授权 CA Chorus 用户访问 USS 资源

满足安全要求 › 如何授权用户在 CA Chorus 中工作 › 授权 CA Chorus 用户访问 USS 资源

授权 CA Chorus 用户访问 USS 资源

CA Chorus 组件和管控领域使用 z/OS TCP/IP 通信服务和 z/OS UNIX 系统服务 (USS)。同时为每个用户定义 OMVS 段，以便他们在 CA Chorus 中工作时可以访问 z/OS USS 资源。使用 CA ACF2、CA Top Secret 或 IBM RACF 可启用此访问权限。

要授权 CA Chorus 用户访问 z/OS USS 资源，请为每个用户定义包含以下选项的 OMVS 段：

默认 shell 程序指定值（PROGRAM 或 OMVSPGM）
数字型 z/OS USS 用户 ID (UID)
注意：您的站点上可能存在用于分配 OMVS UID 编号的策略。如果不存在，则使用唯一编号。
数字型 z/OS USS 组 ID (GID)

遵循这些步骤:

确认用户是否可以访问 OMVS 段：
- CA ACF2：
```
LIST userid profile(all) section(all)
```
- CA Top Secret：
```
TSS LIST(userid) DATA(ALL) 
```
- IBM RACF：
```
LISTUSER userid OMVS NORACF
```
如果用户不具有此访问权限，则转到下一步。
创建与每个用户 ID (UID) 关联的主目录。
例如，要为 UIDnnn 设置名为 /u/name 的目录，请在 OMVS UNIX shell 中发出以下命令：
```
mkdir /u/name
chown nnn /u/name
chmod 775 /u/name
```
确认所有者和目录访问权限：
```
ls -ld /u/name
```
显示以下示例结果：
```
drwxrwxr-x   2 user  group  8192 Sep  31 14:58 /u/name
```
粗体区域显示存在正确的所有者和读取/写入访问权限。
使用安全产品定义 OMVS 段：
注意：执行这些命令前，必须存在有效的组记录。
- CA ACF2：
```
CHANGE userid UID(uid) HOME(path_name) OMVSPGM(/bin/sh) GROUP(ggggg)
```
- CA Top Secret：
```
TSS ADD(userid) HOME(path_name) OMVSPGM(/bin/sh) UID(uid) GROUP(ggggg) DFLTGRP(ggggg)
```
- IBM RACF：
```
ALU userid OMVS(UID(uid) HOME(path_name) PROGRAM(/bin/sh)) GROUP(ggggg) DFLTGRP(ggggg)
```
  以下语法变量适用于所有这三个安全产品：
  
  userid
  
  标识用户 ID。
  
  path_name
  
  标识与每个用户 ID 关联的主目录。
  
  uid
  
  标识用户标识 (UID) 号。
  
  ggggg
  
  标识 OMVS 组。

确认 OMVS 段的内容。

CA ACF2：
```
LIST userid profile(all) section(all)
```
CA Top Secret：
```
TSS LIST(userid) DATA(ALL) 
```
IBM RACF：
```
LISTUSER userid OMVS NORACF
```

用户现在具有定义的 OMVS 段并且可以访问 USS，这是用户在 CA Chorus 中工作所必需的。