Definir a Segurança de Comando do JES

O Monitor de Tarefas emite todos os comandos do operador JES através de um console MCS estendido (EMCS), cujo nome é controlado com a diretiva CONSOLE_NAME, conforme documentado em BLZJCNFG do Arquivo de Configuração do Monitor de Tarefas.

Os seguintes comandos RACF de amostra concedem aos usuários do Monitor de Tarefas acesso condicional a um conjunto limitado de comandos JES: Hold, Release, Cancel e Purge. Os usuários possuem apenas permissão de execução se eles emitirem os comandos através do Monitor de Tarefas. Substitua o marcador #console pelo nome do console real.
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL TEAM CONCERT'))
  • RDEFINE OPERCMDS JES%.** UACC(NONE) 
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) 
    WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
Notas:
  1. O uso do console é permitido se nenhum perfil MVS.MCSOPER.#console for definido.
  2. A classe CONSOLE deve estar ativa para WHEN(CONSOLE(JMON)) para poder funcionar, mas não há nenhuma verificação de perfil real na classe CONSOLE para os consoles EMCS.
  3. Não substitua JMON pelo nome do console real na cláusula WHEN(CONSOLE(JMON)). A palavra-chave JMON representa um aplicativo de ponto de entrada e não o nome do console.
Atenção: Se você definir os comandos JES com acesso universal NONE no seu software de segurança, poderá impactar outros aplicativos e operações. Teste isso antes de ativá-lo em um sistema de produção.

O Tabela 1 e o Tabela 2 mostram os comandos do operador emitidos para JES2 e JES3 e os perfis de segurança discretos que podem ser usados para protegê-los.

Tabela 1. Comandos do Operador Monitor de Tarefas JES2
Ação Comando Perfil OPERCMDS Acesso necessário
Hold

$Hx(jobid)
com x = {J, S ou T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
Release

$Ax(jobid)
com x = {J, S ou T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
Cancelar

$Cx(jobid)
com x = {J, S ou T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Purge

$Cx(jobid),P
com x = {J, S ou T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
Tabela 2. Comandos do Operador Monitor de Tarefas JES3
Ação Comando Perfil OPERCMDS Acesso necessário
Hold *F,J=jobid,H jesname.MODIFY.JOB UPDATE
Release *F,J=jobid,R jesname.MODIFY.JOB UPDATE
Cancelar *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Purge *F,J=jobid,C jesname.MODIFY.JOB UPDATE
Notas:
  1. Os comandos do operador JES Hold, Release, Cancel e Purge e o comando Show JCL podem ser executados apenas em relação aos arquivos de spool que o ID de usuário possui, a menos que LIMIT_COMMANDS= com o valor LIMITED ou NOLIMIT esteja especificado no arquivo de configuração do Monitor de Tarefas. Consulte o Ações em Relação às Tarefas: Limitações de Destino para obter mais informações.
  2. É possível procurar qualquer arquivo de spool, a menos que LIMIT_VIEW=USERID esteja definido no arquivo de configuração do Monitor de Tarefas. Consulte o Acesso aos Arquivos de Spool para obter mais informações.
  3. O usuário que não estiver autorizado a executar esses comandos do operador ainda podem enviar tarefas e ler a saída da tarefa pelo Monitor de Tarefas, contanto que eles tenham autoridade suficiente para acessar os perfis que podem proteger esses recursos, como aqueles nas classes JESINPUT, JESJOBS e JESSPOOL.

Seu software de segurança impede a suposição da identidade do servidor do Monitor de Tarefas ao criar um console JMON a partir de uma sessão TSO. Mesmo se o console puder ser criado, o ponto de entrada será diferente: Monitor de Tarefas versus TSO. Os comandos JES emitidos a partir deste console falharão a verificação de segurança se a segurança estiver configurada conforme documentado neste centro de informações e se você não tiver autoridade para os comandos JSE por outros meios.