安全性检查

CICS® 使用外部安全性管理器 (例如 RACF®) 来执行安全性检查。

五种类型的安全性检查用于管理是否执行特定 SPI 命令:
  • 事务
  • 命令
  • SURROGATE
  • 资源
  • Authtype (仅限Db2® 对象)

仅当 SEC 系统初始化参数的值为 YES 时, CICS 才会执行这些检查。

当 CICS 确保启动任务的用户有权使用要执行的事务时,将首先在任务连接时执行 事务 检查。 此检查由 XTRAN 系统初始化参数以及 SEC管理; 如果 XTRAN 值为 NO ,那么将跳过此检查。 发出命令时,将根据需要进行其余检查。

命令 检查将验证用户是否有权使用 SPI 命令。 It is governed by the XCMD and CMDSEC system initialization parameters, and the CMDSEC option in the definition of the TRANSACTION being executed, and occurs if the XCMD value is not NO and either the CMDSEC option in the TRANSACTION is YES or the CMDSEC system initialization parameter is ALWAYS. 如果未授权用户,那么 CICS 将拒绝 RESP 值为 NOTAUTH 且 RESP2 值为 100 的命令。

如果该命令将用户标识与资源相关联,那么 surrogate 检查可能会跟在命令检查之后。 此检查可确保发出命令的任务的用户标识有权充当命令中指定的用户标识的代理。 仅当 XUSER 系统初始化参数为 YES 时才会发生此情况,并且仅适用于以下命令/选项组合:
  • 具有 ATIUSERID 的 SET TDQUEUE
  • 带有 AUTHID 或 COMAUTHID 的 SET DB2CONN
  • 带有 AUTHID 的 SET DB2ENTRY
  • 引用包含 AUTHID 的 DB2ENTRY 的 SET DB2TRAN
  • 具有 SECURITYNAME 的 CREATE CONNECTION
  • 带有 AUTHID 或 COMAUTHID 的 CREATE DB2CONN
  • 带有 AUTHID 的 CREATE DB2ENTRY
  • 引用包含 AUTHID 的 DB2ENTRY 的 CREATE DB2TRAN
  • 使用 USERID 创建会话
  • 具有 USERID 的 CREATE TDQUEUE
  • 使用 USERID 创建终端
  • CREATE BUNDLE 安装包含 USERID 的 EPADAPTER

如果检查失败,那么 CICS 将返回 RESP2 值 102。 (在 SET TDQUEUE ATIUSERID 上对分配的用户进行其他检查,如该命令的描述中所述。)

resource 检查验证用户标识是否有权以命令所需的方式使用该资源。 资源检查由正在执行的 TRANSACTION 中的 RESSEC 选项, RESSEC 系统初始化参数以及特定于资源类型的系统初始化参数控制:
  • XDCT 表示瞬时数据队列
  • XFCT 表示文件
  • XJCT 表示日记帐
  • XPCT 适用于事务
  • 针对程序,映射集,分区集和出口的 XPPT
  • XRES ,用于以下 CICS 资源:
    • ATOMSERVICE
    • BUNDLE
    • BUNDLEPART
    • DOCTEMPLATE
    • EPADAPTER
    • EPADAPTERSET
    • EVENTBINDING
    • JVMSERVER ,
    • XMLTRANSFORM
  • XTST 表示临时存储器队列
  • XDB2 for Db2 条目和事务

Resource checking occurs only if the applicable resource-type system initialization system initialization parameter has a value other than NO and either the RESSEC option in the TRANSACTION is YES or the RESSEC system initialization parameter is ALWAYS. 对于 INQUIRE NEXT以外的命令,如果资源检查失败,那么 CICS 将拒绝具有 NOTAUTH 条件和 RESP2 值 101 的命令。 但是,在浏览期间, CICS 会跳过会使普通 INQUIRE 上的资源检查失败的资源 (请参阅 浏览规则 以获取详细信息)。

当您授予用户对平台或应用程序执行操作的权限时,您还授予他们对平台或应用程序的动态生成的资源执行相同操作的权限。 当您通过应用程序或平台在 CICS 束上创建或操作时,不会执行 CICS 命令和资源安全性检查。 但是,当您使用 SPI 命令直接对单个 BUNDLE 资源或在 CICS 束中定义的动态生成的资源执行操作时,即使在安装平台或应用程序时创建了束, CICS 命令和资源安全性检查也适用。 有关更多信息,请参阅 捆绑软件的安全性

