Une fois les cibles autorisées définies, la deuxième phase de la sécurité des commandes du spoule JES
consiste à définir les autorisations dont vous avez besoin pour exécuter les commandes de type opérateur. Ces autorisations sont accordées par les contrôles des droits d'accès z/OS et JES.
Remarque : Show JCL n'est pas une commande de type opérateur
comme les autres commandes de Job Monitor (Hold, Release, Cancel et Purge).
Aucun autre contrôle des droits d'accès n'étant effectué, les limites décrites ci-dessous ne concernent donc pas la commande Show JCL.
Job Monitor émet
toutes les commandes JES de type opérateur soumises par vous ou un autre utilisateur via la console
EMCS (MCS étendu), dont le nom est contrôlé par la directive CONSOLE_NAME,
comme décrit dans Fichier de configuration BLZJCNFG de Job Monitor.
Cette configuration
vous permet ou permet à l'administrateur de la sécurité de définir des droits granulaires pour l'exécution des commandes à l'aide des classes OPERCMDS et CONSOLE.
- Pour utiliser une console EMCS, vous devez au minimum disposer des droits de lecture sur le profil
MVS.MCSOPER.nom_console de la classe OPERCMDS.
Remarque : Si vous
ne définissez aucun profil, le système accorde la demande des droits d'accès.
- Pour exécuter une commande JES de type opérateur, vous devez disposer des droits nécessaires pour accéder
au profil JES%.** de la classe OPERCMDS.
Remarque : Si vous
ne définissez aucun profil ou si la classe OPERCMDS n'est pas
active, JES fait échouer la commande.
- Vous pouvez également exiger que l'utilisation de Job Monitor soit obligatoire pour l'exécution
des commandes de type opérateur. Pour cela, indiquez WHEN(CONSOLE(JMON)) dans la définition PERMIT. La classe CONSOLE doit être active pour que cette commande fonctionne correctement.
Remarque : Le fait que la classe CONSOLE soit active
est suffisant. Aucun profil n'est vérifié pour les consoles EMCS.
Votre logiciel de sécurité empêche un éventuel utilisateur d'usurper l'identité du serveur Job Monitor en créant une console à partir d'une session TSO.
Même s'il est possible de créer la console, le point d'entrée est différent :
Job Monitor au lieu de TSO. Les commandes JES émises à partir de cette console
échoueront au contrôle des droits d'accès si votre sécurité est définie conformément aux instructions
de ce centre de documentation et si vous n'avez pas (ou si un autre utilisateur n'a pas) les droits d'exécuter des
commandes JES par d'autres moyens.
Remarque : Si le nom de la console est déjà utilisé, Job Monitor ne parvient pas à créer la console lorsqu'une commande doit être exécutée. Pour éviter que cela se produise, vous pouvez définir la directive GEN_CONSOLE_NAME=ON dans le fichier de configuration de Job Monitor ou définir des profils de sécurité destinés à
empêcher les utilisateurs TSO de créer une console.
Les exemples de commandes RACF suivantes empêchent tous les utilisateurs non autorisés de créer une console TSO ou SDSF :
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
Remarque : Les utilisateurs non autorisés à exécuter ces commandes de type opérateur peuvent soumettre des travaux
et lire les fichiers journaux résultants dans Job Monitor, à condition
qu'ils disposent des droits nécessaires pour accéder aux profils pouvant protéger
ces ressources, comme ceux des classes JESINPUT, JESJOBS et JESSPOOL.
Pour plus d'informations sur la protection des commandes de type opérateur, voir le manuel Security
Server RACF Security Administrator's
Guide (SA22-7683).