コマンド
アクション コマンド OPERCMDS プロファイル 必須アクセス権限
保持 *F,J=jobid,H jesname.MODIFY.JOB UPDATE
リリース *F,J=jobid,R jesname.MODIFY.JOB UPDATE
キャンセル *F,J=jobid,C jesname.MODIFY.JOB UPDATE
パージ *F,J=jobid,C jesname.MODIFY.JOB UPDATE
注:
  1. HoldReleaseCancelPurge の各 JES オペレーター・コマンド、および Show JCL コマンドは、ジョブ・モニター構成ファイルに値が LIMITED または NOLIMITLIMIT_COMMANDS= が指定されていない限り、ユーザー ID が所有するスプール・ファイルに対してのみ実行することができます。詳しくは、『ジョブに対するアクション: ターゲット制限』を参照してください。
  2. ジョブ・モニター構成ファイルに LIMIT_VIEW=USERID が定義されていない限り、スプール・ファイルを参照することができます。詳しくは、『スプール・ファイルへのアクセス』を参照してください。
  3. これらのオペレーター・コマンドを作成することが許可されていないユーザーでも、JESINPUT クラス、JESJOBS クラス、JESSPOOL クラス内のプロファイルのような、これらのリソースを保護できるプロファイルへの十分な権限を所有していれば、ジョブ・モニターを使用してジョブを実行依頼し、ジョブ出力を表示することができます。

セキュリティー・ソフトウェアは、TSO セッションから JMON コンソールを作成することによって、ジョブ・モニター・サーバーの ID を推測できないようにしています。コンソールを作成できても、ジョブ・モニターと TSO とではエントリー・ポイントが異なります。セキュリティーがこのインフォメーション・センターに記載されているようにセットアップされている場合、および他の方法で JES コマンドに対する権限が付与されていない場合は、このコンソールから発行された JES コマンドはセキュリティー検査に失敗します。


フィードバック

この情報は役に立ちましたか。Jazz.net (要登録) のフォーラム内のコメントまたはバグ報告からフィードバックを提出することができます。