[z/OS]

使用 z/OS 操作系统上的角色和组来保护 作业调度程序

您可以使用角色和组来保护 作业调度程序。如果用户和作业是相同组的成员并且用户角色允许执行操作,那么该用户可以对该作业执行操作。

开始之前

启动 Deployment Manager 和所有 Node Agent。

关于此任务

启用 WebSphere® Application Server 全局安全性。配置联合存储库的用户注册表网桥。 安装和配置 VMM SAF 映射模块并将该模块添加到三个登录模块中。然后,使用 RACF® 创建一个组并将用户添加到该组中。将组分配给作业。定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。

过程

  1. 启用全局安全性。
    请阅读 WebSphere Application Server 文档中关于启用安全性的部分并遵循指示信息执行操作。在“全局安全性”面板上,请确保选择了以下选项。
    • 启用管理安全性启用应用程序安全性
    • 联合存储库(对于可用的领域定义
    • 启用 SAF 委派(对于授权提供程序
  2. 配置联合存储库的用户注册表网桥。

    请阅读 WebSphere Application Server 文档中关于使用 wsadmin 脚本编制来配置联合存储库的用户注册表网桥的部分并遵循指示信息执行操作。

  3. 安装和配置 SampleVMMSAFMappingModule 模块。

    请阅读关于为产品安装和配置定制系统授权工具映射模块的部分并遵循指示信息执行操作。将模块添加到 WEB_INBOUND、RMI_INBOUND 和 DEFAULT 登录模块。

  4. 同步更改并重新启动单元。
  5. 创建组并向该组添加用户。

    请阅读 RACF 用户指南《安全服务器 RACF 常规用户指南》中关于创建组并向该组添加用户的信息。

  6. 设置用于指示批处理环境所使用的策略的定制属性。
    1. 展开系统管理 > 作业调度程序
    2. 在“其他属性”下,单击定制属性 > 新建
    3. 名称字段中,输入 JOB_SECURITY_POLICY,然后在字段中,输入 GROUP
    4. 单击确定
  7. 将组分配给作业。

    作业属于用户组和管理组。如果未定义 JOB_SECURITY_ADMIN_GROUP 变量,那么作业调度程序会自动将管理组分配给每一个作业。

    • 通过 JOB_SECURITY_ADMIN_GROUP 作业调度程序定制属性来配置管理组名的值:
      JOB_SECURITY_ADMIN_GROUP=JSYSADMN
      缺省管理组名为 JSYSADMN
    • 使用下列其中一种方法来分配该组。
      • 在 xJCL 中的组属性上定义该组,例如:
        <job-name=”{jobname}” group=”{group-name}” …  />
      • 使用 JOB_SECURITY_DEFAULT_GROUP 作业调度程序定制属性来设置作业调度程序缺省组名:
        JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT
        缺省组名为 JSYSDFLT
      xJCL 中的组属性优先于作业调度程序定制属性。如果在 xJCL 中不指定组名,那么作业调度程序将指定缺省组名。
  8. 定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。

    如果使用 z/OS® 操作系统上的系统授权工具 (SAF) EJBROLE 概要文件来管理基于角色的安全性,请定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。允许将这些角色分配给批处理作业管理员和提交者的相应 SAF 用户标识。

结果

您已创建了一个组并将用户分配给该组。还允许向用户标识分配相应的角色,以便在角色允许执行操作时,用户可以管理作业。

下一步做什么

使用组和角色安全性管理作业。

  1. 提交作业。
  2. 让您在上一步中创建的用户对该作业执行操作(例如通过查看作业日志)。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_bgsecure_user_group_zos
文件名:tgrid_bgsecure_user_group_zos.html