CICS 事务的安全性

CICS® 随附的事务的 RACF® 概要文件定义分为三个类别进行描述。 每个事务都在描述其在 CICS中的使用的类别中标识。 每个类别都根据 CICS 事务定义和相应的 RACF 概要文件来指定建议的安全性规范。 这三个类别包含所有必需的 CICS 事务,这些事务是在您初始化 CICS 系统定义数据集 (CSD) 时在其指定组中生成的。 此初始化不包含 CICS 样本事务 (以 DFH$ 开头的组中的事务)。 某些类别 1 事务不在 CSD 中。 它们由 CICS 在安装期间定义。

请参阅 实现 CICSPlex SM 安全性 ,以获取与 CICSPlex SM相关的事务的详细信息。

这三类是:
第 1 类事务
仅供 CICS 内部使用且不得从用户终端运行的事务。 请参阅 类别 1 事务 以获取详细信息。
类别 2 事务
必须限制为特定注册用户的事务; 例如,您可能希望限制对定义和安装 CICS 资源的事务的访问。 请参阅 类别 2 事务 以获取详细信息。
类别 3 事务
可供所有用户使用的事务 (无论是否已登录)。 这些事务不受安全性检查的约束。 这些事务的任何安全性定义都是冗余的。 请参阅 类别 3 事务 以获取详细信息。
缺省情况下,所有 CICS 事务 (类别 3 事务除外) 都受 RACF 保护,除非在关闭事务安全性的情况下运行 CICS 区域。 您可以通过以下方法关闭事务安全性:
  • 指定系统初始化参数 SEC=NO ,这将关闭所有安全性检查,或者
  • 指定系统初始化参数 XTRAN=NO ,这将仅关闭事务连接安全性检查。

如果使用事务安全性 (SEC=YES 和 XTRAN=YES) 运行,那么 CICS 将对每个事务连接 (类别 3 中的事务除外) 发出安全性检查。 此检查确定是否允许用户运行该事务。

第 1 类事务

类别 1 事务从不与终端关联。 它们仅供 CICS 内部使用,不得从用户终端启动。 请勿修改这些事务的 CSD 定义。 有关类别 1 事务的列表,请参阅 CICS 事务列表

CICS 检查区域用户标识是否有权连接这些事务。 如果区域用户标识无权访问任何类别 1 事务,那么 CICS 会针对每个未经授权的类别 1 事务发出消息 DFHXS1113 ,并且无法初始化。

定制并运行样本 CLIST DFH$CAT1 以创建 RACF 定义。 您需要提供概要文件的所有者,事务的 CLASSNAME 以及 CICS 区域用户标识的列表。

样本 CLIST 位于库 CICSTS56.CICS.SDFHSAMP 中。

类别 2 事务

类别 2 事务由 CICS 用户启动,或者与 CICS 用户相关联。 某些用户与注册用户相关联。 其他用户与与适配器相关联的任务用户标识相关联。 将启动这些事务的权限限制为属于特定 RACF 组的用户标识。 有关类别 2 事务的列表,请参阅 CICS 事务列表

提供的事务是使用建议的 RESSEC 和 CMDSEC 选项定义的。 确保有权使用事务的用户组也有权访问这些事务所使用的 CICS 资源和命令。 您可以更改这些定义,但如果这样做,请将它们复制到另一个组。

对于大多数类别 2 事务,请按如下所示向 RACF 指定这些事务:
  • 事务概要文件中的 UACC (NONE) 和 AUDIT (FAILURES)。 AUDIT (FAILURES) 是缺省值,不必指定。
  • 访问列表。

如果使用资源组概要文件保护资源,那么如果使用另一个概要文件保护同一资源,并且用户可以对这两个概要文件具有不同的访问权,请务必小心。 如果概要文件不同 (例如,如果它们具有不同的访问列表) ,那么 RACF 会合并授权检查期间使用的概要文件。 合并可能会在检查时产生更高的成本,并且可能难以确定哪个访问权限适用于特定用户。 有关更多信息,请参阅 z/OS Security Server RACF Security Administrator 's Guide

用户不太可能需要访问此类别中的所有事务,因此请考虑在多个子类别中定义事务。 您可以选择以最适合安装需求的方式对 CICS 事务进行分组。 样本 CLIST DFH$CAT2 (在库 CICSTS56.CICS.SDFHSAMP 中) 显示了一种可以对类别 2 事务进行分组的方法。 要使用其他设置,请调整 CLIST 或提供您自己的设置。

