GDDR: Använd RACF-utfärdare för att skicka in startade uppgifter och batchjobb för PROPCINTL- och SURROMAT-behov

När PROPCNTL är aktiverat kräver alla jobb som skickas från det adressutrymmet ett användar-ID och lösenord enligt IBM RACF-manualen. Använd detta för alla aktiviteter av servertyp för att förhindra att en användare får resursauktoriseringar som de inte hade rätt till. 
 
Om ett användar-ID styrs med hjälp av klassen PROPCNTL och användaren vill skicka ett batchjobb som ska köras från det användar-ID:t, måste JOB-satsen innehålla både användar-ID och rätt lösenord.
 
Om användare A till exempel skickar ett jobb med ANVÄNDARE=A måste även LÖSENORD=lösenord anges.
 
Men om en annan användare vill skicka ett jobb med det kontrollerade användar-ID:t, kan den användaren antingen ange användar-ID och lösenord enligt ovan, eller använda de funktioner som tillhandahålls av SURROGAT-klassen och ange användar-ID.
 
Om du till exempel har kontrollerat användare A med hjälp av klassen PROPCNTL kan användare B skicka ett jobb och endast ange ANVÄNDARE=A med lämplig SURROGAT-auktorisering.
 
GDDR-PRODUKT Funktionalitet:
Avsikten med SURROGAT-funktionen i GDDR-kontexten är att mänskliga operatörer ska kunna skicka in skript och få dem att köras med en högre auktoritet. Detta innebär att operatörens personliga användar-ID inte behöver auktoriseras för att utfärda alla farliga kommandon som ett GDDR-skript måste göra. Detta fungerar med framtvingandet av jobbnamnet, så att surrogatanvändar-ID:t endast kan skicka jobb med det framtvingade jobbnamnet.
 
När du går igenom panelen Välj skript som ska köras görs ett försök att infoga det definierade surrogatanvändar-ID:t på jobbkortet, om ENFORCE är ja.

Den här automatiska infogningen görs inte när Event Monitor (EVM) skickar ett batchjobb. Det här är en underuppgift till GDDR och det finns ingen användare som ber GDDR att skicka jobbet. Det finns inget krav på att använda PROPCNTL i denna situation.

Sammanfattning: