このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
以前、当シリーズでWarningモードで定義されているデータセットプロファイルの確認について取り上げましたが、今回のお題はWarningモードで定義された、一般資源プロファイルの確認方法です。
Warningモードで定義されている一般資源プロファイルを確認するには?
Warningモードは、保護設定の導入段階で利用する設定です。アクセス拒否は発生せず、記録のみ収集する目的で利用され、最終的にFailモードに変更といった使われ方をします。主な目的は移行用ですが、設定について忘れてしまい、そのまま運用してしまうミスも多く見られます。
「一般資源」とは、データセット以外のすべての資源、すなわち、プログラム、
CICS/IMSなどのトランザクション、ターミナル、ディスクボリューム、コマンド等々
多数あり、全部で250種程の事前定義されたクラスがあります。一般資源は事前定義を含め最大で1024まで定義でき、あるRACFバージョンから利用者が独自のクラスを追加する事も可能となりました。
標準のIBM/RACFパネルの場合
RACFデータベースを順次ファイル形式にアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRDBU00ユーティリティをバッチジョブ実行*1
- 該当データを抽出する定義文およびレポート出力する項目、出力フォーマットの定義文を作成*2
- ICETOOLをバッチで実行しレポートを作成*3
- 出力レポートの内容を確認
*1 IRRDBU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで確認します。
*2 アンロードされたRACFデータベースの形式は「RACFマクロおよびインターフェース」マニュアルでフォーマットを確認します。
*3 ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
手順例(各画像をクリックすると拡大表示します。)
1. RACFデータベースをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
ICETOOLの制御文作成にはIBMマニュアルの内容を調べて必要な項目を探して定義を作成する必要があり、ここからご紹介するVanguardを利用して必要な項目を選択する場合と比較すると、1つのレポート作成して結果を得るまでで1日対1週間程度の作業負荷の違いがあります。
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- 一般資源を選択
- WarningモードにY(YES)を指定
- 表示された内容を確認
手順例(各画像をクリックすると拡大表示します。)
1. 一般資源を選択
2. WarningモードにYを指定
3. 表示内容を確認
VanguardではLiveモードで直接RACFデータベースを参照して定義内容を表示します。
