Définition de la sécurité de commande JES

Job Monitor émet toutes les commandes JES de type opérateur via la console EMCS (MCS étendu), dont le nom est contrôlé par la directive CONSOLE_NAME, comme décrit dans Fichier de configuration BLZJCNFG de Job Monitor.

Les exemples de commandes RACF suivants donnent aux utilisateurs de Job Monitor un accès conditionnel à un ensemble limité de commandes JES : Hold, Release, Cancel et Purge. Les utilisateurs ont les droits d'exécution uniquement s'ils émettent les commandes via Job Monitor. Remplacez la variable #console par le nom réel de la console.
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
Remarques :
  1. L'utilisation de la console est autorisé si aucun profil MVS.MCSOPER.#console n'a été défini.
  2. La classe CONSOLE doit être active pour que WHEN(CONSOLE(JMON)) puisse fonctionner, mais aucune vérification de profil des consoles EMCS n'est effectuée dans la classe CONSOLE.
  3. Dans la clause WHEN(CONSOLE(JMON)), ne remplacez pas JMON par le nom de console réel. Le mot clé JMON représente l'application de point d'entrée et non le nom de la console.
Attention : Si vous définissez les commandes JES avec l'accès universel NONE dans votre logiciel de sécurité, ceci peut avoir un impact sur les autres applications et opérations. Testez cette association avant de l'activer sur un système de production.

Le Tableau 1 et le Tableau 2 présentent les commandes de type opérateur émises pour JES2 et JES3, ainsi que les profils de sécurité discrets que vous pouvez utiliser pour les protéger.

Tableau 1. Commandes Job Monitor JES2 de type opérateur
Action Commande Profil OPERCMDS Accès nécessaire
Hold

$Hx(jobid)
x = {J, S ou T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
Release

$Ax(jobid)
x = {J, S ou T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
Cancel

$Cx(jobid)
x = {J, S ou T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Purge

$Cx(jobid),P
x = {J, S ou T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Tableau 2. Commandes Job Monitor JES3 de type opérateur
Action Commande Profil OPERCMDS Accès nécessaire
Hold *F,J=jobid,H jesname.MODIFY.JOB UPDATE
Release *F,J=jobid,R jesname.MODIFY.JOB UPDATE
Cancel *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Purge *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Remarques :
  1. Les commandes JES de type opérateur Hold, Release, Cancel et Purge, ainsi que la commande Show JCL, peuvent être exécutées uniquement sur des fichiers spoule dont l'utilisateur est propriétaire, à moins que la commande LIMIT_COMMANDS= n'ait été associée à la valeur LIMITED ou NOLIMIT dans le fichier de configuration de Job Monitor. Pour plus d'informations, voir Actions exécutées sur les travaux : limitations de la cible.
  2. Vous pouvez consulter les fichiers spoule à moins que la commande LIMIT_VIEW=USERID ne soit définie dans le fichier de configuration de Job Monitor. Pour plus d'informations, voir Accès aux fichiers spoule.
  3. Les utilisateurs non autorisés à exécuter ces commandes de type opérateur peuvent soumettre des travaux et lire les fichiers journaux résultants dans Job Monitor, à condition qu'ils disposent des droits nécessaires pour accéder aux profils pouvant protéger ces ressources, comme ceux des classes JESINPUT, JESJOBS et JESSPOOL.

Votre logiciel de sécurité empêche un éventuel utilisateur d'usurper l'identité du serveur Job Monitor en créant une console à partir d'une session TSO. Même s'il est possible de créer la console, le point d'entrée est différent : Job Monitor au lieu de TSO. Les commandes JES émises à partir de cette console échoueront au contrôle des droits d'accès si votre sécurité est définie conformément aux instructions de ce centre de documentation et si vous ne disposez pas des droits nécessaires à l'exécution des commandes JES par d'autres moyens.


Commentaires en retour

Avez-vous obtenu l'aide souhaitée ? Vous pouvez envoyer des commentaires en retour à Jazz.net (inscription nécessaire) : Commentaire dans les forums ou signaler un bogue