GDDR：PROPCNTL および SURROGAT のニーズに対する開始タスクおよびバッチ・ジョブの実行依頼に RACF 権限を使用する

PROPCNTL が使用可能な場合、IBM RACF マニュアルに従って、そのアドレス・スペースからサブミットされたすべてのジョブにユーザー ID とパスワードが必要です。これは、すべてのサーバー・タイプのタスクに使用して、ユーザーが資格のないリソース許可を取得できないようにします。 
 
ユーザー ID が PROPCNTL クラスを使用して制御され、そのユーザーがそのユーザー ID から実行するバッチ・ジョブを実行依頼する場合、JOB ステートメントにはユーザー ID と適切なパスワードの両方が含まれていなければなりません。

例えば、ユーザー A が USER=A を指定してジョブを実行依頼する場合は、PASSWORD=password も指定する必要があります。

ただし、別のユーザーが制御ユーザー ID を使用してジョブを実行依頼する場合は、そのユーザーは上記のようにユーザー ID とパスワードを指定するか、SURROGAT クラスが提供する機能を使用してユーザー ID を指定できます
 
例えば、PROPCNTL クラスを使用してユーザー A を制御した場合、ユーザー B は、適切な SURROGAT 許可で USER=A のみを指定して、ジョブを実行依頼することができます。

GDDR製品の機能:
GDDR コンテキストでの SURROGAT 機能の目的は、人間のオペレーターがスクリプトを送信し、それらをより高い権限で実行できるようにすることです。つまり、GDDRスクリプトが実行する必要があるすべての危険なコマンドを発行する権限がオペレーターの個人ユーザーIDである必要はありません。これは、ジョブ名の強制とともに機能するため、代理ユーザー ID は、強制されたジョブ名を持つジョブのみを実行依頼できます。

「実行するスクリプトの選択」パネルを通過するときに、ENFORCE が yes の場合、定義された代理ユーザー ID をジョブ・カードに挿入しようとします

この自動挿入は、イベント・モニター(EVM)がバッチ・ジョブを送信するときには行われません。これはGDDRのサブタスクであり、GDDRにジョブの投入を依頼するユーザーがいない。この状況では、PROPCNTLを使用する必要はありません。

概要：