GDDR. Используйте полномочия RACF для отправки запущенных задач и пакетных заданий для нужд PROPCNTL и SURROGAT
Summary: Понимать требования к органам управления доступом к ресурсам (RACF) для географически распределенного аварийного перезапуска (GDDR) для отправки запущенных задач и пакетных заданий, включая использование классов PROPCNTL и SURROGAT для отправки заданий и управления авторизацией. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Если включен PROPCNTL, то, согласно руководству IBM RACF, для всех заданий, отправляемых из этого адресного пространства, требуется идентификатор пользователя и пароль. Используйте этот параметр для всех задач серверного типа, чтобы предотвратить получение пользователем прав доступа к ресурсам, на которые он не имел права.
Если идентификатор пользователя управляется с помощью класса PROPCNTL и этот пользователь хочет отправить пакетное задание для выполнения от этого идентификатора пользователя, инструкция JOB должна содержать как идентификатор пользователя, так и правильный пароль.
Например, если пользователь A отправляет задание с параметром USER=A, необходимо также указать PASSWORD=пароль.
Однако, если другой пользователь хочет отправить задание с использованием управляемого идентификатора пользователя, он может либо указать идентификатор пользователя и пароль, как указано выше, либо использовать средства, предоставляемые классом SURROGAT, и указать идентификатор пользователя.
Например, если вы управляете пользователем A с помощью класса PROPCNTL, пользователь B может отправить задание, указав только USER=A с соответствующей авторизацией SURROGAT.
Функциональные возможности ПРОДУКТА GDDR:
Функция SURROGAT в контексте GDDR предназначена для того, чтобы операторы-люди могли отправлять сценарии и запускать их с вышестоящим руководством. Это означает, что личный идентификатор пользователя оператора не должен быть авторизован для выполнения всех опасных команд, которые должен выполнять GDDR-скрипт. Это работает с принудительным использованием имени задания, так что суррогатный идентификатор пользователя может отправлять задания только с заданным именем задания.
При работе с панелью Select script to run выполняется попытка вставить определенный идентификатор суррогатного пользователя в карточку задания, если для параметра ENFORCE установлено значение yes.
Эта автоматическая вставка не выполняется, если монитор событий (EVM) отправляет пакетное задание. Это подзадача GDDR, и нет пользователя, который просит GDDR отправить задание. В этой ситуации нет необходимости использовать PROPCNTL.
Сводка:
Если идентификатор пользователя управляется с помощью класса PROPCNTL и этот пользователь хочет отправить пакетное задание для выполнения от этого идентификатора пользователя, инструкция JOB должна содержать как идентификатор пользователя, так и правильный пароль.
Например, если пользователь A отправляет задание с параметром USER=A, необходимо также указать PASSWORD=пароль.
Однако, если другой пользователь хочет отправить задание с использованием управляемого идентификатора пользователя, он может либо указать идентификатор пользователя и пароль, как указано выше, либо использовать средства, предоставляемые классом SURROGAT, и указать идентификатор пользователя.
Например, если вы управляете пользователем A с помощью класса PROPCNTL, пользователь B может отправить задание, указав только USER=A с соответствующей авторизацией SURROGAT.
Функциональные возможности ПРОДУКТА GDDR:
Функция SURROGAT в контексте GDDR предназначена для того, чтобы операторы-люди могли отправлять сценарии и запускать их с вышестоящим руководством. Это означает, что личный идентификатор пользователя оператора не должен быть авторизован для выполнения всех опасных команд, которые должен выполнять GDDR-скрипт. Это работает с принудительным использованием имени задания, так что суррогатный идентификатор пользователя может отправлять задания только с заданным именем задания.
При работе с панелью Select script to run выполняется попытка вставить определенный идентификатор суррогатного пользователя в карточку задания, если для параметра ENFORCE установлено значение yes.
Эта автоматическая вставка не выполняется, если монитор событий (EVM) отправляет пакетное задание. Это подзадача GDDR, и нет пользователя, который просит GDDR отправить задание. В этой ситуации нет необходимости использовать PROPCNTL.
Сводка:
Если ваша безопасность требует, чтобы вы контролировали отправку заданий, которые могут повлиять на вашу среду GDDR, используйте PRODCNTL и SURROGAT. Для адресного пространства EVM все отправленные задания строго контролируются GDDR и не требуют добавления PROPCNTL. EVM отправляет задания в соответствии со своими требованиями, и пользователь не контролирует и не изменяет то, что отправляется.
Affected Products
Geographically Dispersed Disaster Restart (GDDR)Products
Geographically Dispersed Disaster Restart (GDDR)Article Properties
Article Number: 000011878
Article Type: How To
Last Modified: 25 Jul 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.