JES-Befehlssicherheit definieren

Job Monitor setzt alle JES-Bedienerbefehle über eine EMCS-Konsole (Extended MCS) ab, deren Name mit der Anweisung CONSOLE_NAME festgelegt wird. Informationen hierzu finden Sie in Job-Monitor-Konfigurationsdatei BLZJCNFG.

Die folgenden RACF-Befehle legen für die Job-Monitor-Benutzer bedingten Zugriff auf eine begrenzte Gruppe von JES-Befehlen fest: Hold, Release, Cancel und Purge. Die Benutzer haben nur dann die Ausführungsberechtigung, wenn Sie die Befehle über Job Monitor absetzen. Ersetzen Sie den Platzhalter #console durch den tatsächlichen Konsolnamen.
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
Anmerkungen:
  1. Die Verwendung der Konsole ist zulässig, wenn kein Profil des Typs MVS.MCSOPER.#console definiert ist.
  2. Die Klasse CONSOLE muss aktiv sein, damit WHEN(CONSOLE(JMON)) möglich ist, aber es findet keine Profilprüfung in der Klasse CONSOLE für EMCS-Konsolen statt.
  3. JMON darf in der Klausel WHEN(CONSOLE(JMON)) darf nicht durch den tatsächlichen Konsolnamen ersetzt werden. Das Schlüsselwort JMON ist eine Eingangsanwendung, nicht der Konsolname.
Achtung: Wenn Sie JES-Befehle mit dem allgemeinen Zugriff NONE in Ihrer Sicherheitssoftware definieren, kann dies Auswirkungen auf andere Anwendungen und Operationen haben. Testen Sie dies, bevor Sie sie in einem Produktionssystem einsetzen.

In Tabelle 1 und Tabelle 2 sind die Bedienerbefehle aufgeführt, die für JES2 und JES3 abgesetzt werden, sowie die unterschiedlichen Sicherheitsprofile, die zu ihrem Schutz verwendet werden können.

Tabelle 1. Job-Monitor-Bedienerbefehle für JES2
Aktion Befehl OPERCMDS-Profil Erforderlicher Zugriff
Hold

$Hx(jobid)
wobei x = {J, S oder T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
Release

$Ax(jobid)
wobei x = {J, S oder T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
Cancel

$Cx(jobid)
wobei x = {J, S oder T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Purge

$Cx(jobid),P
wobei x = {J, S oder T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Tabelle 2. Job-Monitor-Bedienerbefehle für JES3
Aktion Befehl OPERCMDS-Profil Erforderlicher Zugriff
Hold *F,J=jobid,H jesname.MODIFY.JOB UPDATE
Release *F,J=jobid,R jesname.MODIFY.JOB UPDATE
Cancel *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Purge *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Anmerkungen:
  1. Die JES-Bedienerbefehle Hold, Release, Cancel und Purge und der Befehl Show JCL können für Spooldateien ausgeführt werden, deren Eigner der Benutzer ist, sofern in der Job-Monitor-Konfigurationsdatei nicht die Einstellung LIMIT_COMMANDS= mit dem Wert LIMITED oder NOLIMIT definiert ist. Weitere Informationen hierzu finden Sie in Aktionen für Jobs: Einschränkungen.
  2. Sie können jede Spooldatei anzeigen, sofern nicht in der Job-Monitor-Konfigurationsdatei die Einstellung LIMIT_VIEW=USERID definiert ist. Weitere Informationen hierzu finden Sie in Zugriff auf Spooldateien.
  3. Benutzer, die für diese Bedienerbefehle nicht berechtigt sind, können dennoch Jobs über Job Monitor übergeben und die Jobausgabe über Job Monitor lesen, wenn sie die erforderliche Berechtigung für die Profile besitzen, durch die diese Ressourcen eventuell geschützt werden, wie diejenigen in den Klassen JESINPUT, JESJOBS und JESSPOOL.

Ihre Sicherheitssoftware verhindert die Annahme der Identität des Job-Monitor-Servers, indem sie eine JMON-Konsole in einer TSO-Sitzung erstellt. Obwohl die Konsole erstellt werden kann, hat sie einen anderen Eingangspunkt: Job Monitor gegenüber TSO. JES-Befehle, die von dieser Konsole abgesetzt werden, scheitern an der Sicherheitsprüfung, wenn die Sicherheit wie in diesem Information Center dokumentiert konfiguriert wurde, und wenn Sie nicht auf andere Weise die erforderliche Berechtigung für JES-Befehle erlangt haben.


Feedback

Waren die Informationen hilfreich? Sie können auf Jazz.net (Registrierung erforderlich) Feedback geben: Comment in the forums oder submit a bug