GDDR: Use a autoridade RACF para enviar tarefas iniciadas e trabalhos em lote para as necessidades de PROPCNTL e SURROGAT
Summary: Entenda os requisitos de autoridade do RACF (Resource Access Control Facility) para GDDR (Geographically Dispersed Disaster Restart) a fim de enviar tarefas iniciadas e trabalhos em lote, inclusive o uso de classes PROPCNTL e SURROGAT para envio de trabalhos e controle de autorização. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Quando o PROPCNTL está ativado, de acordo com o manual do IBM RACF, todos os trabalhos enviados desse espaço de endereço exigem um ID do usuário e senha. Use isso para todas as tarefas de tipo de servidor para impedir que um usuário obtenha autorizações de recursos às quais não tinha direito.
Se um ID do usuário for controlado usando a classe PROPCNTL e esse usuário quiser enviar um trabalho em lote para ser executado a partir desse ID do usuário, a instrução JOB deverá conter o ID do usuário e a senha adequada.
Por exemplo, se o usuário A enviar um trabalho com USER=A, PASSWORD=password também deverá ser especificado.
No entanto, se um usuário diferente quiser enviar um trabalho usando o ID do usuário controlado, esse usuário poderá especificar o ID do usuário e a senha conforme acima, ou usar os recursos fornecidos pela classe SURROGAT e especificar o ID do usuário.
Por exemplo, se você controlasse o usuário A usando a classe PROPCNTL, o usuário B poderia enviar um trabalho, especificando somente USER=A com a autorização SURROGAT apropriada.
FUNCIONALIDADE DO PRODUTO GDDR:
A intenção do recurso SURROGAT no contexto GDDR é para que os operadores humanos possam enviar scripts e fazer com que eles sejam executados com uma autoridade superior. Isso significa que o ID do usuário pessoal dos operadores não precisa estar autorizado a emitir todos os comandos perigosos que um script GDDR deve fazer. Isso funciona com a imposição do nome do trabalho, para que o ID do usuário substituto só possa enviar trabalhos com o nome do trabalho imposto.
Ao percorrer o painel Select script to run, é feita uma tentativa de inserir o ID do usuário substituto definido na placa de trabalho, se ENFORCE for yes.
Essa inserção automática não é feita quando o monitor de eventos (EVM) envia um trabalho em lote. Essa é uma subtarefa do GDDR e não há nenhum usuário que solicite ao GDDR para enviar o trabalho. Não há exigência de uso do PROPCNTL nessa situação.
Resumo:
Se um ID do usuário for controlado usando a classe PROPCNTL e esse usuário quiser enviar um trabalho em lote para ser executado a partir desse ID do usuário, a instrução JOB deverá conter o ID do usuário e a senha adequada.
Por exemplo, se o usuário A enviar um trabalho com USER=A, PASSWORD=password também deverá ser especificado.
No entanto, se um usuário diferente quiser enviar um trabalho usando o ID do usuário controlado, esse usuário poderá especificar o ID do usuário e a senha conforme acima, ou usar os recursos fornecidos pela classe SURROGAT e especificar o ID do usuário.
Por exemplo, se você controlasse o usuário A usando a classe PROPCNTL, o usuário B poderia enviar um trabalho, especificando somente USER=A com a autorização SURROGAT apropriada.
FUNCIONALIDADE DO PRODUTO GDDR:
A intenção do recurso SURROGAT no contexto GDDR é para que os operadores humanos possam enviar scripts e fazer com que eles sejam executados com uma autoridade superior. Isso significa que o ID do usuário pessoal dos operadores não precisa estar autorizado a emitir todos os comandos perigosos que um script GDDR deve fazer. Isso funciona com a imposição do nome do trabalho, para que o ID do usuário substituto só possa enviar trabalhos com o nome do trabalho imposto.
Ao percorrer o painel Select script to run, é feita uma tentativa de inserir o ID do usuário substituto definido na placa de trabalho, se ENFORCE for yes.
Essa inserção automática não é feita quando o monitor de eventos (EVM) envia um trabalho em lote. Essa é uma subtarefa do GDDR e não há nenhum usuário que solicite ao GDDR para enviar o trabalho. Não há exigência de uso do PROPCNTL nessa situação.
Resumo:
Se sua segurança exigir que você controle o envio de trabalhos que podem afetar seu ambiente GDDR, use PRODCNTL e SURROGAT. Para o espaço de endereço EVM, todos os trabalhos enviados são rigorosamente controlados pelo GDDR e não precisam da adição de PROPCNTL. O EVM envia trabalhos de acordo com seus próprios requisitos e não há controle do usuário nem modificação do que é enviado.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.