GDDR:使用 RACF 权限提交已启动任务和批处理作业,以满足 PROPCNTL 和 SURROGAT 需求
Summary: 了解地理位置分散的灾难重启 (GDDR) 的资源访问控制设施 (RACF) 权限要求,以提交已启动的任务和批处理作业,包括使用 PROPCNTL 和 SURROGAT 类进行作业提交和授权控制。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
启用 PROPCNTL 后,根据 IBM RACF 手册,从该地址空间提交的所有作业都需要用户标识和密码。将此选项用于所有服务器类型任务,以防止用户获得他们无权获得的资源授权。
如果使用 PROPCNTL 类控制用户 ID,并且该用户想要提交批处理作业以从该用户 ID 运行,则 JOB 语句必须同时包含用户 ID 和正确的密码。
例如,如果用户 A 提交作业时 USER=A,则还必须指定 PASSWORD=password。
但是,如果其他用户想要使用受控用户 ID 提交作业,则该用户可以按上述方式指定用户 ID 和密码,也可以使用 SURROGAT 类提供的工具并指定用户 ID。
例如,如果您使用 PROPCNTL 类控制用户 A,则用户 B 可以提交作业,仅指定具有相应 SURROGAT 授权的 USER=A。
GDDR 产品功能:
GDDR 上下文中 SURROGAT 功能的意图是让人工作员可以提交脚本并使用更高的权限运行这些脚本。这意味着作员个人用户 ID 不必获得授权即可发出 GDDR 脚本必须执行的所有危险命令。这适用于作业名称的强制执行,因此代理用户 ID 只能使用强制执行的作业名称提交作业。
通过“选择要运行的脚本”面板时,如果“ENFORCE”为“yes”,则尝试在作业卡上插入定义的代理用户 ID。
当事件监视器 (EVM) 提交批处理作业时,不会完成此自动插入。这是 GDDR 的子任务,没有用户要求 GDDR 提交作业。在这种情况下,不需要使用 PROPCNTL。
总结:
如果使用 PROPCNTL 类控制用户 ID,并且该用户想要提交批处理作业以从该用户 ID 运行,则 JOB 语句必须同时包含用户 ID 和正确的密码。
例如,如果用户 A 提交作业时 USER=A,则还必须指定 PASSWORD=password。
但是,如果其他用户想要使用受控用户 ID 提交作业,则该用户可以按上述方式指定用户 ID 和密码,也可以使用 SURROGAT 类提供的工具并指定用户 ID。
例如,如果您使用 PROPCNTL 类控制用户 A,则用户 B 可以提交作业,仅指定具有相应 SURROGAT 授权的 USER=A。
GDDR 产品功能:
GDDR 上下文中 SURROGAT 功能的意图是让人工作员可以提交脚本并使用更高的权限运行这些脚本。这意味着作员个人用户 ID 不必获得授权即可发出 GDDR 脚本必须执行的所有危险命令。这适用于作业名称的强制执行,因此代理用户 ID 只能使用强制执行的作业名称提交作业。
通过“选择要运行的脚本”面板时,如果“ENFORCE”为“yes”,则尝试在作业卡上插入定义的代理用户 ID。
当事件监视器 (EVM) 提交批处理作业时,不会完成此自动插入。这是 GDDR 的子任务,没有用户要求 GDDR 提交作业。在这种情况下,不需要使用 PROPCNTL。
总结:
如果您的安全性要求您控制可能影响 GDDR 环境的作业的提交,请使用 PRODCNTL 和 SURROGAT。对于 EVM 地址空间,所有提交的作业都由 GDDR 严格控制,不需要添加 PROPCNTL。EVM 根据自己的要求提交作业,并且用户无法控制或修改提交的内容。
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.