类别 2 事务
此处列出的类别 2 事务由 CICS 用户启动,或者与 CICS 用户关联。 例如,类别 2 事务可以由运行另一个事务的用户启动的 EXEC CICS START 命令启动。 将启动这些事务的权限限制为属于特定 RACF® 组的用户标识。
对于 CICS® 资源定义,所提供的事务是使用建议的 RESSEC 和 CMDSEC 选项定义的。 具体而言, CECI , CEDF , CEMT 和 CEST 随 RESSEC (YES) 和 CMDSEC (YES) 一起提供。 镜像事务是使用 RESSEC (YES) 定义的。 要更改其中任何定义,请将其复制到另一个组。 建议不要更改提供的任何其他事务的定义。
对于大多数类别 2 事务,请按如下所示向 RACF 指定这些事务:
- 事务概要文件中的 UACC (NONE) 和 AUDIT (FAILURES)。 AUDIT (FAILURES) 是缺省值,不必指定。
- 适当的访问列表。
用户不太可能需要访问此类别中的所有事务,因此请考虑在多个子类别中定义事务。 您可以选择以最适合安装需求的方式对 CICS 事务进行分组。 以下示例显示了一种可以对类别 2 事务进行分组的方法。
样本 CLIST DFH$CAT2 (在库 CICSTS54.CICS.SDFHSAMP 中) 可帮助您向 RACF定义类别 2 概要文件。 如果要使用此示例,请先查看并编辑安装的 CLIST ,然后再运行该 CLIST。 要使用其他设置,请调整 CLIST 或提供您自己的设置。 样本将事务分组为以下类别:
- SYSADM
- 此类别包含 CCRL , CDBC , CEDA , CEMN , CEMT , CESD , CETR 和 CIND。
- JVM 用户
- 此类别包含 CJSA 和 CJSU。注: 根据您的安全配置,事务 CJSA 和 CJSU 可能要求 CICS 缺省用户具有访问权。 有关更多信息,请参阅 Security for Java applications, Configuring z/OS Connect for a CICS JSON web service和 Configure permission for z/OS Connect Services and API。
作为安全性最佳实践,您应该开启 Liberty 安全性并避免使用 CICS 缺省用户来运行应用程序任务。 对于 z/OS Connect 服务,您可以安装 URIMAP 资源, CICS 使用该资源将服务的工作与 CICS 中的特定事务标识和初始用户标识相关联。
CJSA 是没有匹配 URI 的任何 Web 请求的缺省事务标识。 请考虑限制对 CJSA 的访问,以防止任何任意应用程序运行。
- 开发者
- 此类别包含 CADP , CEBR , CECI , CECS , CEDB , CEDF 和 CEDX。
- Inquire
- 此类别包含 CDBI , CEDC , CKBM , CKDL , CKDP , CKQC , CKRT 和 CLDM。
- 操作器
- 此类别包含 CBAM , CEOT , CEST , CIDP , CKAM , CKBM , CKBP , CKBC , CKBR , CKCN , CKDL , CKDP , CKQC , CKRS , CKRT , CKSD , CMSG , CKSQ , CRTE , CKTI , CSFE , CWTO 和 DSNC。
- DBCTL
- 此类别包含 CDBC , CDBI , CDBM 和 CDBT。
- 国际通信公司
- 此类别包含 CDFS , CEHP , CEHS , CPMI , CSHR , CSMI , CSM1, CSM2, CSM3, CSM5, CTIN 和 CVMI。如果您正在使用函数输送,那么镜像事务必须可供函数输送环境中的远程用户使用。 当数据库或文件位于另一个 CICS 区域时, CICS 函数会传递访问数据的请求。 请求在其中一个 CICS提供的镜像事务下运行。 在这种情况下,以下条件适用:
- 必须授权运行应用程序的终端用户使用镜像事务。 请参阅 事务安全性 (Transaction security)。
- 还必须授权终端用户使用镜像事务访问的数据。 请参阅 资源安全性 (Resource security)。 镜像事务是在定义了 RESSEC (YES) 的情况下提供的; 因此,即使用户的事务指定了 RESSEC (NO) ,如果用户无权访问数据,镜像事务也会失败。
