授予 z/OS UNIX 系统服务的访问权限

CICS® 需要访问 z/OS® UNIX System Services 以及文件系统中的目录和文件。 CICS 需要此访问权限的设施包括: TCP /IP支持、Java™支持、 CICS Web支持,以及通过OPENAPI选项启用的与任务相关的用户退出点,其中包含 CICSDb2® 附件设施的任务相关用户退出点。

开始之前

必须设置 z/OS UNIX System Services,如 z/OS UNIX System Services 规划中所述。

关于此任务

为首次满足 CICS 区域对 z/OS UNIX 函数的请求, RACF® 执行以下操作:
  • 验证用户( CICS 区域用户ID)是否被定义为 z/OS UNIX 用户。
  • 验证用户的当前连接组是否被定义为 z/OS UNIX 组。
  • 初始化后续安全检查所需的控制块。
执行列出的步骤以确保每个 CICS 区域都满足安全要求:
  1. 选择一个所有 CICS 区域都能使用的 RACF 组,用于访问 z/OS UNIX ,并为该 RACF 组分配一个 z/OS UNIX 组标识符(GID)。
  2. 为每个 CICS 区域用户ID分配一个 z/OS UNIX 用户标识符(UID)。
  3. 确保每个 CICS 区域用户标识都连接到您选择的 RACF 组。
  4. 为每个 CICS 区域在 z/OS UNIX 上设置一个主目录。

UID 和 GID 是可以在 0 到 16 777 216 范围内的数字。 0 是超级用户标识。 请仔细考虑命名规范,并注意 z/OS UNIX 系统中现有的用户ID(UID)和组ID(GID)。 有关如何管理 z/OS UNIX 系统中的UID和GID的信息,请参阅 z/OS UNIX System Services 规划

注: 如果要升级到 z/OS 2.1.0 或更高版本并已定义 BPX.DEFAULT.USER 概要文件,请注意,此概要文件不再受支持。 相反,您必须定义 BPX.UNIQUE.USER 概要文件才可以向用户自动分配 UID 和 GID,而不带已分配的 OMVS 段。 有关更多信息,请参阅 在 z/OS 迁移中使用 BPX.UNIQUE.USER 概要文件而不是 BPX.DEFAULT.USER

为您的 CICS 区域分配 z/OS UNIX 用户ID和组ID,并设置主目录:

