Sicherheit fürCICS Programme

CICS® führt keine Sicherheitsüberprüfung für das erste mit einer Transaktion verbundene Programm durch. Stattdessen kontrolliert es den Zugriff auf das ursprüngliche Programm, indem es eine Sicherheitsüberprüfung der zugehörigen Transaktion durchführt. Sie können den Zugriff auf das Startprogramm steuern, indem Sie Benutzern die Autorisierung für die Einleitung der zugehörigen Transaktion geben (Transaktionssicherheit). Für Programme, die von anderen aufgerufen werden, können Sie die Ressourcensicherheitsprüfung mithilfe desXPPT Systeminitialisierungsparameter. CICS Programme müssen lesbar sein.

CICS Anwendungsprogramme können andere Programme mithilfe der Befehle LINK, LOAD und XCTL aufrufen. Der Ladezustand von Programmen kann auch durch dieCICS Befehle RELEASE, ENABLE und DISABLE. Beachten Sie jedoch, dass für die Freigabe geladener Programme keine separate Sicherheitsüberprüfung für die Dauer der Task erfolgt. Dies erfolgt auf der entsprechenden LOAD.

Sie steuern den Zugriff auf Programme, die mit diesen Befehlen aufgerufen werden, indem Sie Profile imCICS Anwendungsprogrammklassen, und die Sie definieren, umCICS vom XPPT-Systeminitialisierungsparameter.

So steuern Sie, welche Benutzer den Ladestatus anderer Programme aufrufen oder ändern können:
  1. Geben Sie RESSEC(YES) in der CSD-Ressourcendefinition der Transaktionen an, die die Befehle LINK, LOAD, XCTL, RELEASE, ENABLE oder DISABLE verwenden.
  2. Definieren Sie Profile, umRACF® in den Ressourcenklassen MCICSPPT oder NCICSPPT (oder deren Äquivalent, wenn Sie benutzerdefinierte Ressourcenklassennamen haben) unter Verwendung des Namens des Programms, das mit dem Befehl LINK, LOAD oder XCTL aufgerufen wurde, um die Profile zu identifizieren.
    Verwenden Sie beispielsweise die folgenden Befehle, um ein Programm in der Klasse MCICSPPT zu definieren und nur einen Benutzer zu autorisieren:
    RDEFINE  MCICSPPT  (prog1, prog2, ..., progn)  UACC(NONE)
                  NOTIFY(sys_admin_userid)
PERMIT  prog1 CLASS(MCICSPPT)  ID(userid) ACCESS(READ)
PERMIT  prog2 CLASS(MCICSPPT)  ID(userid) ACCESS(READ)
    Um Programme mit einer entsprechenden Zugriffsliste als Mitglieder eines Profils in der Anwendungsprogramm-Ressourcengruppenklasse zu definieren, verwenden Sie die folgenden Befehle:
    RDEFINE  NCICSPPT  cics_programs  UACC(NONE)
                   ADDMEM(proga, progb, ..., progx)
                   NOTIFY(sys_admin_userid)
PERMIT cics_programs CLASS(NCICSPPT) ID(group_userid) ACCESS(READ)
  3. AngebenSEC=YES Als einCICS Systeminitialisierungsparameter (undSECPRFX wenn Sie Profile mit einem Präfix definieren).
  4. Präzisiere dasXPPT Systeminitialisierungsparameter, so dassCICS führt die Sicherheitsüberprüfung für Programme durch, die aufgerufen werden vonLINK ,LOAD , UndXCTL Befehle:
    • 6.2 und später Setzen Sie XPPT=(YES,ALL) für die Standard-Ressourcenklassennamen MCICSPPT und NCICSPPT (oder XPPT=(class_name,ALL) für benutzerdefinierte Ressourcenklassennamen).
    • 6.1 SatzXPPT=(YES) für die Standardressourcenklassennamen MCICSPPT und NCICSPPT (oderXPPT=(class_name) für benutzerdefinierte Ressourcenklassennamen).

Ausnahme für DPL-Befehle (Distributed Program Link)

WennCICS stellt fest, dass ein Programm, auf das in einemLINK Da es sich bei dem Befehl um ein Remote-Programm handelt, führt er die Sicherheitsüberprüfung nicht in der Region durch, in der der Link-Befehl ausgegeben wird. Die Sicherheitsüberprüfung erfolgt ausschließlich imCICS Region, in der das verknüpfte Programm schließlich ausgeführt wird.

Wenn beispielsweise eine CICSA-Funktion einen DPL-Befehl an CICSB sendet, wo das Programm dann ausgeführt wird, führt CICSB die Sicherheitsprüfung durch. Wenn die DPL-Anforderung zur Ausführung erneut an CICSC gesendet wird, führt CICSC die Sicherheitsprüfung durch.

Durchführen der Sicherheitsüberprüfung nur für das erste verknüpfte Remote-Programm

6.2 und später Gilt für 6.2 und später.

Die Durchführung der Sicherheitsüberprüfung aller aufgerufenen Programme kann aufwändig sein. Im Falle von Distributed Program Link (DPL) können Sie konfigurierenCICS nur das erste Programm zu prüfen, das durch das Spiegelprogramm (DFHMIRS) verknüpft ist, indem SieDPLONLY auf der XPPT-Systeminitialisierungsparameter . Auf diese Weise können Sie die Sicherheitskosten senken und gleichzeitig die Kontrolle über remote verknüpfte Programme behalten. Weitere Informationen zu DPL und dem Mirror-Programm finden Sie unter So funktioniert es: Abbildung einer DPL-Anfrage .

Das folgende Diagramm zeigt die Programmverknüpfung zwischen zwei Regionen mithilfe von DPL:
  1. In der CICA-Region gibt das Initial Program (PGA) der AAAA-Transaktion eineLINK zum PGB-Programm. Das PGB-Programm gibt dann eineLINK Befehl an das PGM-Programm in einer Remote-Region (CICB).
  2. In der CICB-Region wird das DFHMIRS-Spiegelprogramm von der CSMI-Spiegeltransaktion ausgeführt, um die Remote-Anforderung zu verarbeiten. Das Spiegelprogramm erstellt die Anforderung neu und stellt eine Verknüpfung zum PGM-Programm her.
  3. Das PGM-Programm ist mit dem PGN-Programm verknüpft.
Dieses Diagramm zeigt die Programmverknüpfung zwischen PGA, PGB, PGM und PGN, wobei sich PGM und PGN in der CICB-Region und PGA und PGB in der CICA-Region befinden.

Wenn Sie alle Programme sichern möchten, geben Sie anXPPT=(YES,ALL) oderXPPT=(class_name,ALL) in beiden Regionen. In diesem Fall führt CICA die Sicherheitsprüfung für die AAAA-Transaktion und das PGB-Programm durch, während CICB die Sicherheitsprüfung für die PGM- und PGN-Programme durchführt.

Wenn Sie nur das erste Programm in beiden Regionen sichern möchten, geben Sie anXPPT=(YES,DPLONLY) oderXPPT=(class_name,DPLONLY) in beiden Regionen. In diesem Fall führt CICA die Sicherheitsprüfung für die AAAA-Transaktion durch, während CICB die Sicherheitsprüfung für das PGM-Programm durchführt.