DFHIRP ( CICS® 区域间通信程序) 对想要登录到 IRP (仅特定连接) 或连接到 CICS 区域 (也称为绑定时安全性) 的用户执行两次安全性检查。
关于此任务
通用 EXCI 连接: 本节中有关登录安全性检查的讨论仅适用于定义为 SPECIFIC 的 EXCI 连接。 不会对通用连接执行 MRO 登录安全性检查。
就MRO登录和连接(绑定时)的安全检查而言, MVS 客户端程序与其他 CICS 区域完全相同。 这意味着当客户机程序登录到区域间通信程序时, IRP 会针对运行客户机程序的用户标识执行登录和绑定时间安全性检查。 在此信息的其余部分中,此用户标识称为批处理区域的用户标识。
要使客户机程序能够成功登录到 IRP 并连接到目标服务器区域,请首先确保在用户概要文件中定义 RACF®的批处理区域的用户标识。 在向 RACF定义批处理区域的用户标识之后,可以为该批处理区域提供相应的登录和绑定时间授权。
过程
登录授权:
- 使用 UPDATE 权限将批处理区域的用户标识授权给 DFHAPPL.user_name RACF FACILITY 类概要文件。 概要文件名称的 user_name 部分是在 INITIALIZE_USER 命令中定义的用户名。
- 对于 EXCI CALL 接口, user_name 必须是您在 INITIALIZE_USER 命令的 user_name 参数上指定的名称。
如果程序具有针对多个用户名的 INITIALIZE_USER 命令,请为客户机程序中指定的每个用户名定义具有相应权限的 FACILITY 类概要文件。
For example, if the 用户名 defined on an INITIALIZE_USER command is DCEUSER1, define the DFHAPPL profile in the FACILITY class as follows:
RDEFINE FACILITY (DFHAPPL.DCEUSER1) UACC(NONE)
如果批处理区域的用户标识为 CLIENTA ,请授权该批处理区域登录到 IRP ,如下所示:
PERMIT DFHAPPL.DCEUSER1 CLASS(FACILITY) ID(CLIENTA)
ACCESS(UPDATE)
- 对于 EXEC CICS LINK 命令, user_name 由外部 CICS 接口预设为 DFHXCEIP。 这不需要对 IRP 登录进行授权,因为 EXEC CICS LINK 接口使用登录安全性检查不适用的通用连接。
未能将批处理区域的用户标识授权给登录到 IRP 的特定用户标识的 DFHAPPL 概要文件会导致 Allocate_Pipe 处理失败,并产生 RESPONSE (SYSTEM_ERROR) REASON (IRC_LOGON_FAILURE)。 登录安全性检查失败的子原因 field-1 返回十进制 204。
绑定时间授权
- 将批处理区域的用户标识授权给目标 CICS 服务器区域的 DFHAPPL。applid RACF FACILITY 类概要文件,具有 READ 权限。
未能将批处理区域的用户标识授权给 CICS 服务器区域的 DFHAPPL。applid 概要文件导致 Open_Pipe 处理失败,原因为 RESPONSE (SYSTEM_ERROR) REASON (IRC_CONNECT_FAILURE)。 绑定时安全性检查失败的子原因 field-1 返回十进制 176。
请参阅 绑定安全性 ,以获取有关 MRO 登录和绑定时间安全性检查的信息,以及有关如何定义 RACF DFHAPPL 概要文件的示例。