如果不使用资源安全性检查,请更改镜像事务定义以指定 RESSEC (NO)。 由于镜像事务是受 IBM保护的资源,因此请首先将这些定义复制到您自己的组中,然后进行更改。
对于延迟的 START 请求,如果要启动的用户事务符合动态路由选择的条件,那么系统事务 CDFS 将在指定时间运行并启动用户事务。 确保正确配置了 CDFS 的安全性。
- WEBUSER
- 此类别包含 CWBA 和 CW2A。
CICS 缺省用户最初需要访问 CWBA 事务,即使随后使用分析器程序将另一个用户标识分配给该任务也是如此。 确保在 DFLTUSER 系统初始化参数中指定的 CICS 缺省用户具有对此事务的访问权。 如果使用提供的 CLIST DFH$CAT2 来创建 WEBUSER RACF 概要文件,那么缺省用户必须有权访问此概要文件。
- rpcUser
- 此类别包含 CRPA , CRPC 和 CRPM。
- CMCIUSER
- 此类别包含 CWWU。
- PIPEUSER
- 此类别包含 CPIH , CPIL , CPIQ 和 CPIA。
- 事件用户
- 此类别包含 CEPH , CEPQ , CEPR , CEPS 和 CEPT。
CEPH , CEPQ , CEPR , CEPS 和 CEPT 是需要安全性检查时使用的缺省 EP 适配器事务标识。 它们是使用 RESSEC (YES) 和 CMDSEC (YES) 选项定义的。 如果这些选项不是您想要的选项,那么必须在 " 事件绑定编辑器" 的 "适配器" 选项卡 高级选项 部分中指定您自己的事务标识。 有关更多信息,请参阅 指定 EP 适配器和分派器信息。
- ALLUSER
- 此类别包含 CMAC , CRTX 和 CSGM。
将 CICS 消息和代码事务 CMAC 以及
早上好
事务 CSGM (或 GMTRAN 系统初始化参数中定义的事务) 定义为其自己的组中的 UACC (READ) ,因为所有用户都需要对其进行访问。 如果您的安装使用 CSGM ,那么未被授权使用 CSGM 的用户在尝试使用 CICS时将收到消息 DFHAC2002 。 如果您使用 GNTRAN 系统初始化参数定义了晚安
事务,那么还请将您的晚安事务包含在此组中。
以下代码示例显示如何使用 RDEFINE 和 PERMIT 命令来定义类别 2 事务的示例组。
RDEFINE GCICSTRN INQUIRE UACC(NONE)
ADDMEM(CDBI,CEDC,CKBM,CKDL,CKDP,CKQC,CKRT,CLDM)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
RDEFINE GCICSTRN SYSADM UACC(NONE)
ADDMEM(CCRL,CDBC,CEDA,CEMN,CEMT,CESD,CETR,CIND)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT SYSADM CLASS(GCICSTRN) ID(sysgrp1,..,sysgrpz) ACCESS(READ)RDEFINE GCICSTRN DEVELOPER UACC(NONE)
ADDMEM(CADP,CEBR,CECI,CECS,CEDB,CEDF,CEDG,CEDX,CEDY)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT DEVELOPER CLASS(GCICSTRN) ID(devgrp1,..,devgrpz)
RDEFINE GCICSTRN INQUIRE UACC(NONE)
ADDMEM(CDBI,CEDC,CKBM,CKDL,CKDP,CKQC,CKRT)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT INQUIRE CLASS(GCICSTRN) ID(inqgrp1,..,inqgrpz)RDEFINE GCICSTRN OPERATOR UACC(NONE)
ADDMEM(CBAM,CEOT,CEST,CIDP,CKAM,CKBM,CKBP,CKBC,CKBR,CKCN,CKDL,+
CKDP,CKQC,CKRS,CKRT,CKSD,CMSG,CKSQ,CRTE,CKTI,CSFE,CWTO,DSNC)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT OPERATOR CLASS(GCICSTRN) ID(opsgrp1,..,opsgrpz) ACCESS(READ)
