GDDR : Utiliser l’autorité RACF pour soumettre des tâches démarrées et des travaux par lots pour les besoins PROPCNTL et SURROGAT
Summary: Comprendre les exigences de l’autorité RACF (Resource Access Control Facility) pour GDDR (Geographically Dispersed Disaster Restart) afin de soumettre les tâches démarrées et les tâches par lots, y compris l’utilisation des classes PROPCNTL et SURROGAT pour la soumission des tâches et le contrôle des autorisations. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Lorsque PROPCNTL est activé, conformément au manuel IBM RACF, toutes les tâches soumises à partir de cet espace d’adressage nécessitent un ID utilisateur et un mot de passe. Utilisez cette option pour toutes les tâches de type serveur afin d’empêcher un utilisateur d’obtenir des autorisations de ressources auxquelles il n’avait pas droit.
Si un ID utilisateur est contrôlé à l’aide de la classe PROPCNTL et que cet utilisateur souhaite soumettre une tâche par lots à exécuter à partir de cet ID utilisateur, l’instruction JOB doit contenir à la fois l’ID utilisateur et le mot de passe approprié.
Par exemple, si l’utilisateur A soumet une tâche avec USER=A, PASSWORD=password doit également être spécifié.
Toutefois, si un autre utilisateur souhaite soumettre une tâche à l’aide de l’ID utilisateur contrôlé, cet utilisateur peut soit spécifier l’ID utilisateur et le mot de passe comme ci-dessus, soit utiliser les fonctionnalités fournies par la classe SURROGAT et spécifier l’ID utilisateur.
Par exemple, si vous contrôlez l’utilisateur A à l’aide de la classe PROPCNTL, l’utilisateur B peut soumettre une tâche, en spécifiant uniquement USER=A avec l’autorisation SURROGAT appropriée.
Fonctionnalité du produit GDDR :
L’objectif de la fonctionnalité SURROGAT dans le contexte GDDR est de permettre aux opérateurs humains de soumettre des scripts et de les faire exécuter avec une autorité supérieure. Cela signifie que l’identifiant utilisateur personnel de l’opérateur n’a pas besoin d’être autorisé à émettre toutes les commandes dangereuses qu’un script GDDR doit exécuter. Cela fonctionne avec l’application du nom de tâche, de sorte que l’ID utilisateur de substitution ne peut soumettre des tâches avec le nom de tâche appliqué.
Lorsque vous parcourez le panneau Sélectionner le script à exécuter, une tentative est effectuée pour insérer l’ID utilisateur de substitution défini sur la carte de tâche, si ENFORCE a la valeur yes.
Cette insertion automatique n’est pas effectuée lorsque le moniteur d’événements (EVM) soumet une tâche par lots. Il s’agit d’une sous-tâche de GDDR et aucun utilisateur ne demande à GDDR de soumettre la tâche. Il n’est pas nécessaire d’utiliser PROPCNTL dans cette situation.
Résumé:
Si un ID utilisateur est contrôlé à l’aide de la classe PROPCNTL et que cet utilisateur souhaite soumettre une tâche par lots à exécuter à partir de cet ID utilisateur, l’instruction JOB doit contenir à la fois l’ID utilisateur et le mot de passe approprié.
Par exemple, si l’utilisateur A soumet une tâche avec USER=A, PASSWORD=password doit également être spécifié.
Toutefois, si un autre utilisateur souhaite soumettre une tâche à l’aide de l’ID utilisateur contrôlé, cet utilisateur peut soit spécifier l’ID utilisateur et le mot de passe comme ci-dessus, soit utiliser les fonctionnalités fournies par la classe SURROGAT et spécifier l’ID utilisateur.
Par exemple, si vous contrôlez l’utilisateur A à l’aide de la classe PROPCNTL, l’utilisateur B peut soumettre une tâche, en spécifiant uniquement USER=A avec l’autorisation SURROGAT appropriée.
Fonctionnalité du produit GDDR :
L’objectif de la fonctionnalité SURROGAT dans le contexte GDDR est de permettre aux opérateurs humains de soumettre des scripts et de les faire exécuter avec une autorité supérieure. Cela signifie que l’identifiant utilisateur personnel de l’opérateur n’a pas besoin d’être autorisé à émettre toutes les commandes dangereuses qu’un script GDDR doit exécuter. Cela fonctionne avec l’application du nom de tâche, de sorte que l’ID utilisateur de substitution ne peut soumettre des tâches avec le nom de tâche appliqué.
Lorsque vous parcourez le panneau Sélectionner le script à exécuter, une tentative est effectuée pour insérer l’ID utilisateur de substitution défini sur la carte de tâche, si ENFORCE a la valeur yes.
Cette insertion automatique n’est pas effectuée lorsque le moniteur d’événements (EVM) soumet une tâche par lots. Il s’agit d’une sous-tâche de GDDR et aucun utilisateur ne demande à GDDR de soumettre la tâche. Il n’est pas nécessaire d’utiliser PROPCNTL dans cette situation.
Résumé:
Si votre sécurité exige que vous contrôliez la soumission des tâches susceptibles d’affecter votre environnement GDDR, utilisez PRODCNTL et SURROGAT. Pour l’espace d’adressage EVM, toutes les tâches soumises sont strictement contrôlées par GDDR et ne nécessitent pas l’ajout de PROPCNTL. EVM soumet les tâches pour ses propres besoins et il n’y a aucun contrôle de l’utilisateur ni modification de ce qui est soumis.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.