RACFの運用を管理していくには様々な課題をクリアしていく必要があります。
RACFの運用管理について、弊社で取り組むサポートやコンサルティングを通して対応してきたお題目について4種の分野にまとめてみました。
今回は4種の分野の一つ「権限の確認」で、「RACF運用管理、こんな時どうしますか?: 権限の確認(前編)」でとりあげた、標準的なz/OS環境で実施する場合との対比でVanguardを使用した場合をご紹介します。
RACF運用管理 ー 権限の確認(前編)
VanguardはAdministratorおよびAdvisorを中心で、一部Analyzerを利用していますが、ここで利用しているAnalyzerの機能はAdministratorライセンスでも利用可能です。TSOコマンドで VSA と入力することでAnalyzer Lite 画面が表示されます。
* 説明文の最後に利用製品名と初期画面から該当メニュー迄の短縮番号を示しています。
Q1:特定ユーザーで許可されている全ての権限を確認するには?
クロスリファレンス画面から特定ユーザーを指定して権限を確認します。以下の画面では明示的にアクセス権限が指定されているクラス名とプロファイル名および接続しているグループ名が確認できます。(Administrator 3;14)
Q2:RACFコマンドを発行できる権限があるかを確認するには?
ユーザーIDリストから該当ユーザーIDを選択し、SPECIAL属性を持っているか確認します。(Administrator 3;1)
Q3:監査用コマンドを発行できる権限があるかを確認するには?
Q2結果から、AUDITOR属性を持っているかを確認します。
Q4:アクセスが許可されていないデータセットにアクセスできるかを確認するには?
Q2結果から、OPERATIONS属性を持っているか確認します。
Q5:特定グループの管理権限の有無を確認するには?
Q1結果から、グループ属性を表示してグループ権限(USE/CREATE/CONNECT/JOIN)を確認する。
Q6:特定のデータセットに誰がアクセスできるかを確認するには?
データセットプロファイル一覧表で該当プロファイルを表示し、標準アクセスリストを表示して確認する。尚、標準アクセスリストがグループ名の場合には、更にリストを表示して、当該グループに接続しているユーザーIDを確認できます。
(注)該当プロファイルが不明の場合、保護の確認はQ1の方法で確認できます。(Administrator 3;3)
Q7:特定データセットに標準アクセス設定が定義されているかを確認するには?
Q6結果内容で、STANDARD ACCESS LISTを確認します。
Q8:特定データセットに条件付きアクセス設定が定義されているかを確認するには?
データセットプロファイル画面で条件付きアクセスリストを選択してデータセットプロ
ファイルを表示する。更に、該当プロファイルを選択してCONDITIONAL ACCESS PERMITSを選択すると条件内容の詳細を確認できます。(Administrator 3;3)
Q9:全ユーザー(ID(*))がアクセス可能なデータセットを確認するには?
アクセスリストレポート画面からID(*)とクラス名でデータセットを指定し、該当する
データセットリストを表示します。(Administrator 3;17)
Q10:WARNINGモードでアクセス可能なデータセットを確認するには?
データセットプロファイル画面でWARNING YESを指定して表示します。(Administrator 3;3)
Q11:デフォルトUACCでアクセスが可能なデータセットを確認するには?
データセットのアクセスリストレポート画面から一覧表を表示し、該当するデータセット
プロファイルのUNIVERSAL ACCESS(UACC)を確認します。更に該当データセットするプロファイルを選択すると、アクセス件を持つグループ、ユーザーIDを確認できます。(Administrator 3;3)