RDEFINE GCICSTRN DBCTL UACC(NONE)
ADDMEM(CDBC,CDBI,CDBM,CDBT)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT DBCTL CLASS(GCICSTRN) ID(dbctgrp1,..,dbctgrpz) ACCESS(READ)RDEFINE GCICSTRN INTERCOM UACC(NONE)
ADDMEM(CEHP,CEHS,CPMI,CSHR,CSMI,CSM1,CSM2,CSM3,CSM5,CVMI,CDFS,CTIN)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT INTERCOM CLASS(GCICSTRN) ID(intrgrp1,..,intrgrpz) ACCESS(READ)
RDEFINE GCICSTRN ALLUSER UACC(READ)
ADDMEM(CMAC,CRTX,CSGM)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT ALLUSER CLASS (GCICSTRN) ID(allrgrp1,..,allrgrpz) ACCESS(READ)
RDEFINE GCICSTRN WEBUSER UACC(NON)
ADDMEM(CWBA,CW2A)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT WEBUSER CLASS (GCICSTRN) ID(webrgrp1,..,webgrpz) ACCESS(READ)RDEFINE GCICSTRN RESTUSER UACC(NON)
ADDMEM(CWWU)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT WEBUSER CLASS (GCICSTRN) ID(rstrgrp1,..,rstgrpz) ACCESS(READ)
RDEFINE GCICSTRN RPCUSER UACC(NON)
ADDMEM(CRPA,CRPC,CRPM)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT RPCUSER CLASS (GCICSTRN) ID(rpcrgrp1,..,rpcrgrpz) ACCESS(READ)
RDEFINE GCICSTRN PIPEUSER UACC(NONE)
ADDMEM(CPIH,CPIL,CPIQ,CPIA)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT PIPEUSER CLASS(GCICSTRN) ID(pipeline_access_list)RDEFINE GCICSTRN CMCIUSER UACC(NONE)
ADDMEM(CWWU)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT CMCIUSER CLASS(GCICSTRN) ID(cmciuser_access_list)
RDEFINE GCICSTRN EVENTUSER UACC(NONE)
ADDMEM(CEPH,CEPQ,CEPR,CEPS,CEPT)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT EVENTUSER CLASS(GCICSTRN) ID(eventuser_access_list)
RDEFINE GCICSTRN JVMUSER UACC(NONE)
ADDMEM(CJSA)
NOTIFY(security_admin_userid)
OWNER(userid or groupid)
PERMIT JVMUSER CLASS (GCICSTRN) ID(librgrp1,..,libgrpz) ACCESS(READ)注:
- 如果为这些事务定义了 RESSEC (YES) 和 CMDSEC (YES) ,请确保有权使用这些事务的用户组也有权访问这些事务所使用的 CICS 资源和命令。
- 如果使用资源组概要文件保护资源,那么如果用户可以对这两个概要文件具有不同的访问权,那么在使用另一个概要文件保护同一资源时必须小心。 如果概要文件不同 (例如,如果它们具有不同的访问列表) ,那么 RACF 会合并授权检查期间使用的概要文件。 合并可能会在检查时产生更高的成本,并且可能难以确定哪个访问权限适用于特定用户。 请参阅 z/OS Security Server RACF Security Administrator 's Guide 以获取更多信息。
