GDDR:使用 RACF 权限提交已启动任务和批处理作业,以满足 PROPCNTL 和 SURROGAT 需求
摘要: 了解地理位置分散的灾难重启 (GDDR) 的资源访问控制设施 (RACF) 权限要求,以提交已启动的任务和批处理作业,包括使用 PROPCNTL 和 SURROGAT 类进行作业提交和授权控制。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
启用 PROPCNTL 后,根据 IBM RACF 手册,从该地址空间提交的所有作业都需要用户标识和密码。将此选项用于所有服务器类型任务,以防止用户获得他们无权获得的资源授权。
如果使用 PROPCNTL 类控制用户 ID,并且该用户想要提交批处理作业以从该用户 ID 运行,则 JOB 语句必须同时包含用户 ID 和正确的密码。
例如,如果用户 A 提交作业时 USER=A,则还必须指定 PASSWORD=password。
但是,如果其他用户想要使用受控用户 ID 提交作业,则该用户可以按上述方式指定用户 ID 和密码,也可以使用 SURROGAT 类提供的工具并指定用户 ID。
例如,如果您使用 PROPCNTL 类控制用户 A,则用户 B 可以提交作业,仅指定具有相应 SURROGAT 授权的 USER=A。
GDDR 产品功能:
GDDR 上下文中 SURROGAT 功能的意图是让人工作员可以提交脚本并使用更高的权限运行这些脚本。这意味着作员个人用户 ID 不必获得授权即可发出 GDDR 脚本必须执行的所有危险命令。这适用于作业名称的强制执行,因此代理用户 ID 只能使用强制执行的作业名称提交作业。
通过“选择要运行的脚本”面板时,如果“ENFORCE”为“yes”,则尝试在作业卡上插入定义的代理用户 ID。
当事件监视器 (EVM) 提交批处理作业时,不会完成此自动插入。这是 GDDR 的子任务,没有用户要求 GDDR 提交作业。在这种情况下,不需要使用 PROPCNTL。
总结:
如果使用 PROPCNTL 类控制用户 ID,并且该用户想要提交批处理作业以从该用户 ID 运行,则 JOB 语句必须同时包含用户 ID 和正确的密码。
例如,如果用户 A 提交作业时 USER=A,则还必须指定 PASSWORD=password。
但是,如果其他用户想要使用受控用户 ID 提交作业,则该用户可以按上述方式指定用户 ID 和密码,也可以使用 SURROGAT 类提供的工具并指定用户 ID。
例如,如果您使用 PROPCNTL 类控制用户 A,则用户 B 可以提交作业,仅指定具有相应 SURROGAT 授权的 USER=A。
GDDR 产品功能:
GDDR 上下文中 SURROGAT 功能的意图是让人工作员可以提交脚本并使用更高的权限运行这些脚本。这意味着作员个人用户 ID 不必获得授权即可发出 GDDR 脚本必须执行的所有危险命令。这适用于作业名称的强制执行,因此代理用户 ID 只能使用强制执行的作业名称提交作业。
通过“选择要运行的脚本”面板时,如果“ENFORCE”为“yes”,则尝试在作业卡上插入定义的代理用户 ID。
当事件监视器 (EVM) 提交批处理作业时,不会完成此自动插入。这是 GDDR 的子任务,没有用户要求 GDDR 提交作业。在这种情况下,不需要使用 PROPCNTL。
总结:
如果您的安全性要求您控制可能影响 GDDR 环境的作业的提交,请使用 PRODCNTL 和 SURROGAT。对于 EVM 地址空间,所有提交的作业都由 GDDR 严格控制,不需要添加 PROPCNTL。EVM 根据自己的要求提交作业,并且用户无法控制或修改提交的内容。
受影响的产品
Geographically Dispersed Disaster Restart (GDDR)产品
Geographically Dispersed Disaster Restart (GDDR)文章属性
文章编号: 000011878
文章类型: How To
上次修改时间: 25 7月 2025
版本: 6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。