PROTECTED属性のユーザIDとは?
一般に、コンソールからスタートコマンドで開始するタスクは高権限を所持することが多いため、PROTECTED属性を付加する必要があります。PROTECTED属性のユーザID(保護ユーザID)とは、ADDUSER または ALTUSERコマンドでNOPASSWORD、NOPHRASE および NOOIDCARD(省略時)を設定した場合に自動的にこの属性となります。
PROTECTED属性の目的
PROTECTED属性の使用目的は悪意のある人からログオンで使用されないため、誤ったパスワードを入力してユーザIDがリボークされないため、およびINACTIVE設定などで一定期間未使用により自動的にユーザIDがリボークされないために利用します。
又、PROTECTED属性のユーザIDは、バッチジョブのサブミットなどでPASSWORD=を指定しても利用できない属性になりますので、PROTECTED属性を付加する前に十分影響範囲を確認しておく必要があります。
PROTECTED属性ユーザIDのバッチジョブ利用
バッチジョブでPROTECTED属性ユーザIDの権限を利用したい場合には、ユーザID伝搬機能を利用するか、SURROGAT定義により明示的にパスワードを必要としない方法で利用することができます。
PROTECTED属性となったユーザからPROTECTED属性を除外したい場合には、ALTUSERコマンドなどでPASSWORDを明示的に設定することで除外することができます。
未定義ユーザID
スタートコマンドで実行するプロシージャが未定義ユーザIDとならないために、または高アクセス権限を与えるためにRACFユーザIDとグループ名を定義する必要があります。以下は未定義ユーザIDとなる条件です。
- プロシージャ名がRACF定義ユーザとグループに関連づけられていない場合
- ユーザまたはグループが定義されてない場合
- ユーザがグループに接続されていない場合
複雑なRACFの管理、正しくできていますか?Vanguard RACF研修コース
PROTECTED属性ユーザIDの探し方
PROTECTED属性ユーザIDかどうかを確認するために、コンソールなどからスタートするプロシージャ名を抽出し、該当ユーザIDについてRACFデータベースの内容を参照する必要があります。台帳などによる管理も可能ですが、最新の正しい情報を得るためにはRACFデータベースによる内容確認が欠かせません。
RACFデータベースから情報抽出
RACFデータベースに定義されている情報を抽出するには、いくつかの方法がありますが、該当ユーザID一覧表を作成するには、ISPFパネルやRACFコマンドを利用して1ユーザID毎に確認する手間を考えれば、バッチユーティリティを利用する方法が作業負荷が少なくて済みます。
バッチユーティリティ
RACFデータベース・アンロードユーティリティ(IRRDBU00)を利用して順次データセットに出力し、出力結果からユーザプログラムまたはRACFICEツールで必要なデータを抽出します。ユーザID情報(USBD_NOPWD)がPROまたはPHRであればPROTECTED属性ユーザIDであることを示します。
Vanguardツール
Vanguard Administrator製品はRACFデータベースから直接様々な登録情報を検索できる強力なツールですが、自由なレポート出力が可能な優れものです。ユーザID情報でPROTECTED=Yを指定して簡単に一覧表をレポートできます。
参考 Vanguardとその製品についてはこちらもご参照ください。(ブロードHP)
参考 Vanguard最新情報はこちらもご参照下さい。(ブロード情報発信サイト、BSS)