| 事务 | Program | CSD 组 | 安全性类别 | 描述 |
|---|---|---|---|---|
| CADP* | DFHDPLU | DFHDP | 2 | 应用程序调试概要文件管理器 |
| CBAM* | DFHECBAM | DFHOPER | 2 | BTS 对象浏览器 |
| CCRL * | DFHSOCRL | DFHOPER | 2 | CICS 证书撤销列表事务 |
| CDBC* | DFHDBME | DFHDBCTL | 2 | DBCTL 接口菜单事务 |
| CDBI* | DFHDBIQ | DFHDBCTL | 2 | DBCTL 接口查询事务 |
| CDBM* | DFHDBMP | DFHDBCTL | 2 | DBCTL 操作程序事务 |
| CDBT | DFHDBDSC | DFHDBCTL | 2 | DBCTL 接口断开连接事务 |
| CDFS | DFHDFST | DFHISC | 2 | 动态开始时间间隔 |
| CEBR* | DFHEDFBR | DFHEDF | 2 | 浏览临时存储器 |
| CECI * | DFHECIP | DFHINTER | 2 | 命令级别解释器 |
| CECS* | DFHECSP | DFHINTER | 2 | 命令级别解释器 |
| 阿拉伯国家评价 * | DFHEDAP | DFHSPI | 2 | 资源定义联机-已满 (RDO) |
| CEDB* | DFHEDAP | DFHSPI | 2 | 资源定义联机限制 (RDO) |
| CEDC* | DFHEDAP | DFHSPI | 2 | 联机查看资源定义 (RDO) |
| CEDF* | DFHEDFP | DFHEDF | 2 | 执行诊断工具 |
| CEDX * | DFHEDFP | DFHEDF | 2 | 非终端任务的执行诊断工具 |
| CEHP | DFHCHS | DFHISC | 2 | LU 类型 2 镜像事务 (已废弃) |
| CEHS | DFHCHS | DFHISC | 2 | LU 类型 2 镜像事务 (已废弃) |
| CEMN * | DFHCEMNA | DFHOPER | 2 | CICS 监视设施事务 |
| CEMT* | DFHEMTP | DFHOPER | 2 | 主终端 |
| (CEOT*) | DFHEOTP | DFHOPER | 2 | 终端状态 |
| CEPH | DFHECEAH | DFHEP | 2 | 用于事件处理的 HTTP EP 适配器 |
| CEPQ | DFHECEAM | DFHEP | 2 | 用于事件处理的 WebSphere® MQ EP 适配器 |
| CEPR | DFHECEAQ | DFHEP | 2 | 用于事件处理的 TDQ EP 适配器 |
| CEPS | DFHECEAS | DFHEP | 2 | 启动事务适配器以进行事件处理 |
| CEPT | DFHECEAT | DFHEP | 2 | 用于事件处理的 TSQ EP 适配器 |
| CESD | DFHCESD | DFHSDAP | 2 | 关闭辅助 |
| CEST* | DFHESTP | DFHOPER | 2 | 监督终端 |
| CETR* | DFHCETRA | DFHOPER | 2 | 查询和设置跟踪选项 |
| CHLP | DFHCMAC | DFHCMAC | 2 | CMAC 的别名 |
| CIDP* | DFHDPIN | DFHDP | 2 | 取消激活调试概要文件实用程序 |
| CIND* | DFHINDT | DFHINDT | 2 | CICS 不确定测试工具 |
| CJSA | DFHSJTHP | DFHJAVA | 2 | JVM 服务器请求处理器事务 |
| CJSU | DFHSJTHP | DFHJAVA | 2 | JVM 服务器未分类的请求处理器事务 |
| CKAM | DFHMQMON | DFHMQ | 2 | CICS-MQ 适配器警报监视器 |
| CKBC | DFHMQBP3 | DFHMQ | 2 | CICS-用于通道和容器 DPL 网桥的MQ 网桥程序链接事务 |
