RACFグループ構造上の秘密: SYS1権限ですべてのデータセットにアクセス

グループ構造イメージ

RACFグループ

RACFグループは大変便利な機能です。グループは組織、業務、データ資源などを分類するために利用でき、グループに権限を付与することにより、ユーザ個別に権限を管理する必要がなくなるため、業務効率向上に寄与します。

グループ権限の継承

グループの先頭はRACF仕様によりSYS1から始まる階層構造になっていますが、意外な盲点が存在します。先ずはグループ作成の注意点から紹介します。

グループはユーザではなく、その上位グループによって所有されるべきです。グループの権限範囲の不備を特定し評価するために、DSMONグループツリーレポート(後述)が利用できます。

グループツリー構造全体を通したグループ範囲を回避するため、SYS1のすべての下位グループおよび末端グループは、グループではなくユーザが所有する必要があり、これによってグループ権限継承を終了させることができます。

CREATE、CONNECTおよびJOINのグループ権限の使用を避け、グループSPECIALの属性利用を検討ください。

グループ権限概念図

グループ構成や役割

グループは理想的にはビジネスの組織構造に基づいて構成する必要があります。レベル2には、一般セキュリティグループ、SYSCTLGおよびVSAMDSETを含む3つのグループがあり、レベル3には部門、支店などの事業組織単位があり、さらに細かくなるにつれて、ユーザ管理グループ、同一業務などの機能グループ、データ管理(HLQ)グループ、リソース所有者グループおよび占有グループなどが含まれます。グループは管理の煩雑さを解消する目的ですが、グループプロファイルの命名規則を確立しておくことをお薦めします。尚、何も接続されていないグループは何も役割が存在しないため、削除対象と考えられます。

RACFグループ構造

RACFデータベースに定義されているグループ構造についての情報を確認するには、バッチジョブで出力する方法が一般的です。

バッチユーティリティ

データセキュリティモニター(ICHDSM00)を利用すると、RACF GROUP TREE REPORTとして出力されます。尚、データセキュリティモニターには特権所有者リストなど、セキュリティ管理に必要な情報が満載されていますので、一度は確認することをお薦めします。

Vanguardツール

データセキュリティモニター(ICHDSM00)ではグループ名と所有者のみのレポートですが、Vanguard Administratorでは該当グループに接続されているユーザ名と権限のほか、リソース名なども出力されるので管理上便利です。

画面イメージ


参考 Vanguard Administratorについてはこちらもご参照ください。(ブロードHP)

参考 RACF関係の記事

シェアする

  • このエントリーをはてなブックマークに追加

フォローする