コンソールからスタート起動するタスクにPROTECTED属性を設定していますか?

PROTECTED属性イメージ

PROTECTED属性のユーザIDとは?

一般に、コンソールからスタートコマンドで開始するタスクは高権限を所持することが多いため、PROTECTED属性を付加する必要があります。PROTECTED属性のユーザID(保護ユーザID)とは、ADDUSER または ALTUSERコマンドでNOPASSWORD、NOPHRASE および NOOIDCARD(省略時)を設定した場合に自動的にこの属性となります。

PROTECTED属性の目的

PROTECTED属性の使用目的は悪意のある人からログオンで使用されないため、誤ったパスワードを入力してユーザIDがリボークされないため、およびINACTIVE設定などで一定期間未使用により自動的にユーザIDがリボークされないために利用します。

又、PROTECTED属性のユーザIDは、バッチジョブのサブミットなどでPASSWORD=を指定しても利用できない属性になりますので、PROTECTED属性を付加する前に十分影響範囲を確認しておく必要があります。

PROTECTED属性ユーザIDのバッチジョブ利用

バッチジョブでPROTECTED属性ユーザIDの権限を利用したい場合には、ユーザID伝搬機能を利用するか、SURROGAT定義により明示的にパスワードを必要としない方法で利用することができます。

PROTECTED属性となったユーザからPROTECTED属性を除外したい場合には、ALTUSERコマンドなどでPASSWORDを明示的に設定することで除外することができます。

未定義ユーザID

スタートコマンドで実行するプロシージャが未定義ユーザIDとならないために、または高アクセス権限を与えるためにRACFユーザIDとグループ名を定義する必要があります。以下は未定義ユーザIDとなる条件です。

  • プロシージャ名がRACF定義ユーザとグループに関連づけられていない場合
  • ユーザまたはグループが定義されてない場合
  • ユーザがグループに接続されていない場合

PROTECTED属性ユーザIDの探し方

PROTECTED属性ユーザIDかどうかを確認するために、コンソールなどからスタートするプロシージャ名を抽出し、該当ユーザIDについてRACFデータベースの内容を参照する必要があります。台帳などによる管理も可能ですが、最新の正しい情報を得るためにはRACFデータベースによる内容確認が欠かせません。

RACFデータベースから情報抽出

RACFデータベースに定義されている情報を抽出するには、いくつかの方法がありますが、該当ユーザID一覧表を作成するには、ISPFパネルやRACFコマンドを利用して1ユーザID毎に確認する手間を考えれば、バッチユーティリティを利用する方法が作業負荷が少なくて済みます。

バッチユーティリティ

RACFデータベース・アンロードユーティリティ(IRRDBU00)を利用して順次データセットに出力し、出力結果からユーザプログラムまたはRACFICEツールで必要なデータを抽出します。ユーザID情報(USBD_NOPWD)がPROまたはPHRであればPROTECTED属性ユーザIDであることを示します。

Vanguardツール

Vanguard Administrator製品はRACFデータベースから直接様々な登録情報を検索できる強力なツールですが、自由なレポート出力が可能な優れものです。ユーザID情報でPROTECTED=Yを指定して簡単に一覧表をレポートできます。

Vanguard Administrator画面イメージ

Vanguard Administrator 画面イメージ

参考 Vanguardとその製品についてはこちらもご参照ください。(ブロードHP)

参考 Vanguard最新情報はこちらもご参照下さい。(ブロード情報発信サイト、BSS)

シェアする

  • このエントリーをはてなブックマークに追加

フォローする