Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Privilegierung von openFT

&pagelevel(5)&pagelevel

Bei der Installation von openFT sind folgende Punkte hinsichtlich der Privilegierung zu beachten:

  • Sofern im System das Produkt RACF (oder ein dazu kompatibles Produkt) installiert ist, muss der Lademodul OPENFT in einer APF-autorisierten Bibliothek hinterlegt sein, da er privilegierte RACF-Makros aufruft (siehe dazu Abschnitt „Anschluss von openFT an Produkte für den Datenschutz“). Außerdem muss der Lademodul OPENFT das Linkage Editor Attribut "AC(1)" besitzen. Dies ist bei dem ausgelieferten Lademodul OPENFT der Fall.

    openFT muss auch für die Ausführung folgender Funktionen APF-autorisiert sein:

    • Übertragung eines vollständigen PO- oder PDSE-Datasets

    • Abrechnen von Dateiübertragungsaufträgen (Schreiben von Abrechnungssätzen in die SMF-Datei)

    • Ausgabe asynchroner Meldungen nach Beendigung eines Transfer-Auftrags (an denjenigen TSO-Benutzer, dessen Benutzerkennung in der TRANSFER-ADMISSION für das jeweilige System angegeben wurde, und/oder an eine oder mehrere Consolen)

    Neben der Bibliothek, in der der Lademodul OPENFT enthalten ist, müssen auch die übrigen Bibliotheken der Bibliotheks-Hierarchie STEPLIB, TASKLIB, JOBLIB ... APF-autorisiert sein, d.h.:

  • Da openFT zur TCP/IP-Anbindung mit Socket-Aufrufen arbeitet, benötigt die Benutzerkennung, unter der openFT läuft (als Job oder als Started Task, siehe Abschnitt „openFT als Job oder als Started Task“) zusätzlich ein OMVS-Segment (OMVS: OpenEdition MVS). Es sind keine besonderen Berechtigungen nötig, d.h. es kann eine beliebige UID (OMVS user ID) verwendet werden. Die Benutzerkennung muss einer Group angehören, für die eine GID (OMVS group ID) definiert ist. Die Definition wird mit RACF vorgenommen; siehe hierzu auch IBM-Manual "OpenEdition Planning", Kapitel "Controlling OpenEdition Security".

  • Sofern im System die Datei SYS1.UADS installiert ist und von openFT genutzt werden soll, muss die Benutzerkennung, unter der openFT läuft (als Job oder als Started Task, siehe Abschnitt „openFT als Job oder als Started Task“), berechtigt sein, lesend auf diese Datei zuzugreifen.

  • In einem z/OS-System mit RACF (Resource Access Control Facility) benötigt die Benutzerkennung, unter der openFT läuft, außerdem die Zugriffsrechte auf die Dateien und Datenträger aller openFT-Benutzer, wenn deren Dateien bzw. Datenträger RACF-geschützt sind:

    • Lesezugriff (READ) auf Sendedateien

    • Schreibzugriff (ALTER) auf Empfangsdateien

    Der z/OS-Systemverwalter kann die Zugriffsrechte auf diese Dateien und die zugehörigen Datenträger ganz gezielt vergeben. Wesentlich einfacher ist es jedoch, der Benutzerkennung, unter der openFT läuft, das RACF-Attribut OPERATIONS zu verleihen. In diesem Fall empfiehlt es sich aus Datenschutzgründen, dieser Benutzerkennung keine TSO-Berechtigung zu geben. Auch wenn die
    Benutzerkennung, unter der openFT läuft, das RACF-Attribut OPERATIONS besitzt und somit auf alle Dateien im System zugreifen kann, ist eine Verletzung des Datenschutzes durch die Transfer-Aufträge der FT-Benutzer nicht zu befürchten, da openFT alle beim File Transfer stattfindenden Dateizugriffe auf Zulässigkeit prüft (siehe Abschnitt „Anschluss von openFT an Produkte für den Datenschutz“).

    Entsprechendes gilt auch für zu RACF kompatible Produkte. Näheres entnehmen Sie bitte den Manualen zum jeweiligen Produkt.