Actions exécutées sur les travaux : limitations de l'exécution

Une fois les cibles autorisées définies, la deuxième phase de la sécurité des commandes du spoule JES consiste à définir les autorisations dont vous avez besoin pour exécuter les commandes de type opérateur. Ces autorisations sont accordées par les contrôles des droits d'accès z/OS et JES.
Remarque : Show JCL n'est pas une commande de type opérateur comme les autres commandes de Job Monitor (Hold, Release, Cancel et Purge). Aucun autre contrôle des droits d'accès n'étant effectué, les limites décrites ci-dessous ne concernent donc pas la commande Show JCL.

Job Monitor émet toutes les commandes JES de type opérateur soumises par vous ou un autre utilisateur via la console EMCS (MCS étendu), dont le nom est contrôlé par la directive CONSOLE_NAME, comme décrit dans Fichier de configuration BLZJCNFG de Job Monitor.

Cette configuration vous permet ou permet à l'administrateur de la sécurité de définir des droits granulaires pour l'exécution des commandes à l'aide des classes OPERCMDS et CONSOLE.

Votre logiciel de sécurité empêche un éventuel utilisateur d'usurper l'identité du serveur Job Monitor en créant une console à partir d'une session TSO. Même s'il est possible de créer la console, le point d'entrée est différent : Job Monitor au lieu de TSO. Les commandes JES émises à partir de cette console échoueront au contrôle des droits d'accès si votre sécurité est définie conformément aux instructions de ce centre de documentation et si vous n'avez pas (ou si un autre utilisateur n'a pas) les droits d'exécuter des commandes JES par d'autres moyens.

Remarque : Si le nom de la console est déjà utilisé, Job Monitor ne parvient pas à créer la console lorsqu'une commande doit être exécutée. Pour éviter que cela se produise, vous pouvez définir la directive GEN_CONSOLE_NAME=ON dans le fichier de configuration de Job Monitor ou définir des profils de sécurité destinés à empêcher les utilisateurs TSO de créer une console.

Les exemples de commandes RACF suivantes empêchent tous les utilisateurs non autorisés de créer une console TSO ou SDSF :

Remarque : Les utilisateurs non autorisés à exécuter ces commandes de type opérateur peuvent soumettre des travaux et lire les fichiers journaux résultants dans Job Monitor, à condition qu'ils disposent des droits nécessaires pour accéder aux profils pouvant protéger ces ressources, comme ceux des classes JESINPUT, JESJOBS et JESSPOOL.

Pour plus d'informations sur la protection des commandes de type opérateur, voir le manuel Security Server RACF Security Administrator's Guide (SA22-7683).


Commentaires en retour

Avez-vous obtenu l'aide souhaitée ? Vous pouvez envoyer des commentaires en retour à Jazz.net (inscription nécessaire) : Commentaire dans les forums ou signaler un bogue