表 1. 类别 2 事务的建议子类别。 要查看每个子类别中的事务,请参阅 CICS 事务列表 或 DFH$CAT2 CLIST。
子类 包含
对于所有用户:
所有用户 所有用户使用的事务。 早上好 事务 (在 GMTRAN 系统初始化参数上定义) 和此组中的 晚安 事务 (在 GNTRAN 系统初始化参数上定义) 添加到事务列表。
对于运算符:
系统管理员 需要系统完全访问权的系统程序员所使用的事务。  
Inquire 仅需要查询资源的操作员或其他用户所使用的事务。  
操作器 操作程序使用的事务。  
DBCTL 由到 IMS的 DBCTL 接口的操作员使用的事务。  
CMCIUSER 由使用 CICS Explorer® 的操作程序和 CMCI 的其他用户使用的事务。  
对于应用程序开发者:
开发者 由非生产系统上的应用程序开发者使用的事务。  
对于应用程序用户:
JVM 用户 由 Liberty 应用程序用户使用的事务。 根据您的安全配置,事务 CJSA 和 CJSU 可能要求 CICS 缺省用户具有访问权。 有关更多信息,请参阅 Java 应用程序的安全性配置 z/OS Connect EE配置 z/OS Connect 服务和 API 的许可权

作为安全性最佳实践,请开启 Liberty 安全性,并避免使用 CICS 缺省用户来运行应用程序任务。 对于 z/OS® Connect 服务,可以安装 URIMAP 资源, CICS 使用该资源将服务的工作与 CICS 中的特定事务标识以及初始用户标识相关联。

CJSA 是没有匹配 URI 的任何 Web 请求的缺省事务标识。 请考虑限制对 CJSA 的访问,以防止任何任意应用程序运行。
国际通信公司 由在多个区域上运行事务的应用程序用户使用的事务。 如果您正在使用函数输送,那么镜像事务必须可供函数输送环境中的远程用户使用。 当数据库或文件位于另一个 CICS 区域时, CICS 函数会传递访问数据的请求。 请求在其中一个 CICS提供的镜像事务下运行。 在这种情况下,以下条件适用:
  • 必须授权运行应用程序的终端用户使用镜像事务。 请参阅 事务安全性 (Transaction security)
  • 还必须授权终端用户使用镜像事务访问的数据。 请参阅 资源安全性 (Resource security)。 镜像事务是在定义了 RESSEC (YES) 的情况下提供的; 因此,即使用户的事务指定了 RESSEC (NO) ,如果用户无权访问数据,镜像事务也会失败。

    如果不使用资源安全性检查,请更改镜像事务定义以指定 RESSEC (NO)。 由于镜像事务是受 IBM®保护的资源,因此请首先将这些定义复制到您自己的组中,然后进行更改。

对于延迟的 START 请求,如果要启动的用户事务符合动态路由选择的条件,那么系统事务 CDFS 将在指定时间运行并启动用户事务。 确保正确配置了 CDFS 的安全性。
WEBUSER 由使用 CICS Web 界面运行事务的应用程序用户使用的事务。 CICS 缺省用户最初需要访问 CWBA 事务,即使随后使用分析器程序将另一个用户标识分配给该任务也是如此。 确保在 DFLTUSER 系统初始化参数中指定的 CICS 缺省用户具有对此事务的访问权。 如果使用提供的 CLIST DFH$CAT2 来创建 WEBUSER RACF 概要文件,那么缺省用户必须有权访问此概要文件。
rpcUser 由使用ONC RPC 运行事务的应用程序用户所使用的交易。  
管道用户 由运行 Web Service 事务的应用程序用户使用的事务。  
事件用户 EP 适配器使用的事务。 如果这些事务的 RESSEC 和 CMDSEC 选项不是您想要的选项,那么可以在 事件绑定编辑器的适配器选项卡 高级选项 部分中指定您自己的事务标识。 有关更多信息,请参阅 指定 EP 适配器和分派器信息
对于用户 IBM MQ
MQADMIN
  • CKAM
  • CKCN
  • CKDL
  • CKRS
  • CKSD
  • CKSQ
  
MQ网桥
  • CKBC
  • CKBP
  • CKBR
  
MQMONITOR CKTI  
MQ状态
  • CKQC
  • CKBM
  • CKRT
  • CKDP
  

类别 3 事务

类别 3 事务由终端用户启动或与终端关联。 有关类别 3 事务的列表,请参阅 CICS 事务列表

所有 CICS 终端用户 (无论是否已登录) 都需要访问此类别中的事务。 因此,类别 3 事务不受任何安全性检查的约束,并且 CICS 允许任何终端用户启动这些事务。

可以向 RACF定义这些事务。 虽然此定义不会影响任务连接时间处理,但需要此定义来支持 QUERY SECURITY 命令。