Mensagens de violação de segurança em z/OS

Uma violação de segurança é indicada pelo código de retorno MQRC_NOT_AUTHORIZED em um programa de aplicativo ou por uma mensagem no log da tarefa.

Um código de retorno de MQRC_NOT_AUTHORIZED pode ser retornado a um programa de aplicativo pelos motivos a seguir:

Um usuário não é permitido conectar-se ao gerenciador de filas. Neste caso, você recebe uma mensagem ICH408I no log de tarefas Batch / TSO, CICS®ou IMS .
Uma conexão do usuário com o gerenciador de filas falhou porque, por exemplo, o ID do usuário da tarefa não é válido ou apropriado ou o ID do usuário da tarefa ou ID do usuário alternativo não é válido. Um ou mais desses IDs de usuário podem não ser válidos porque foram revogados ou excluídos. Neste caso, você obtém uma mensagem ICHxxxx e possivelmente uma mensagem IRRxxxx no log da tarefa do gerenciador de filas que fornece o motivo para a falha da conexão. Por exemplo:
```
ICH408I USER(NOTDFND ) GROUP(        ) NAME(???                 )
  LOGON/JOB INITIATION - USER AT TERMINAL          NOT RACF-DEFINED
IRR012I  VERIFICATION FAILED. USER PROFILE NOT FOUND
```
Um usuário alternativo foi solicitado, mas o ID do usuário da tarefa não possui acesso ao ID do usuário alternativo. Para essa falha, você obtém uma mensagem de violação no log da tarefa do gerenciador de filas relevante.
Uma opção de contexto foi usada ou é deduzida abrindo uma fila de transmissão para saída, mas o ID do usuário da tarefa ou, onde aplicável, o ID do usuário da tarefa ou alternativo não possui acesso à opção de contexto. Neste caso, uma mensagem de violação é colocada no log da tarefa do gerenciador de filas relevante.
Um usuário não autorizado tentou acessar um objeto de gerenciador de filas protegido, por exemplo, uma fila. Neste caso, uma mensagem ICH408I para a violação é colocada no log da tarefa do gerenciador de filas relevante. Essa violação pode ser devido à tarefa ou, quando aplicável, ao ID do usuário da tarefa ou alternativo.

As mensagens de violação para a segurança de comando e a segurança do recurso de comando também podem ser localizadas no log da tarefa do gerenciador de filas.

Se a mensagem de violação ICH408I mostrar o nome da tarefa do gerenciador de filas em vez de um ID do usuário, este é normalmente o resultado da especificação de um ID do usuário alternativo em branco. Por exemplo:

ICH408I JOB(MQS1MSTR) STEP(MQS1MSTR)
          MQS1.PAYROLL.REQUEST CL(MQQUEUE)
          INSUFFICIENT ACCESS AUTHORITY
          ACCESS INTENT(UPDATE )  ACCESS ALLOWED(NONE   )

É possível descobrir quem tem permissão para usar IDs de usuário alternativos em branco verificando a lista de acesso do perfil MQADMIN hlq.ALTERNATE.USER.-BLANK-.

Uma mensagem de violação ICH408I também pode ser gerada por:

Um comando sendo enviado para a fila de entrada de comando do sistema sem contexto. Os programas gravados pelo usuário que gravam na fila de entrada de comando do sistema sempre devem usar uma opção de contexto. Para obter mais informações, consulte Perfis para segurança de contexto.
Quando o trabalho que acessa o recurso " IBM® MQ não tem um ID de usuário associado a ele ou quando um adaptador " IBM MQ não pode extrair o ID de usuário do ambiente do adaptador.

As mensagens de violação também podem ser emitidas se você estiver usando a segurança no nível do grupo de filas compartilhadas e do gerenciador de filas. Talvez você receba mensagens indicando que nenhum perfil foi encontrado no nível do gerenciador de filas, mas ainda receba acesso devido a um perfil de nível do grupo de filas compartilhadas.

ICH408I JOB(MQS1MSTR) STEP(MQS1MSTR)
          MQS1.PAYROLL.REQUEST CL(MQQUEUE)
          PROFILE NOT FOUND - REQUIRED FOR AUTHORITY CHECKING
          ACCESS INTENT(UPDATE )  ACCESS ALLOWED(NONE   )

Consulte a documentação z/OS® for Security Server RACF® Messages and Codes para obter mais informações sobre as mensagens ICH408I.