下表显示了可由资源检查保护的资源以及需要访问权限的 SPI 命令。 命令后括号中的字母指示用户是需要读取 (R) ,更新 (U) 还是更改 (A) 对资源的权限。

资源 (系统初始化参数) 命令
出口 (XPPT 选项)
禁用程序 (U)
启用程序 (U)
抽取出口 (R)
INQUIRE EXITPROGRAM (R)
文件 (XFCT 选项)
收集统计信息文件 (R)
CREATE FILE (A)
DISCARD FILE (A)
INQUIRE FILE (R)
SET FILE (U)
日记帐 (XJCT 选项)
COLLECT STATISTICS JOURNALNAME (R)
COLLECT STATISTICS JOURNALNUM (R)
DISCARD JOURNALNAME (A)
inquire journalname (R)
SET JOURNALNAME (U)
程序映射集分区集 (XPPT 选项)
COLLECT STATISTICS PROGRAM (R)
CREATE MAPSET (A)
CREATE PARTITIONSET (A)
CREATE PROGRAM (A)
DISCARD PROGRAM (A)
INQUIRE PROGRAM (R)
SET PROGRAM (U)
临时存储器队列 (XTST 选项)
INQUIRE TSQUEUE (R)
INQUIRE TSQNAME (R)
事务 (XPCT 选项)
COLLECT STATISTICS TRANSACTION (R)
CREATE TRANSACTION (A)
DISCARD TRANSACTION (A)
INQUIRE TRANSACTION (R)
inquire reqid transid (R)
SET TRANSACTION (U)
事务类 (XPCT 选项)
COLLECT STATISTICS TCLASS (R)
COLLECT STATISTICS TRANCLASS (R)
CREATE TRANCLASS (A)
DISCARD TRANCLASS (A)
INQUIRE TCLASS (R)
INQUIRE TRANCLASS (R)
SET TCLASS (U)
SET TRANCLASS (U)
瞬时数据队列 (XDCT 选项)
COLLECT STATISTICS TDQUEUE (R)
CREATE TDQUEUE (A)
DISCARD TDQUEUE (A)
INQUIRE TDQUEUE (R)
set TDQUEUE (U)
DB2ENTRYs (XDB2 选项)
CREATE DB2ENTRY (A)
CREATE DB2TRAN (A)
INQUIRE DB2ENTRY (R)
INQUIRE DB2TRAN (R)
SET DB2ENTRY (U)
SET DB2TRAN (U)
DB2TRANs (XDB2 选项)
CREATE DB2ENTRY (A)
CREATE DB2TRAN (A)
INQUIRE DB2ENTRY (R)
INQUIRE DB2TRAN (R)
SET DB2ENTRY (U)
SET DB2TRAN (U)
受 XRES 安全性检查 (XRES 选项) 约束的 CICS 资源
CREATE ATOMSERVICE (A)
CREATE BUNDLE (A)
CREATE DOCTEMPLATE (A)
CREATE JVMSERVER (A)
DISCARD ATOMSERVICE (A)
DISCARD BUNDLE  (A)
DISCARD DOCTEMPLATE (A)
DISCARD JVMSERVER (A)
DOCUMENT CREATE (R)
DOCUMENT INSERT (R)
INQUIRE ATOMSERVICE (R)
INQUIRE BUNDLE (R)
INQUIRE BUNDLEPART (R)
INQUIRE CAPTURESPEC (R)
INQUIRE DOCTEMPLATE (R)
INQUIRE EPADAPTER (R)
INQUIRE EPADAPTERSET (R)
INQUIRE EVENTBINDING (R)
INQUIRE EVENTPROCESS (R)
INQUIRE JVMSERVER (R)
INQUIRE MQINI (R)
INQUIRE XMLTRANSFORM (R)
PERFORM JVMSERVER (U)
SET ATOMSERVICE (U)
SET BUNDLE (U)
SET DOCTEMPLATE (U)
SET EPADAPTER (U)
设置 EPADAPTERSET (U)
SET EVENTBINDING (U)
SET EVENTPROCESS (U)
SET JVMSERVER (U)
SET XMLTRANSFORM (U)

Authtype 检查仅适用于 DB2CONNs, DB2ENTRYs和 DB2TRANs 。 有关更多信息,请参阅 CICS Db2 接口概述

QUERY SECURITY 命令

您可以通过发出 QUERY SECURITY 命令来了解您是有权访问资源还是发出系统编程命令。 这不是 SPI 命令,并且不访问任何资源,因此从不引发 NOTAUTH 条件。 在 QUERY SECURITY中进行了描述。