Job Monitor setzt alle JES-Bedienerbefehle über eine EMCS-Konsole (Extended MCS) ab,
deren Name mit der Anweisung CONSOLE_NAME festgelegt wird. Informationen hierzu finden Sie in
Job-Monitor-Konfigurationsdatei BLZJCNFG.
Die folgenden RACF-Befehle
legen für die Job-Monitor-Benutzer bedingten Zugriff auf eine begrenzte Gruppe von JES-Befehlen fest:
Hold, Release, Cancel und Purge. Die Benutzer haben nur dann die Ausführungsberechtigung, wenn Sie die Befehle über
Job Monitor absetzen. Ersetzen Sie den Platzhalter
#console durch den tatsächlichen Konsolnamen.
RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ)
DATA('RATIONAL TEAM CONCERT'))
RDEFINE OPERCMDS JES%.** UACC(NONE)
PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE)
WHEN(CONSOLE(JMON)) ID(*)
SETROPTS RACLIST(OPERCMDS) REFRESH
Anmerkungen: - Die Verwendung der Konsole ist zulässig, wenn
kein
Profil des Typs MVS.MCSOPER.#console definiert ist.
- Die Klasse
CONSOLE muss aktiv sein, damit WHEN(CONSOLE(JMON)) möglich ist,
aber es findet keine Profilprüfung in der Klasse
CONSOLE für EMCS-Konsolen statt.
- JMON darf in der Klausel
WHEN(CONSOLE(JMON)) darf nicht durch den tatsächlichen Konsolnamen ersetzt werden.
Das Schlüsselwort
JMON ist eine
Eingangsanwendung, nicht der Konsolname.
Achtung: Wenn Sie JES-Befehle mit dem
allgemeinen Zugriff NONE in Ihrer Sicherheitssoftware definieren, kann dies Auswirkungen auf andere Anwendungen und Operationen haben.
Testen Sie dies, bevor Sie sie in einem Produktionssystem einsetzen.
In Tabelle 1 und
Tabelle 2 sind die Bedienerbefehle aufgeführt, die
für JES2 und JES3 abgesetzt werden, sowie die unterschiedlichen Sicherheitsprofile, die zu ihrem Schutz
verwendet werden können.
Tabelle 1. Job-Monitor-Bedienerbefehle für JES2| Aktion |
Befehl |
OPERCMDS-Profil |
Erforderlicher Zugriff |
| Hold |
$Hx(jobid)
wobei x = {J, S oder T}
|
jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
|
UPDATE |
| Release |
$Ax(jobid)
wobei x = {J, S oder T}
|
jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
|
UPDATE |
| Cancel |
$Cx(jobid)
wobei x = {J, S oder T}
|
jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
|
UPDATE |
| Purge |
$Cx(jobid),P
wobei x = {J, S oder T}
|
jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
|
UPDATE |
Tabelle 2. Job-Monitor-Bedienerbefehle für JES3| Aktion |
Befehl |
OPERCMDS-Profil |
Erforderlicher Zugriff |
| Hold |
*F,J=jobid,H |
jesname.MODIFY.JOB |
UPDATE |
| Release |
*F,J=jobid,R |
jesname.MODIFY.JOB |
UPDATE |
| Cancel |
*F,J=jobid,C |
jesname.MODIFY.JOB |
UPDATE |
| Purge |
*F,J=jobid,C |
jesname.MODIFY.JOB |
UPDATE |
Anmerkungen: - Die JES-Bedienerbefehle
Hold, Release, Cancel und
Purge und der Befehl
Show
JCL können für Spooldateien ausgeführt werden, deren Eigner der Benutzer ist,
sofern in der Job-Monitor-Konfigurationsdatei nicht die Einstellung
LIMIT_COMMANDS= mit dem Wert
LIMITED oder NOLIMIT definiert ist.
Weitere Informationen hierzu finden Sie in
Aktionen für Jobs: Einschränkungen.
- Sie können jede Spooldatei anzeigen,
sofern nicht in der Job-Monitor-Konfigurationsdatei die Einstellung
LIMIT_VIEW=USERID definiert ist.
Weitere Informationen hierzu finden Sie in
Zugriff auf Spooldateien.
- Benutzer, die für diese Bedienerbefehle nicht berechtigt sind, können dennoch Jobs über Job Monitor übergeben
und die Jobausgabe über Job Monitor lesen, wenn sie die erforderliche Berechtigung für die
Profile besitzen, durch die diese Ressourcen eventuell geschützt werden, wie diejenigen in den Klassen
JESINPUT, JESJOBS und JESSPOOL.
Ihre Sicherheitssoftware verhindert die Annahme der Identität des Job-Monitor-Servers,
indem sie eine JMON-Konsole in einer TSO-Sitzung erstellt.
Obwohl die Konsole erstellt werden kann, hat sie einen anderen Eingangspunkt:
Job Monitor gegenüber TSO. JES-Befehle, die von dieser Konsole abgesetzt werden,
scheitern an der Sicherheitsprüfung, wenn die Sicherheit wie in diesem Information Center dokumentiert
konfiguriert wurde, und wenn Sie nicht auf andere Weise
die erforderliche Berechtigung für JES-Befehle erlangt haben.