ジョブに対するアクション: 実行制限

許可対象のターゲットを指定した後の、JES スプール・コマンド・セキュリティーの 2 つ目のフェーズには、オペレーター・コマンドを実行するのに必要な許可が含まれます。この実行許可は、z/OS® および JES のセキュリティー検査によって適用されます。
注: Show JCL は、他のジョブ・モニター・コマンド (Hold、Release、Cancel、および Purge) のようなオペレーター・コマンドではないため、詳細なセキュリティー検査はなく、以下の制限は Show JCL には適用されません。

ジョブ・モニターは、ユーザーが拡張 MCS (EMCS) コンソールを介して要求するすべての JES オペレーター・コマンドを実行します。このコンソールの名前は、『ジョブ・モニター構成ファイル BLZJCNFG』で説明されている CONSOLE_NAME ディレクティブで制御されます。

このセットアップにより、管理者またはセキュリティー管理者は、OPERCMDS クラスおよび CONSOLE クラスを使用して、細分度の高いコマンド実行許可を定義できるようになります。

セキュリティー・ソフトウェアは、TSO セッションから JMON コンソールを作成することによって、ジョブ・モニター・サーバーの ID を推測できないようにしています。コンソールを作成できても、ジョブ・モニターと TSO とではエントリー・ポイントが異なります。このコンソールから実行する JES コマンドは、セキュリティーがこのインフォメーション・センターで説明されているようにセットアップされているときに、そのコマンドの実行者または別のユーザーがその他の手段で JES コマンドに対する権限を所有していなければ、セキュリティー検査に不合格となります。

注: コンソール名が既に使用中であると、ジョブ・モニターは、コマンドを実行する必要があるときにコンソールを作成できません。この問題を防ぐために、ジョブ・モニター構成ファイルで GEN_CONSOLE_NAME=ON ディレクティブを設定するか、または TSO ユーザーによるコンソールの作成を中止するようにセキュリティー・プロファイルを定義することができます。

次のサンプル RACF® コマンドを実行すると、許可されていないすべてのユーザーは TSO または SDSF コンソールを作成できなくなります。

注: これらのオペレーター・コマンドを作成することが許可されていないユーザーでも、JESINPUT クラス、JESJOBS クラス、JESSPOOL クラス内のプロファイルのような、これらのリソースを保護できるプロファイルにアクセスするのに十分な権限を所有していれば、ジョブ・モニターを使用してジョブを実行依頼し、ジョブ出力を表示することができます。

オペレーター・コマンドの保護について詳しくは、「z/OS SecureWay Security Server (RACF) セキュリティー管理者のガイド」(SA88-8613) を参照してください。


フィードバック

この情報は役に立ちましたか。Jazz.net (要登録) のフォーラム内のコメントまたはバグ報告からフィードバックを提出することができます。