资源安全性

除交易安全外,资源安全还提供了另一层安全保障。 它控制对事务所使用的资源 (例如文件,队列或程序) 的访问。

与无法针对个别事务关闭的事务安全性不同,可以在个别事务级别应用资源安全性。 您可以控制对与特定事务关联的资源的访问。 有权调用特定事务的用户可能无权访问该事务所使用的某些资源,或者可能具有有限的访问权: 例如,读取权限但不更新权限。

系统初始化参数(RESSEC 以及以 X 开头的一组参数,称为 Xnnn 参数)和 TRANSACTION 资源定义上的属性可控制 CICS® 何时发出访问资源的授权请求。 Xnnn 参数告诉 CICS 您希望对一类资源进行资源安全性检查: 例如, XFCT 系统初始化参数指定文件的资源安全性检查。 有关 Xnnn 参数的列表,请参阅 与安全性相关的 SIT 参数

每当事务尝试访问资源时, CICS 都会检查访问该资源的权限。 RESSEC 为您提供了额外的灵活性,可在事务级别控制资源安全性。 TRANSACTION 资源上的 RESSEC 属性指定您希望将资源安全性应用于该事务。 RESSEC 系统初始化参数确定 CICS 是采用 TRANSACTION 资源定义上的设置还是覆盖该设置并始终执行资源安全性检查。

重要信息: 由于在事务级别启用了资源安全性,因此它适用于事务可能使用的每个程序资源。 在确定要使用资源安全性的程序时,应谨慎操作。

用于授权的用户标识是与请求关联的用户标识。 有关用户标识的详细信息,请参阅 工作方式: CICS中的标识

图 1 显示资源安全性的工作方式,其中系统管理员已将事务 AP01 定义为需要资源安全性检查。
图 1。 资源安全性
资源安全性
在此方案中:
  1. 用户启动事务 AP01。 由于 AP01 定义为运行程序 APADD ,因此 APADD 发出请求以访问 CICS 资源。
  2. CICS 检查此资源类 (Xnnn 参数) 的资源安全性是否处于活动状态。
  3. CICS 检查事务资源定义中的资源安全性是否处于活动状态,例如:
    DFHCSD
TRANSACTION(AP01)
RESSEC(YES)
  4. CICS 检查 SIT 参数 RESSEC。 如果设置为 ALWAYS,那么将始终执行资源安全性检查,而不考虑事务资源定义中的 RESSEC 值。
  5. CICS 调用 来确定用户是否有足够的资源访问权限。 RACF®
  6. RACF 会检查当前活动的资源概要文件,并向 CICS返回 "是" 或 "否" 决策。 RACF 还会记录活动。 如果 RACF 无法找到匹配的个人资料, CICS 就会将这种情况作为否定决定处理。
  7. 然后, CICS 允许或拒绝用户访问。

CICS 和 RACF 使用 RACF 资源类中每个资源的概要文件来处理授权请求。 您可以在 CICS 的缺省 RACF 资源类中或在您自己的类中定义这些概要文件。 请参阅 资源的RACF 类和概要文件 ,以获取有关 RACF 资源类的更多信息。

当前活动 资源概要文件用于授权检查。 要了解这一点,请参阅刷新用于 SETROPTS RACLIST 处理的配置文件

要设置资源安全性:
  • 为您希望 CICS 检查的每个资源类设置 Xnnn 系统初始化参数。
  • 通过在 TRANSACTION 资源定义上设置 RESSEC 属性来控制各个事务的资源安全性。
  • 设置 RESSEC 系统初始化参数,以告知 CICS 是采用还是覆盖 TRANSACTION 资源定义上的 RESSEC 属性。
  • 设置 RACF 概要文件以指定用户是否有权访问资源。