あるジョブは問題なく稼働しているのに、別のジョブは正常に稼働できない。2つのジョブは同じ業務プログラムであり利用上の権限に違いがない場合、2つのジョブで何が異なっているのか調査しなければなりません。ジョブの実行はユーザ権限に基づいており、 2つのジョブを実行するユーザ権限の違いを調査しなければなりませんが、この類の問題はRACFの運用管理ではよくある事かと思います。
RACFの機能上調査が面倒
RACF (Resource Access Control Facility) は名前が示す通りリソースのアクセスを制御する製品であるため、リソースに対してユーザがどのような権限を所持しているか確認するのは簡単ですが、ジョブ実行のユーザ(JOBカード上にUSER=で明示的指定、またはTSO等からのサブミットではユーザ権限が引き継がれます)にどのようなアクセス権限が付与されているかを確認するのが結構面倒な作業であることは、運用管理業務に携わっている方ならご存じと思います。
全ての定義リソースのアクセス権限を確認
基本的な対応方法としては、定義されている全てのリソース(データセットや一般資源)に対して、一つずつアクセス権限を確認する以外には方法がありません。このため、どのようなリソースが定義されているか管理台帳的な資料が必要となりますが、常に最新の状況に維持するためには不断の努力が要求されます。
複雑なRACFの管理、正しくできていますか?Vanguard RACF研修コース
ユーティリティの活用
RACFにはデータベースを順次データセットに出力するユーティリティ(IRRDBU00)が用意されており、これを使ってバッチでRACFデータベースからリソース台帳を作成することができます。出力された順次データセットのフォーマットは「RACF マクロおよびインターフェース」マニュアルに掲載されています。又、出力された順次データセットから管理台帳を作成するために、RACFICEユーティリティが提供されております。尚、使い方については「RACFセキュリティー管理者ガイド」マニュアルに詳しく説明されていますのでご確認ください。
標準には存在しない比較機能
弊社で取扱っております Vanguard Administrator には比較機能が備わっています。比較機能では以下のような権限比較が実施できます。比較対象のRACFデータベースは、稼働中のRACFデータベース、RACFデータベースから作成したエクストラクトファイルを対象に実施できます。
- 複数ユーザまたは複数グループの権限比較
- 複数RACFデータベース間の複数ユーザまたは複数グループ権限比較
- データセット、一般資源でのプロファイル間権限比較
- IMS、CICSトランザクション権限比較
権限比較は稼働中のRACFデータベースまたはRACFエクストラクトファイルから、ISPFパネルを利用しオンラインで実行するか、またはバッチによる実行を選択でき、同時に3つ以上のプロファイル権限比較も可能です。尚、バッチ実行の場合にはアクセス権限の比較情報以外に、対象プロファイルを一緒に出力する選択オプションがあります。
ユーザ権限比較
グループ権限比較
データセットプロファイル権限比較
IMSトランザクション権限比較
参考 Vanguard Administratorについてはこちらもご参照ください。(ブロードHP)
参考 RACF関係の記事