控制用户对与 Db2相关的 CICS 事务的访问权
使用 CICS® 事务连接安全性机制来控制用户对以下事务的访问: 访问 Db2® 以获取数据的 CICS 事务, DSNC 事务以及发出 CICS Db2 连接设施命令和 Db2 命令的任何其他事务。
关于此任务
启用事务连接安全性时, RACF®或等效的外部安全性管理器将检查 CICS 用户是否有权运行他们所请求的事务。
要使用事务连接安全性来保护 Db2相关事务,请遵循 事务安全性中的指示信息。 对于所有 CICS 事务,此过程都相同; 就事务连接安全性机制而言, Db2相关事务没有特殊注意事项。 这些指示信息告诉您如何执行以下操作:
- 为 CICS 区域设置相应的系统初始化参数以激活事务连接安全性 (请参阅 控制事务连接安全性的CICS 参数)。
- 针对要保护的事务向 RACF 定义事务概要文件 (请参阅 RACF 概要文件)。
现在,您可以控制哪些 CICS 用户可以使用访问 Db2的事务。 将相应的用户或用户组添加到具有 READ 权限的事务概要文件的访问列表中。 RACF 概要文件 对此有一些建议。
对于发出 CICS Db2 连接设施命令和 Db2 命令的事务,请记住:
- CICS Db2 连接设施命令在 CICS 与 Db2之间的连接上运行,它们完全在 CICS中运行。 Db2 命令在 Db2 本身中运行,并将其路由到 Db2。 您可以通过连字符 (-) 将 Db2 命令与 CICS Db2 连接设施命令区分开来,该字符是使用 Db2 命令输入的。
- 如果您有权访问 DSNC 事务,那么 CICS 允许您发出所有 CICS Db2 连接设施命令和 Db2 命令。
- 如果定义了单独的事务以运行个别 CICS Db2 连接设施命令和 Db2 命令,那么可以授予不同的 CICS 用户对这些事务代码子集的权限,从而对这些命令的子集的权限。 例如,您可以授予某些用户发出 CICS Db2 连接设施命令的权限,但不能发出 Db2 命令。 CICS为 CICS Db2 提供的事务具有 CICS 为 CICS Db2 连接设施命令和 Db2 命令提供的单独事务定义的名称。
CICS Db2 连接设施命令不会流向 Db2,因此不会进行任何进一步的安全性检查。 它们仅受 CICS 事务连接安全性保护。 但是, Db2 命令以及用于访问 Db2 以获取数据的 CICS 事务将由 Db2 安全性机制进行进一步的安全检查阶段,如下所示:
- 当事务登录到 Db2时,它必须向 Db2提供有效的授权标识。 授权标识由 RACF 或等效的外部安全管理器检查。
- 由于事务正在发出 Db2 命令或访问 Db2 数据,因此它提供的授权标识必须有权在 Db2中执行这些操作。 在 Db2中,可以使用 GRANT 语句授予授权标识执行操作的许可权。
针对 CICS 区域和 CICS 事务向 Db2 提供授权标识 指示如何授权 CICS 区域连接到 Db2 子系统,以及如何为事务提供有效授权标识。
授权用户访问 Db2中的资源 指示您如何授予对事务已提供给 Db2的授权标识的许可权。