Die zweite Phase der Befehlssicherheit für den JES-Spool, die nach der
Angabe der zulässigen Ziele beginnt,
umfasst die Berechtigungen, die für die Ausführung des Bedienerbefehls erforderlich sind.
Diese Ausführungsberechtigung erfolgt durch die
z/OS- und JES-Sicherheitsprüfungen.
Anmerkung: Show JCL ist kein Bedienerbefehl wie die anderen Befehle der Jobüberwachung
(Hold, Release, Cancel, and Purge). Folglich gelten die unten aufgeführten Eischränkungen nicht für
Show JCL, da keine weitere Sicherheitsprüfung stattfindet.
Die Jobüberwachung
setzt alle JES-Bedienerbefehle, die Sie oder ein anderer Benutzer anfordern,
über eine EMCS-Konsole (Extended MCS) ab,
deren Name mit der Anweisung CONSOLE_NAME festgelegt wird. Informationen hierzu finden Sie in
Job-Monitor-Konfigurationsdatei BLZJCNFG.
Diese Konfiguration ermöglicht Ihnen oder dem Sicherheitsadministrator,
mit den Klassen OPERCMDS und
CONSOLE
differenzierte Befehlsausführungsberechtigungen zu definieren.
- Zur Verwendung einer
EMCS-Konsole müssen Sie mindestens die Leseberechtigung (READ) für das Profil
MVS.MCSOPER.console-name in der Klasse
OPERCMDS haben.
Anmerkung: Wenn Sie kein Profil definieren,
gewährt das System die Berechtigungsanforderung.
- Zur Ausführung eines JES-Bedienerbefehls benötigen Sie die erforderliche Berechtigung für den Zugriff auf das Profil
JES%.** in der Klasse OPERCMDS.
Anmerkung: Wenn Sie kein Profil definieren oder
wenn die Klasse OPERCMDS nicht aktiv ist, kann
JES den Befehl nicht ausführen.
- Sie können auch die Anforderung festlegen, dass ein Benutzer zur Ausführung des
Bedienerbefehls Job Monitor
verwenden muss, indem Sie in der Definition PERMIT
die Angabe WHEN(CONSOLE(JMON)) festlegen.
Die Klasse CONSOLE muss aktiv sein, damit diese Konfiguration funktioniert.
Anmerkung: Es genütgt, dass die Klasse CONSOLE aktiv ist.
Es werden keine Profile auf EMCS-Konsolen überprüft.
Ihre Sicherheitssoftware verhindert die Annahme der Identität des Job-Monitor-Servers,
indem sie eine JMON-Konsole in einer TSO-Sitzung erstellt.
Obwohl die Konsole erstellt werden kann, hat sie einen anderen Eingangspunkt:
Job Monitor gegenüber TSO. JES-Befehle, die von dieser Konsole abgesetzt werden,
scheitern an der Sicherheitsprüfung, wenn die Sicherheit wie in diesem Information Center dokumentiert
konfiguriert wurde, und wenn Sie oder ein anderer Benutzer nicht auf andere Weise
die erforderliche Berechtigung für JES-Befehle erlangt haben.
Anmerkung: Wenn der Konsolname bereits verwendet wird, kann Job Monitor
die Konsole nicht erstellen, wenn ein Befehl ausgeführt werden muss.
Um dies zu verhindern,
können Sie die Anweisung GEN_CONSOLE_NAME=ON in der Konfigurationsdatei der Jobüberwachung
definieren, oder Sie können Sicherheitsprofile definieren, um TSO-Benutzer daran zu hindern, eine Konsole zu erstellen.
Die folgenden
RACF-Beispielbefehle verhindern, dass
nicht berechtigte Benutzer eine TSO- oder
SDSF-Konsole erstellen:
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
Anmerkung: Benutzer, die für diese Bedienerbefehle nicht berechtigt sind, können dennoch Jobs über Job Monitor übergeben
und die Jobausgabe über Job Monitor lesen, wenn sie die erforderliche Berechtigung für die
Profile besitzen, durch die diese Ressourcen eventuell geschützt werden, wie diejenigen in den Klassen JESINPUT, JESJOBS und JESSPOOL.
Weitere Informationen zum Schutz von Bedienerbefehlen finden Sie in der Veröffentlichung
Security Server RACF Security Administrator's Guide (IBM Form SA22-7683).