GDDR: Użyj uprawnień RACF do przesyłania rozpoczętych zadań i zadań wsadowych dla potrzeb PROPCNTL i SURROGAT
Summary: Znajomość wymagań urzędu Resource Access Control Facility (RACF) dla geographically Dispersed Disaster Restart (GDDR) w celu przesyłania uruchomionych zadań i zadań wsadowych, w tym użycie klas PROPCNTL i SURROGAT do przesyłania zadań i kontroli autoryzacji. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Gdy włączony jest protokół PROPCNTL, zgodnie z instrukcją IBM RACF, wszystkie zadania przesyłane z tej przestrzeni adresowej wymagają podania identyfikatora użytkownika i hasła. Użyj tej opcji dla wszystkich zadań typu serwer, aby uniemożliwić użytkownikowi uzyskanie autoryzacji zasobów, do których nie był uprawniony.
Jeśli identyfikator użytkownika jest kontrolowany za pomocą klasy PROPCNTL i użytkownik ten chce przesłać zadanie wsadowe do uruchomienia z tego identyfikatora użytkownika, instrukcja JOB musi zawierać zarówno identyfikator użytkownika, jak i prawidłowe hasło.
Na przykład, jeśli użytkownik A prześle zadanie z USER=A, należy również określić PASSWORD=password.
Jeśli jednak inny użytkownik chce przesłać zadanie przy użyciu kontrolowanego identyfikatora użytkownika, ten użytkownik może określić identyfikator użytkownika i hasło jak powyżej lub użyć funkcji udostępnianych przez klasę SURROGAT i określić identyfikator użytkownika.
Na przykład, jeśli użytkownik A jest kontrolowany za pomocą klasy PROPCNTL, użytkownik B może przesłać zadanie, określając tylko USER=A z odpowiednią autoryzacją SURROGAT.
Funkcjonalność PRODUKTU GDDR:
Intencją funkcji SURROG w kontekście RODO jest to, aby operatorzy ludzcy mogli przesyłać skrypty i uruchamiać je z wyższymi uprawnieniami. Oznacza to, że osobisty identyfikator użytkownika operatora nie musi być autoryzowany do wydawania wszystkich niebezpiecznych poleceń, które musi wykonać skrypt GDDR. Działa to z wymuszaniem nazwy zadania, dzięki czemu zastępczy identyfikator użytkownika może przesyłać zadania tylko z wymuszoną nazwą zadania.
Podczas przechodzenia przez panel Select script to run (Wybierz skrypt do uruchomienia) podejmowana jest próba wstawienia zdefiniowanego zastępczego identyfikatora użytkownika na karcie zadania, jeśli parametr ENFORCE ma wartość yes.
To automatyczne wstawianie nie jest wykonywane, gdy monitor zdarzeń (EVM) przesyła zadanie wsadowe. Jest to zadanie podrzędne GDDR i nie ma użytkownika, który prosi GDDR o przesłanie zadania. W tej sytuacji nie ma wymogu korzystania z PROPCNTL.
Streszczenie:
Jeśli identyfikator użytkownika jest kontrolowany za pomocą klasy PROPCNTL i użytkownik ten chce przesłać zadanie wsadowe do uruchomienia z tego identyfikatora użytkownika, instrukcja JOB musi zawierać zarówno identyfikator użytkownika, jak i prawidłowe hasło.
Na przykład, jeśli użytkownik A prześle zadanie z USER=A, należy również określić PASSWORD=password.
Jeśli jednak inny użytkownik chce przesłać zadanie przy użyciu kontrolowanego identyfikatora użytkownika, ten użytkownik może określić identyfikator użytkownika i hasło jak powyżej lub użyć funkcji udostępnianych przez klasę SURROGAT i określić identyfikator użytkownika.
Na przykład, jeśli użytkownik A jest kontrolowany za pomocą klasy PROPCNTL, użytkownik B może przesłać zadanie, określając tylko USER=A z odpowiednią autoryzacją SURROGAT.
Funkcjonalność PRODUKTU GDDR:
Intencją funkcji SURROG w kontekście RODO jest to, aby operatorzy ludzcy mogli przesyłać skrypty i uruchamiać je z wyższymi uprawnieniami. Oznacza to, że osobisty identyfikator użytkownika operatora nie musi być autoryzowany do wydawania wszystkich niebezpiecznych poleceń, które musi wykonać skrypt GDDR. Działa to z wymuszaniem nazwy zadania, dzięki czemu zastępczy identyfikator użytkownika może przesyłać zadania tylko z wymuszoną nazwą zadania.
Podczas przechodzenia przez panel Select script to run (Wybierz skrypt do uruchomienia) podejmowana jest próba wstawienia zdefiniowanego zastępczego identyfikatora użytkownika na karcie zadania, jeśli parametr ENFORCE ma wartość yes.
To automatyczne wstawianie nie jest wykonywane, gdy monitor zdarzeń (EVM) przesyła zadanie wsadowe. Jest to zadanie podrzędne GDDR i nie ma użytkownika, który prosi GDDR o przesłanie zadania. W tej sytuacji nie ma wymogu korzystania z PROPCNTL.
Streszczenie:
Jeśli zabezpieczenia wymagają kontrolowania przesyłania zadań, które mogą mieć wpływ na środowisko GDDR, należy użyć PRODCNTL i SURROGAT. W przypadku przestrzeni adresowej EVM wszystkie przesyłane zadania są ściśle kontrolowane przez GDDR i nie wymagają dodawania PROPCNTL. EVM przesyła zadania zgodnie z własnymi wymaganiami i nie ma kontroli użytkownika ani nie modyfikuje tego, co jest przesyłane.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.