GDDR: Použít autoritu RACF pro odesílání spuštěných úloh a dávkových úloh pro potřeby PROPCNTL a SURROGAT

Když je povolen protokol PROPCNTL, podle příručky IBM RACF vyžadují všechny úlohy odeslané z tohoto adresního prostoru ID uživatele a heslo. Tuto možnost použijte pro všechny úlohy typu serveru, abyste zabránili uživateli v získání autorizací prostředků, na které neměl oprávnění. 
 
Pokud je ID uživatele řízeno pomocí třídy PROPCNTL a tento uživatel chce odeslat dávkovou úlohu, která má být spuštěna z tohoto ID uživatele, příkaz JOB musí obsahovat ID uživatele i správné heslo.
 
Pokud například uživatel A odešle úlohu s USER=A, musí být také zadán PASSWORD=password.
 
Pokud však jiný uživatel chce odeslat úlohu pomocí řízeného ID uživatele, může tento uživatel buď zadat ID uživatele a heslo, jak je uvedeno výše, nebo použít zařízení poskytovaná třídou SURROGAT a zadat ID uživatele.
 
Pokud jste například ovládali uživatele A pomocí třídy PROPCNTL, uživatel B mohl odeslat úlohu a zadat pouze USER=A s příslušnou autorizací SURROGAT.
 
Funkčnost GDDR PRODUKTU:
Záměrem funkce SURROGAT v kontextu GDDR je, aby lidští operátoři mohli zadávat skripty a nechat je spouštět s vyšší autoritou. To znamená, že osobní ID uživatele operátora nemusí být autorizováno k vydávání všech nebezpečných příkazů, které musí skript GDDR provádět. To funguje s vynucením názvu úlohy, takže ID náhradního uživatele může odesílat pouze úlohy s vynuceným názvem úlohy.
 
Při procházení panelu Select script to run se provede pokus o vložení definovaného ID náhradního uživatele na kartu úlohy, pokud je ENFORCE ano.

Toto automatické vložení se neprovede, když Event Monitor (EVM) odešle dávkovou úlohu. Jedná se o dílčí úlohu GDDR a neexistuje žádný uživatel, který by GDDR požádal o odeslání úlohy. V této situaci není nutné používat PROPCNTL.

Shrnutí: