定義 JES 指令安全

「工作監視器」會透過延伸 MCS (EMCS) 主控台來發出所有 JES 操作員指令,該主控台的名稱是以 CONSOLE_NAME 指引來控制,如 「工作監視器」配置檔 BLZJCNFG中所記載。

以下的範例 RACF® 指令讓「工作監視器」 使用者對於一組有限的 JES 指令(保留、釋放、取消與清除),具備有條件的存取權。當使用者透過「工作監視器」發出指令時,他們僅具備執行許可權。請用實際的主控台名稱取代 #console 位置保留元。
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
附註:
  1. 如果沒有定義 MVS.MCSOPER.#console 設定檔,就允許使用主控台。
  2. CONSOLE 類別必須作用中,WHEN(CONSOLE(JMON)) 才能生效,但是不會在 CONSOLE 類別中,針對 EMCS 主控台進行實際的設定檔檢查。
  3. 請勿在 WHEN(CONSOLE(JMON)) 子句中,以實際的主控台名稱取代 JMONJMON 關鍵字代表進入點應用程式,而非主控台名稱。
小心: 如果您在安全軟體中使用通用存取權 NONE 來定義 JES 指令,可能會影響其他應用程式與作業。當您在正式作業系統上啟動它之前,請先測試此情況。

表 1表 2 顯示針對 JES2 與 JES3 所發出的操作員指令,以及您可用來保護它們的離散安全設定檔。

表 1. JES2 工作監視器操作員指令
動作 指令 OPERCMDS 設定檔 必要存取權
保留

$Hx(jobid)
with x = {J, S or T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
釋放

$Ax(jobid)
with x = {J, S or T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
取消

$Cx(jobid)
with x = {J, S or T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
清除

$Cx(jobid),P
with x = {J, S or T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
表 2. JES3 工作監視器操作員指令
動作 指令 OPERCMDS 設定檔 必要存取權
保留 *F,J=jobid,H jesname.MODIFY.JOB UPDATE
釋放 *F,J=jobid,R jesname.MODIFY.JOB UPDATE
取消 *F,J=jobid,C jesname.MODIFY.JOB UPDATE
清除 *F,J=jobid,C jesname.MODIFY.JOB UPDATE
附註:
  1. 除非在「工作監視器」配置檔中將 LIMIT_COMMANDS= 的值指定為 LIMITEDNOLIMIT,否則只能對該使用者 ID 擁有的排存檔,執行保留釋放取消清除 JES 操作員指令,以及顯示 JCL 指令。如需相關資訊,請參閱對工作執行的動作:目標限制
  2. 除非「工作監視器」配置檔中定義 LIMIT_VIEW=USERID,否則您可以瀏覽任何的排存檔。如需相關資訊,請參閱對排存檔的存取權
  3. 未獲授權使用這些操作員指令的使用者,仍可以透過「工作監視器」來提交工作和讀取工作輸出,只要他們對於可能保護這些資源的設定檔(例如 JESINPUTJESJOBSJESSPOOL 類別中的那些設定檔)具備足夠的權限。

您的安全軟體會從 TSO 階段作業建立一個 JMON 主控台,以防出現假冒「工作監視器」伺服器身分的情況。即使可以建立主控台,進入點並不一樣:「工作監視器」就與 TSO 不同。如果您按照本資訊中心的記載來設定安全,而且您透過其他方法仍無權存取 JES 指令,則從這個主控台所發出的 JES 指令將無法通過安全檢查。


意見

以上說明對您有幫助嗎?您可以在 Jazz.net 網站中提供意見(需要登錄):在討論區中提供意見提交錯誤