GDDR: Verwenden Sie die RACF-Autorität zum Übermitteln von gestarteten Aufgaben und Batch-Jobs für PROPCNTL- und SURROGAT-Anforderungen.
Summary: Machen Sie sich mit den Anforderungen der RACF-Autorität (Resource Access Control Facility) für GDDR (Geographically Dispersed Disaster Restart) vertraut, um gestartete Aufgaben und Batchaufträge zu übermitteln, einschließlich der Verwendung der Klassen PROPCNTL und SURROGAT für die Auftragsübermittlung und Autorisierungskontrolle. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Wenn PROPCNTL aktiviert ist, erfordern laut IBM RACF-Handbuch alle Jobs, die von diesem Adressbereich gesendet werden, eine Nutzer-ID und ein Kennwort. Verwenden Sie diese Option für alle Servertypaufgaben, um zu verhindern, dass ein Nutzer Ressourcenberechtigungen erhält, zu denen er keine Berechtigungen hatte.
Wenn eine Benutzer-ID mithilfe der PROPCNTL-Klasse gesteuert wird und dieser Benutzer einen Batchauftrag zur Ausführung über diese Benutzer-ID senden möchte, muss die JOB-Anweisung sowohl die Benutzer-ID als auch das richtige Kennwort enthalten.
Wenn z. B. Nutzer A einen Job mit USER=A sendet, muss auch PASSWORD=password angegeben werden.
Wenn jedoch ein anderer Benutzer einen Auftrag mit der gesteuerten Benutzer-ID senden möchte, kann dieser Benutzer entweder die Benutzer-ID und das Kennwort wie oben angegeben oder die von der SURROGAT-Klasse bereitgestellten Funktionen verwenden und die Benutzer-ID angeben.
Wenn Sie z. B. den Benutzer A mit der PROPCNTL-Klasse gesteuert haben, könnte Benutzer B einen Job senden und nur USER=A mit der entsprechenden SURROGAT-Berechtigung angeben.
GDDR-PRODUKTFUNKTIONEN:
Die Absicht der SURROGAT-Funktion im GDDR-Kontext besteht darin, dass menschliche Operatoren Skripte einreichen und diese mit einer höheren Autorität ausführen lassen können. Das bedeutet, dass die persönliche Benutzer-ID des Bedieners nicht autorisiert werden muss, um alle gefährlichen Befehle auszugeben, die ein GDDR-Skript ausführen muss. Dies funktioniert mit der Erzwingung des Auftragsnamens, sodass die Ersatznutzer-ID nur Aufträge mit dem erzwungenen Auftragsnamen übermitteln kann.
Beim Durchlaufen des Fensters Select script to run wird versucht, die definierte Ersatznutzer-ID auf der Jobkarte einzufügen, wenn ENFORCE auf yes gesetzt ist.
Dieses automatische Einfügen erfolgt nicht, wenn der Ereignismonitor (EVM) einen Batchjob sendet. Dies ist eine Unteraufgabe von GDDR und es gibt keinen Nutzer, der GDDR auffordert, den Job zu senden. In dieser Situation ist es nicht erforderlich, PROPCNTL zu verwenden.
Zusammenfassung:
Wenn eine Benutzer-ID mithilfe der PROPCNTL-Klasse gesteuert wird und dieser Benutzer einen Batchauftrag zur Ausführung über diese Benutzer-ID senden möchte, muss die JOB-Anweisung sowohl die Benutzer-ID als auch das richtige Kennwort enthalten.
Wenn z. B. Nutzer A einen Job mit USER=A sendet, muss auch PASSWORD=password angegeben werden.
Wenn jedoch ein anderer Benutzer einen Auftrag mit der gesteuerten Benutzer-ID senden möchte, kann dieser Benutzer entweder die Benutzer-ID und das Kennwort wie oben angegeben oder die von der SURROGAT-Klasse bereitgestellten Funktionen verwenden und die Benutzer-ID angeben.
Wenn Sie z. B. den Benutzer A mit der PROPCNTL-Klasse gesteuert haben, könnte Benutzer B einen Job senden und nur USER=A mit der entsprechenden SURROGAT-Berechtigung angeben.
GDDR-PRODUKTFUNKTIONEN:
Die Absicht der SURROGAT-Funktion im GDDR-Kontext besteht darin, dass menschliche Operatoren Skripte einreichen und diese mit einer höheren Autorität ausführen lassen können. Das bedeutet, dass die persönliche Benutzer-ID des Bedieners nicht autorisiert werden muss, um alle gefährlichen Befehle auszugeben, die ein GDDR-Skript ausführen muss. Dies funktioniert mit der Erzwingung des Auftragsnamens, sodass die Ersatznutzer-ID nur Aufträge mit dem erzwungenen Auftragsnamen übermitteln kann.
Beim Durchlaufen des Fensters Select script to run wird versucht, die definierte Ersatznutzer-ID auf der Jobkarte einzufügen, wenn ENFORCE auf yes gesetzt ist.
Dieses automatische Einfügen erfolgt nicht, wenn der Ereignismonitor (EVM) einen Batchjob sendet. Dies ist eine Unteraufgabe von GDDR und es gibt keinen Nutzer, der GDDR auffordert, den Job zu senden. In dieser Situation ist es nicht erforderlich, PROPCNTL zu verwenden.
Zusammenfassung:
Wenn Ihre Sicherheit es erfordert, dass Sie die Übermittlung von Jobs kontrollieren, die sich auf Ihre GDDR-Umgebung auswirken können, verwenden Sie PRODCNTL und SURROGAT. Für den EVM-Adressraum werden alle übermittelten Jobs streng von GDDR kontrolliert und erfordern nicht die Hinzufügung von PROPCNTL. EVM übergibt Jobs für seine eigenen Anforderungen und es gibt keine Kontrolle oder Änderung der übermittelten Daten durch den Nutzer.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.