过程

  1. 选择可供所有 CICS 区域使用的 RACF 组。 例如,您可以使用定义为 CICS 区域用户标识的缺省组的 RACF 组,也可以将 RACF 组设置为仅用于访问 z/OS UNIX System Services。
    在配置Java支持或 CICS Web支持等功能时,您可能需要使用 RACF 组来授予 z/OS UNIX 目录的文件访问权限。此时, RACF 组的组标识符(GID) z/OS UNIX 将与这些目录和文件相关联。 这个关联意味着这些目录和文件的所有者,以及虽然不是所有者但需要对这些文件执行操作的任何人,都需要让 RACF 组成为自己的组或成为自己的补充组之一。 RACF 概要文件 说明 RACF 组的工作方式。
  2. 为 RACF 组选择一个合适的 z/OS UNIX 组标识符(GID),并将该GID分配给 RACF 组。 要分配 GID ,请在 RACF 组概要文件的 OMVS 段中指定 GID 值。
    例如,如果 RACF 组是 CICSTSAB ,并且要分配的 GID 是 9 ,请使用以下命令:
    ALTGROUP CICSTSAB OMVS(GID(9))
  3. 为每个 CICS 区域选择一个合适的 z/OS UNIX 用户标识符(UID)。 为 z/OS UNIX 文件实施安全策略说明了在将 CICS 作为已启动任务、已启动作业或作业运行时,如何指定 CICS 运行的区域用户 ID。
    1. 将所选 UID 分配给每个 CICS 区域用户标识。 要分配 UID ,请在 RACF 用户概要文件的 OMVS 段中指定每个 CICS 区域用户标识的 UID 值。
    2. 还使用 HOME 选项指定每个 CICS 区域的主目录的名称。 目录名格式为 /u/CICS region user ID
    CICS TS 安全性 指示如何使用 ALTUSER 命令更新 RACF 用户概要文件。
    例如,如果 CICS 区域用户标识为 CICSHAA1,并且要分配的 UID 为 2001 ,请使用以下命令:
    ALTUSER CICSHAA1 OMVS(UID(2001) HOME('/u/cicshaa1'))
    如果要了解除 UID 和主目录之外的用户概要文件中的 OMVS 段参数中可以指定的其他信息,请参阅 z/OS Security Server RACF Command Language Reference。 可以将相同的 UID 分配给多个 CICS 区域用户标识。 如果所有 CICS 区域都必须使用相同的 z/OS UNIX 文件(例如Java支持所需的文件),您可以为所有 CICS 区域分配相同的UID,然后使用该UID为 z/OS UNIX 上的文件设置访问权限。 但是,请记住以下几点:
    1. UID共享机制允许每个 CICS 区域访问所有 z/OS UNIX 资源,这些资源是其他 CICS 区域(拥有相同共享UID)可访问的。此级别的访问权限可能不适用于您的系统。
    2. 在 z/OS UNIX 系统中,通常不建议共享UID。
    3. 如果选择共享 UID ,那么 z/OS UNIX System Services 参数 MAXPROCUSER 将限制单个用户 (即具有相同 UID) 可同时处于活动状态的最大进程数。
  4. 为每个指定为 CICS 区域主目录的目录设置 z/OS UNIX 目录。
    z/OS UNIX System Services 规划中提供了有关其中每个步骤的更多信息。
    1. 若未使用自动挂载功能,请使用 mkdir 命令创建 z/OS UNIX 目录。
      例如,发出 UNIX 命令
      mkdir /u/cicshaa1
      创建 z/OS UNIX 目录 /u/cicshaa1。 如果正在使用 TSO 命令,那么将目录名包含在单引号中。
    2. 无论是否使用自动挂载功能,都应为每个目录分配一个 z/OS UNIX 数据集。
    3. 如果没有使用自动安装设施,那么安装您已分配的数据集。
    您为 CICS 区域的主目录分配的 z/OS UNIX 数据集具有有限的大小。 如果特定 CICS 区域广泛使用主目录,那么您可能必须增加该区域的可用空间量。
  5. 验证为 /etc 目录定义的许可权是否设置为 755 ,以便 CICS 可以访问这些文件。 /etc 目录提供了 /SYSTEM/etc 目录的符号链接。 /SYSTEM/etc 目录是使用 700 许可权创建的,因此您需要检查 /SYSTEM/etc 目录许可权是否设置为 755。
    1. 在 Unix shell /SYSTEM/etc 中检查目录中的权限设置:
      ls -ld /SYSTEM/etc
    2. 如果权限不是 drwxr-xr-x755,请执行以下 Unix shell命令设置权限为755:
      chmod 755 /SYSTEM/etc
      如果许可权未设置为 755 ,那么您可能会收到 RACF 错误,指示您没有足够的权限供 CICS 访问文件。
  6. 确保您每个 CICS 区域的用户ID都连接到 RACF 组,该组已被您分配了 z/OS UNIX 组标识符(GID)。 如果 CICS 区域用户标识连接到多个 RACF 组,那么组的 RACF 列表必须在系统中处于活动状态。

下一步操作

现在,您的 CICS 区域可以访问 z/OS UNIX System Services。 在配置Java支持或 CICS Web支持等功能时,请使用用户ID(UID)或组ID(GID)为 CICS 区域授予访问 z/OS UNIX 上目录和文件的权限。

要检查用户的 UID 和 GID 详细信息,请在 UNIX 环境中使用 id 命令。 例如,针对示例 CICS 区域用户标识 CICSHAA1 发出 id 命令会产生以下结果:
uid=2001(CICSHAA1) gid=9(CICSTSAB)

有关用于控制对 z/OS UNIX System Services的访问的 RACF 设施的更多常规信息,请参阅 z/OS Security Server RACF Security Administrator 's Guide