ГДДР: Використовуйте повноваження RACF для надсилання розпочатих завдань та пакетних завдань для потреб PROPCNTL та SURROGAT
Summary: Розуміти вимоги до повноважень Resource Access Control Facility (RACF) для перезапуску географічно розсіяного стихійного лиха (GDDR) для подання розпочатих завдань і пакетних завдань, включаючи використання класів PROPCNTL і SURROGAT для подання завдань і контролю авторизації. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Коли PROPCNTL увімкнено, згідно з посібником IBM RACF, усі завдання, надіслані з цього адресного простору, вимагають ідентифікатора користувача та пароля. Використовуйте цей параметр для всіх завдань типу сервера, щоб запобігти отриманню користувачем авторизації ресурсів, на які він не мав права.
Якщо ідентифікатор користувача керується за допомогою класу PROPCNTL, і цей користувач хоче надіслати пакетне завдання для виконання з цього ідентифікатора користувача, інструкція JOB повинна містити як ідентифікатор користувача, так і правильний пароль.
Наприклад, якщо користувач А надсилає завдання з USER=A, також має бути вказано PASSWORD=пароль.
Однак, якщо інший користувач хоче надіслати завдання за допомогою керованого ідентифікатора користувача, він може або вказати ідентифікатор користувача та пароль, як зазначено вище, або скористатися можливостями, наданими класом SURROGAT, і вказати ідентифікатор користувача.
Наприклад, якщо ви керували користувачем A за допомогою класу PROPCNTL, користувач B може надіслати завдання, вказавши лише USER=A з відповідним дозволом SURROGAT.
Функціонал продукту GDDR:
Мета функції SURROGAT у контексті GDDR полягає в тому, щоб люди-оператори могли подавати сценарії та виконувати їх з вищим авторитетом. Це означає, що персональний ідентифікатор користувача оператора не повинен бути авторизований для виконання всіх небезпечних команд, які повинен виконувати скрипт GDDR. Це працює з примусовим введенням назви вакансії, тому ідентифікатор сурогатного користувача може надсилати вакансії лише з обов'язковим ім'ям вакансії.
При проходженні через панель Select script to run робиться спроба вставити визначений сурогатний ідентифікатор користувача в картку вакансії, якщо ENFORCE має значення yes.
Це автоматичне вставлення не виконується, коли монітор подій (EVM) надсилає пакетне завдання. Це підзавдання GDDR, і немає жодного користувача, який просить GDDR надіслати завдання. У цій ситуації немає вимоги використовувати PROPCNTL.
Зведення:
Якщо ідентифікатор користувача керується за допомогою класу PROPCNTL, і цей користувач хоче надіслати пакетне завдання для виконання з цього ідентифікатора користувача, інструкція JOB повинна містити як ідентифікатор користувача, так і правильний пароль.
Наприклад, якщо користувач А надсилає завдання з USER=A, також має бути вказано PASSWORD=пароль.
Однак, якщо інший користувач хоче надіслати завдання за допомогою керованого ідентифікатора користувача, він може або вказати ідентифікатор користувача та пароль, як зазначено вище, або скористатися можливостями, наданими класом SURROGAT, і вказати ідентифікатор користувача.
Наприклад, якщо ви керували користувачем A за допомогою класу PROPCNTL, користувач B може надіслати завдання, вказавши лише USER=A з відповідним дозволом SURROGAT.
Функціонал продукту GDDR:
Мета функції SURROGAT у контексті GDDR полягає в тому, щоб люди-оператори могли подавати сценарії та виконувати їх з вищим авторитетом. Це означає, що персональний ідентифікатор користувача оператора не повинен бути авторизований для виконання всіх небезпечних команд, які повинен виконувати скрипт GDDR. Це працює з примусовим введенням назви вакансії, тому ідентифікатор сурогатного користувача може надсилати вакансії лише з обов'язковим ім'ям вакансії.
При проходженні через панель Select script to run робиться спроба вставити визначений сурогатний ідентифікатор користувача в картку вакансії, якщо ENFORCE має значення yes.
Це автоматичне вставлення не виконується, коли монітор подій (EVM) надсилає пакетне завдання. Це підзавдання GDDR, і немає жодного користувача, який просить GDDR надіслати завдання. У цій ситуації немає вимоги використовувати PROPCNTL.
Зведення:
Якщо ваша безпека вимагає, щоб ви контролювали надсилання завдань, які можуть вплинути на ваше середовище GDDR, то використовуйте PRODCNTL і SURROGAT. Для адресного простору EVM всі надіслані завдання суворо контролюються GDDR і не потребують додавання PROPCNTL. EVM подає завдання відповідно до власних вимог, і немає контролю користувача або модифікації того, що подається.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.