A segunda fase da segurança de comando de spool JES, após especificar os destinos
permitidos, inclui as permissões necessárias para executar o comando
do operador. Esta autorização de execução é aplicada pelas verificações de segurança do z/OS e do JES.
Nota: Show JCL não é um comando do operador
como outros comandos do Monitor de Tarefas (Hold, Release, Cancel e Purge),
assim, as limitações abaixo não se aplicam a Show JCL,
já que não há nenhuma outra verificação de segurança.
O Monitor de Tarefas emite todos
os comandos do operador JES que você ou outro usuário pedir através de um console
MCS (EMCS) estendido, cujo nome é controlado com a diretiva CONSOLE_NAME,
conforme documentado em BLZJCNFG do Arquivo de Configuração do Monitor de Tarefas.
Com esta configuração,
você ou o administrador de segurança pode definir permissões de execução de comandos granulares
usando as classes OPERCMDS e CONSOLE.
- Para usar um console EMCS, é necessário ter, no mínimo, autoridade READ no
perfil MVS.MCSOPER.console-name na classe OPERCMDS.
Nota: Se você
não definir um perfil, o sistema concederá o pedido de autoridade.
- Para executar um comando do operador JES, é necessário ter autoridade suficiente para
acessar o perfil JES%.** na classe OPERCMDS.
Nota: Se você não
definir um perfil ou se a classe OPERCMDS não estiver ativa,
o JES falhará o comando.
- Você também pode solicitar que um usuário use o Monitor de Tarefas para executar
o comando do operador, especificando WHEN(CONSOLE(JMON))
na definição PERMIT. A classe CONSOLE deve estar ativa para essa
configuração funcionar.
Nota: Ela é o suficiente para que o CONSOLE esteja
ativo. Nenhum perfil é verificado para os consoles EMCS.
Seu software de segurança impede a suposição da identidade do servidor do Monitor de Tarefas ao criar um console JMON a partir de uma sessão TSO.
Mesmo se o console puder ser criado, o ponto de entrada será diferente:
Monitor de Tarefas versus TSO. Os comandos JES emitidos a partir deste console
falharão a verificação de segurança se a segurança estiver configurada conforme
documentado neste centro de informações e se você ou outro usuário não tiver autoridade
para os comandos JSE por outros meios.
Nota: Se o nome do console
já estiver em uso, o Monitor de Tarefas não poderá criar o console
quando for necessário executar um comando. Para evitar isto, você pode configurar a diretiva GEN_CONSOLE_NAME=ON
no arquivo de configuração do Monitor de Tarefas ou definir perfis de segurança
para impedir que usuários de TSO criem um console.
Os seguintes comandos
RACF de amostra impedem que todos os usuários não-autorizados
criem um console TSO ou SDSF:
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
Nota: Os usuários que não estão autorizados a executar estes comandos do operador
ainda podem enviar tarefas e ler a saída de tarefa por meio do Monitor de Tarefas se tiverem
autoridade suficiente para acessar perfis que podem proteger estes recursos,
como os das classes JESINPUT, JESJOBS
e JESSPOOL.
Consulte Security
Server RACF Security Administrator's
Guide (SA22-7683) para obter informações adicionais sobre proteção de comando do operador.