El supervisor del trabajo emite todos los mandatos del operador JES a través de una consola MCS (EMCS) ampliada, cuyo nombre está controlado por la directiva CONSOLE_NAME , como se documenta en Archivo de configuración del supervisor del trabajo BLZJCNFG.
Los siguientes mandatos RACF de muestra le proporcionan acceso condicional a los usuarios del supervisor del trabajo para un conjunto limitado de mandatos JES: Hold, Release, Cancel y Purge. Los usuarios sólo tienen permiso de ejecución si emiten los mandatos a través del supervisor del trabajo. Reemplace el marcador
#console con el nombre de consola real.
RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ)
DATA('RATIONAL TEAM CONCERT'))
RDEFINE OPERCMDS JES%.** UACC(NONE)
PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE)
WHEN(CONSOLE(JMON)) ID(*)
SETROPTS RACLIST(OPERCMDS) REFRESH
Notas: - El uso de la consola está permitidos si no está definido el perfil MVS.MCSOPER.#console .
- La clase CONSOLE debe estar activa para que WHEN(CONSOLE(JMON)) trabaje, pero no hay una comprobación de perfil real en la clase CONSOLE para las consolas EMCS.
- No reemplace JMON con el nombre de consola real en la cláusula WHEN(CONSOLE(JMON)) . La palabra clave JMON representa la aplicación de punto de entrada, no el nombre de la consola.
Atención: Si define mandatos JES con acceso universal NONE en el software de seguridad, tendrá impacto sobre otras aplicaciones y operaciones. Pruébelo antes de activarlo en un sistema de producción.
Tabla 1 y Tabla 2 muestra los mandatos del operador emitidos para JES2 y JES3, y los perfiles de seguridad discretos que puede utilizar para protegerlos.
Tabla 1. Mandatos del operador del supervisor del trabajo JES2| Acción |
Mandato |
Perfil OPERCMDS |
Acceso necesario |
| Hold |
$Hx(jobid)
con x = {J, S o T}
|
jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
|
UPDATE |
| Release |
$Ax(jobid)
con x = {J, S o T}
|
jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
|
UPDATE |
| Cancel |
$Cx(jobid)
con x = {J, S o T}
|
jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
|
UPDATE |
| Purge |
$Cx(jobid),P
con x = {J, S o T}
|
jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
|
UPDATE |
Tabla 2. Mandatos del operador del supervisor del trabajo JES3| Acción |
Mandato |
Perfil OPERCMDS |
Acceso necesario |
| Hold |
*F,J=jobid,H |
jesname.MODIFY.JOB |
UPDATE |
| Release |
*F,J=jobid,R |
jesname.MODIFY.JOB |
UPDATE |
| Cancel |
*F,J=jobid,C |
jesname.MODIFY.JOB |
UPDATE |
| Purge |
*F,J=jobid,C |
jesname.MODIFY.JOB |
UPDATE |
Notas: - Los mandatos de operador JES Hold, Release, Cancel y Purge , y el mandato Show JCL , pueden realizarse sólo contra archivos de cola que sean propiedad del ID de usuario, a menos que LIMIT_COMMANDS= con valor LIMITED o NOLIMIT esté especificado en el archivo de configuración del supervisor del trabajo. ConsulteAcciones contra trabajos: limitaciones de destino para obtener más información.
- Puede examinar cualquier archivo de cola, a menos que LIMIT_VIEW=USERID esté definido en el archivo de configuración del supervisor del trabajo. ConsulteAcceso a archivos spool para obtener más información.
- El usuario que no esté autorizado para estos mandatos de operados puede someter trabajos y leer la salida de trabajo a través del supervisor del trabajo, siempre que tengan autorización suficiente para perfiles que puedan proteger estos recursos, como los de las clases JESINPUT, JESJOBS y JESSPOOL .
El software de seguridad impide la asunción de la identidad del servidor del supervisor del trabajo creando una consola JMON a partir de una sesión TSO. Aunque se pueda crear la consola, el punto de entrada es diferente: supervisor del trabajo frente a TSO. Los mandatos JES emitidos desde esta consola fallarán la comprobación de seguridad si la seguridad se establece como documentada en este Information Center, y si no tiene autoridad para los mandatos JES a través de otros medios.