GDDR : Utiliser l’autorité RACF pour soumettre des tâches démarrées et des travaux par lots pour les besoins PROPCNTL et SURROGAT
Résumé: Comprendre les exigences de l’autorité RACF (Resource Access Control Facility) pour GDDR (Geographically Dispersed Disaster Restart) afin de soumettre les tâches démarrées et les tâches par lots, y compris l’utilisation des classes PROPCNTL et SURROGAT pour la soumission des tâches et le contrôle des autorisations. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Instructions
Lorsque PROPCNTL est activé, conformément au manuel IBM RACF, toutes les tâches soumises à partir de cet espace d’adressage nécessitent un ID utilisateur et un mot de passe. Utilisez cette option pour toutes les tâches de type serveur afin d’empêcher un utilisateur d’obtenir des autorisations de ressources auxquelles il n’avait pas droit.
Si un ID utilisateur est contrôlé à l’aide de la classe PROPCNTL et que cet utilisateur souhaite soumettre une tâche par lots à exécuter à partir de cet ID utilisateur, l’instruction JOB doit contenir à la fois l’ID utilisateur et le mot de passe approprié.
Par exemple, si l’utilisateur A soumet une tâche avec USER=A, PASSWORD=password doit également être spécifié.
Toutefois, si un autre utilisateur souhaite soumettre une tâche à l’aide de l’ID utilisateur contrôlé, cet utilisateur peut soit spécifier l’ID utilisateur et le mot de passe comme ci-dessus, soit utiliser les fonctionnalités fournies par la classe SURROGAT et spécifier l’ID utilisateur.
Par exemple, si vous contrôlez l’utilisateur A à l’aide de la classe PROPCNTL, l’utilisateur B peut soumettre une tâche, en spécifiant uniquement USER=A avec l’autorisation SURROGAT appropriée.
Fonctionnalité du produit GDDR :
L’objectif de la fonctionnalité SURROGAT dans le contexte GDDR est de permettre aux opérateurs humains de soumettre des scripts et de les faire exécuter avec une autorité supérieure. Cela signifie que l’identifiant utilisateur personnel de l’opérateur n’a pas besoin d’être autorisé à émettre toutes les commandes dangereuses qu’un script GDDR doit exécuter. Cela fonctionne avec l’application du nom de tâche, de sorte que l’ID utilisateur de substitution ne peut soumettre des tâches avec le nom de tâche appliqué.
Lorsque vous parcourez le panneau Sélectionner le script à exécuter, une tentative est effectuée pour insérer l’ID utilisateur de substitution défini sur la carte de tâche, si ENFORCE a la valeur yes.
Cette insertion automatique n’est pas effectuée lorsque le moniteur d’événements (EVM) soumet une tâche par lots. Il s’agit d’une sous-tâche de GDDR et aucun utilisateur ne demande à GDDR de soumettre la tâche. Il n’est pas nécessaire d’utiliser PROPCNTL dans cette situation.
Résumé:
Si un ID utilisateur est contrôlé à l’aide de la classe PROPCNTL et que cet utilisateur souhaite soumettre une tâche par lots à exécuter à partir de cet ID utilisateur, l’instruction JOB doit contenir à la fois l’ID utilisateur et le mot de passe approprié.
Par exemple, si l’utilisateur A soumet une tâche avec USER=A, PASSWORD=password doit également être spécifié.
Toutefois, si un autre utilisateur souhaite soumettre une tâche à l’aide de l’ID utilisateur contrôlé, cet utilisateur peut soit spécifier l’ID utilisateur et le mot de passe comme ci-dessus, soit utiliser les fonctionnalités fournies par la classe SURROGAT et spécifier l’ID utilisateur.
Par exemple, si vous contrôlez l’utilisateur A à l’aide de la classe PROPCNTL, l’utilisateur B peut soumettre une tâche, en spécifiant uniquement USER=A avec l’autorisation SURROGAT appropriée.
Fonctionnalité du produit GDDR :
L’objectif de la fonctionnalité SURROGAT dans le contexte GDDR est de permettre aux opérateurs humains de soumettre des scripts et de les faire exécuter avec une autorité supérieure. Cela signifie que l’identifiant utilisateur personnel de l’opérateur n’a pas besoin d’être autorisé à émettre toutes les commandes dangereuses qu’un script GDDR doit exécuter. Cela fonctionne avec l’application du nom de tâche, de sorte que l’ID utilisateur de substitution ne peut soumettre des tâches avec le nom de tâche appliqué.
Lorsque vous parcourez le panneau Sélectionner le script à exécuter, une tentative est effectuée pour insérer l’ID utilisateur de substitution défini sur la carte de tâche, si ENFORCE a la valeur yes.
Cette insertion automatique n’est pas effectuée lorsque le moniteur d’événements (EVM) soumet une tâche par lots. Il s’agit d’une sous-tâche de GDDR et aucun utilisateur ne demande à GDDR de soumettre la tâche. Il n’est pas nécessaire d’utiliser PROPCNTL dans cette situation.
Résumé:
Si votre sécurité exige que vous contrôliez la soumission des tâches susceptibles d’affecter votre environnement GDDR, utilisez PRODCNTL et SURROGAT. Pour l’espace d’adressage EVM, toutes les tâches soumises sont strictement contrôlées par GDDR et ne nécessitent pas l’ajout de PROPCNTL. EVM soumet les tâches pour ses propres besoins et il n’y a aucun contrôle de l’utilisateur ni modification de ce qui est soumis.
Produits concernés
Geographically Dispersed Disaster Restart (GDDR)Produits
Geographically Dispersed Disaster Restart (GDDR)Propriétés de l’article
Numéro d’article: 000011878
Type d’article: How To
Dernière modification: 25 juil. 2025
Version: 6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.