Definición de seguridad de mandatos JES

El supervisor del trabajo emite todos los mandatos del operador JES a través de una consola MCS (EMCS) ampliada, cuyo nombre está controlado por la directiva CONSOLE_NAME , como se documenta en Archivo de configuración del supervisor del trabajo BLZJCNFG.

Los siguientes mandatos RACF de muestra le proporcionan acceso condicional a los usuarios del supervisor del trabajo para un conjunto limitado de mandatos JES: Hold, Release, Cancel y Purge. Los usuarios sólo tienen permiso de ejecución si emiten los mandatos a través del supervisor del trabajo. Reemplace el marcador #console con el nombre de consola real.
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
Notas:
  1. El uso de la consola está permitidos si no está definido el perfil MVS.MCSOPER.#console .
  2. La clase CONSOLE debe estar activa para que WHEN(CONSOLE(JMON)) trabaje, pero no hay una comprobación de perfil real en la clase CONSOLE para las consolas EMCS.
  3. No reemplace JMON con el nombre de consola real en la cláusula WHEN(CONSOLE(JMON)) . La palabra clave JMON representa la aplicación de punto de entrada, no el nombre de la consola.
Atención: Si define mandatos JES con acceso universal NONE en el software de seguridad, tendrá impacto sobre otras aplicaciones y operaciones. Pruébelo antes de activarlo en un sistema de producción.

Tabla 1 y Tabla 2 muestra los mandatos del operador emitidos para JES2 y JES3, y los perfiles de seguridad discretos que puede utilizar para protegerlos.

Tabla 1. Mandatos del operador del supervisor del trabajo JES2
Acción Mandato Perfil OPERCMDS Acceso necesario
Hold

$Hx(jobid)
con x = {J, S o T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
Release

$Ax(jobid)
con x = {J, S o T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
Cancel

$Cx(jobid)
con x = {J, S o T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Purge

$Cx(jobid),P
con x = {J, S o T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Tabla 2. Mandatos del operador del supervisor del trabajo JES3
Acción Mandato Perfil OPERCMDS Acceso necesario
Hold *F,J=jobid,H jesname.MODIFY.JOB UPDATE
Release *F,J=jobid,R jesname.MODIFY.JOB UPDATE
Cancel *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Purge *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Notas:
  1. Los mandatos de operador JES Hold, Release, Cancel y Purge , y el mandato Show JCL , pueden realizarse sólo contra archivos de cola que sean propiedad del ID de usuario, a menos que LIMIT_COMMANDS= con valor LIMITED o NOLIMIT esté especificado en el archivo de configuración del supervisor del trabajo. ConsulteAcciones contra trabajos: limitaciones de destino para obtener más información.
  2. Puede examinar cualquier archivo de cola, a menos que LIMIT_VIEW=USERID esté definido en el archivo de configuración del supervisor del trabajo. ConsulteAcceso a archivos spool para obtener más información.
  3. El usuario que no esté autorizado para estos mandatos de operados puede someter trabajos y leer la salida de trabajo a través del supervisor del trabajo, siempre que tengan autorización suficiente para perfiles que puedan proteger estos recursos, como los de las clases JESINPUT, JESJOBS y JESSPOOL .

El software de seguridad impide la asunción de la identidad del servidor del supervisor del trabajo creando una consola JMON a partir de una sesión TSO. Aunque se pueda crear la consola, el punto de entrada es diferente: supervisor del trabajo frente a TSO. Los mandatos JES emitidos desde esta consola fallarán la comprobación de seguridad si la seguridad se establece como documentada en este Information Center, y si no tiene autoridad para los mandatos JES a través de otros medios.