La segunda fase de la seguridad de mandatos de cola, después de especificar los objetivos permitidos, incluye los permisos que necesita para ejecutar el mandato de operador. Esta autorización de ejecución se respeta por parte de las comprobaciones de seguridad de z/OS y JES.
Nota: Mostrar JCL no es un mandato de operador como los demás mandatos del supervisor del trabajo (Hold, Release, Cancel y Purge), así que las limitación que vienen a continuación no se aplican a Mostrar JCL, ya que no hay más comprobaciones de seguridad.
El supervisor del trabajo emite todos los mandatos del operador JES que se solicitaron a través de una consola MCS (EMCS) ampliada, cuyo nombre está controlado por la directiva CONSOLE_NAME , como se documenta en Archivo de configuración del supervisor del trabajo BLZJCNFG.
Con esta configuración, el administrador de seguridad puede definir los permisos de ejecución del mandato granular utilizando las clases OPERCMDS y CONSOLE .
- Para utilizar una consola EMCS, tiene que tener, como mínimo, autoridad READ para el perfil MVS.MCSOPER.console-name en la clase OPERCMDS .
Nota: Si no define un perfil, el sistema otorgará la solicitud de autorización.
- Para ejecutar un mandato de operador JES, debe tener autorización suficiente para acceder al perfil JES%.** en la clase OPERCMDS .
Nota: Si no define un perfil, o si la clase OPERCMDS no está activa, JES hará fallar al comando.
- También puede solicitar que un usuario utilice el supervisor del trabajo para llevar a cabo el mandato del operador especificando WHEN(CONSOLE(JMON)) en la definición PERMIT . La clase CONSOLE tiene que estar activa para que esta configuración funcione.
Nota: Es suficiente para CONSOLE estar activa. No se comprueban perfiles para consolas EMCS.
El software de seguridad impide la asunción de la identidad del servidor del supervisor del trabajo creando una consola JMON a partir de una sesión TSO.
Aunque se pueda crear la consola, el punto de entrada es diferente: supervisor del trabajo frente a TSO. Los mandatos JES emitidos desde esta consola fallarán la comprobación de seguridad si la seguridad se establece como documentada en este Information Center, y si no tiene autoridad para los mandatos JES a través de otros medios.
Nota: Si ya se está utilizando el nombre de la consola, el supervisor del trabajo no puede crear la consola cuando se tiene que ejecutar un mandato. Para impedir esto, puede configurar la directiva GEN_CONSOLE_NAME=ON en el archivo de configuración del supervisor del trabajo, o puede definir los perfiles de seguridad para detener a los usuario TSO de crear una consola.
Los siguientes mandatos RACF de muestra impiden que los usuarios no autorizados cree una consola TSO o SDSF:
- RDEFINE TSOAUTH CONSOLE UACC(NONE)
- PERMIT CONSOLE CLASS(TSOAUTH) ACCESS(READ) ID(#userid)
- RDEFINE SDSF ISFCMD.ODSP.ULOG.* UACC(NONE)
- PERMIT ISFCMD.ODSP.ULOG.* CLASS(SDSF) ACCESS(READ) ID(#userid)
Nota: Usuarios que no están autorizados a hacer que estos mandatos de operadores puedan someter trabajos y leer la salida de trabajo a través del supervisor del trabajo, siempre que tengan autorización suficiente para acceder a perfiles que puedan proteger estos recursos, como los de las clases JESINPUT, JESJOBS y JESSPOOL .
Consulte Security
Server RACF Security Administrator's
Guide (SA22-7683) para obtener más información acerca de la protección de mandatos de operador.