| CKBM | DFHMQBAS | DFHMQ | 2 | CICS-MQ 适配器基本面板事务 |
| CKBP | DFHMQBP0 | DFHMQ | 2 | CICS-MQ 网桥 DPL 网桥任务 (COMMAREA) |
| CKBR | DFHMQBR0 | DFHMQ | 2 | CICS-MQ 网桥监视器任务 |
| CKCN | DFHMQQCN | DFHMQ | 2 | CICS-MQ 适配器启动连接事务 |
| CKDL | DFHMQDSL | DFHMQ | 2 | CICS-MQ 适配器,显示状态事务 |
| CKDP | DFHMQDIS | DFHMQ | 2 | CICS-MQ 适配器,显示事务 |
| CKQC* | DFHMQCTL | DFHMQ | 2 | CICS-MQ 适配器控制事务 |
| CKRS | DFHMQRS | DFHMQ | 2 | CICS-MQ 适配器修改事务 |
| CKRT | DFHMQRET | DFHMQ | 2 | CICS-MQ Adapter 屏幕返回事务 |
| CKSD | DFHMQDSC | DFHMQ | 2 | CICS-MQ 适配器停止连接事务 |
| CKSQ | DFHMQSSQ | DFHMQ | 2 | CICS-MQ 适配器启动/停止 CKTI 事务 |
| CKTI | DFHMQTSK | DFHMQ | 2 | CICS-MQ 适配器-任务发起程序事务 |
| * CLDM* | DFHLDMAP | DFHOPER | 2 | CICS 装入模块映射 |
| CMAC | DFHCMAC | DFHCMAC | 2 | 消息实用程序 |
| CMSG* | DFHMSP | DFHMSWIT | 2 | 消息交换(message switching) |
| CPIA* | DFHPITE | DFHPIPE | 2 | 从终端调用 CPIS |
| CPIH | DFHPIDSH | DFHPIPE | 2 | CICS 管道 HTTP 入站路由器 |
| CPIL | DFHPILSQ | DFHPIPE | 2 | SOAP WebSphere MQ 入站侦听器 |
| CPIQ | DFHPIDSQ | DFHPIPE | 2 | SOAP WebSphere MQ 入站路由器 |
| CPMI | DFHMIRS | DFHISC | 2 | CICS LU 6.2 同步级别 1 镜像 |
| CRPA | DFHRPAS | DFHRPC | 2 | ONC/RPC 别名事务 |
| CRPC | DFHRPC00 | DFHRPC | 2 | ONC/RPC 更新事务 |
| CRPM | DFHRPMS | DFHRPC | 2 | ONC/RPC 服务器控制器 |
| 报告 * | DFHRTE | DFHISC | 2 | 事务路由 |
| CRTX | DFHISC | 2 | 动态事务路由事务定义 | |
| CSFE* | DFHFEP | DFHFE | 2 | 终端测试,跟踪,存储 |
| CSGM | DFHGMM | DFHVTAM | 2 | 早上好登录 |
| CSHR | DFHMIRS | DFHISC | 2 | 调度程序服务远程路由 |
| CSM1 | DFHMIRS | DFHISC | 2 | SYSMSG 模型 |
| CSM2 | DFHMIRS | DFHISC | 2 | 调度程序模型 |
| CSM3 | DFHMIRS | DFHISC | 2 | 队列模型 |
| CSM5 | DFHMIRS | DFHISC | 2 | DL/I 模型 |
| CSMI | DFHMIRS | DFHISC | 2 | 镜像事务 |
| CTIN | DFHZCT1 | DFHCLNT | 2 | CICS 客户机 |
| CVMI | DFHMIRS | DFHISC | 2 | CICS LU6.2 同步级别 1 镜像 |
| CWBA | DFHWBA | DFHWEB | 2 | CICS Web Support 别名事务 |
| CWTO* | DFHCWTO | DFHCONS | 2 | 写入控制台操作程序 |
| CWWU | DFHWBA | DFHWU | 2 | CICS 管理客户机接口的 Web Support 别名事务 |
| CW2A | DFHW2A | DFHWEB2 | 2 | Atom 订阅源别名事务 |
| DSNC | DFHD2CM1 | DFHDB2 | 2 | DB2® 连接设施事务 |