ジョブ・スケジューラー を保護するためのロールおよび特権
このトピックでは、ジョブ・スケジューラーを保護するための lradmin および lrsubmitter ロールおよび特権について説明します。
異なるロールの権限
グローバル・セキュリティーおよびアプリケーション・セキュリティーを有効にすることによって、ジョブ・スケジューラー・アプリケーションを保護することができます。アプリケーション・セキュリティーは、ジョブ管理コンソールを保護します。ジョブ・スケジューラー・アプリケーションは、宣言セキュリティー方式とインスタンス・ベースのセキュリティー方式の両方を組み合わせて使用して、ジョブおよびコマンドを保護します。この場合、lradmin または lrsubmitter ロールを割り当てられたユーザーのみが、セキュリティーが有効な環境でグリッド操作を実行する権限を持ちます。
以下の表に示すように、lradmin ロールを割り当てられたユーザーは、ジョブの所有者に関わらず、すべてのジョブですべてのジョブ・スケジューラー・アプリケーション・アクションを実行する権限を持ちますが、lrsubmitter を割り当てられたユーザーは、実行依頼者自身が所有するジョブに対してのみアクションを実行できます。以下の表で、X の文字は権限を表します。
クライアント・コマンド | lradmin ロール | lrsubmitter ロール |
---|---|---|
submit -xJCL=<file> | X | X |
submit -job=<job name> | X | X |
submit -job=<job name> -add or replace | X | N/A これは管理コマンドです。 |
cancel -jobid=<jobid> | X | X (所有するジョブのみ) |
purge -jobid=<jobid> | X | X (所有するジョブのみ) |
output -jobid=<jobid> | X | X (所有するジョブのみ) |
restart -jobid=<jobid> | X | X (所有するジョブのみ) |
remove -job=<jobname> | X | N/A これは管理コマンドです。 |
suspend -jobid=<jobid> | X | X (所有するジョブのみ) |
resume -jobid=<jobid> | X | X (所有するジョブのみ) |
status (showAll) | X | N/A これは管理コマンドです。 |
status -jobid=<jobid> | X | X (所有するジョブのみ) |
getBatchJobRC -jobid=<jobid> | X | X (所有するジョブのみ) |
help | X | X |
z/OS® オペレーティング・システムで System Authorization Facility (SAF) の EJBROLE プロファイルを使用してロール・ベースのセキュリティーを管理する場合、lradmin ロールおよび lrsubmitter ロールの EJBROLE プロファイルを定義してください。これらのロールを、バッチ・ジョブ管理者および実行依頼者の適切な SAF ユーザー ID に許可します。