次の表は、Enterprise Server で JES セキュリティのために使用される各デフォルト リソース クラスの名前、その説明、そのクラスに含まれるリソース エンティティのタイプ、およびユーザーがエンティティに対して必要とする最小限の権限を示しています。
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| データセットの使用を制御します。ユーザーがデータセットへのアクセス権を持っていることを確認します。 | ファイル | None、Read、Update、Alter |
| ESMAC のデータセットのリストへのアクセス
以下の「DATASET 使用上の注意事項」セクションを参照してください。 |
nodename.userid |
|
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| JES 入力デバイスを介してシステムに入力されたコマンドまたはジョブに対する条件付きアクセスのサポート。 | INTRDR = JCL を実行した結果として内部読み取りプログラムを介してサブミットされたジョブ。
STCINRDR = CICS または IMS トランザクションの実行の結果として内部読み取りプログラムを介してサブミットされたジョブ。 TSUINRDR = ESMAC の JES の [Control] ページまたは cassub コマンド ライン インターフェイス、あるいはその両方を介してサブミットされたジョブ。 |
None、Read |
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| ジョブ名によるジョブのサブミットおよびキャンセルの制御。 |
これらのルールは、一般的には使用されませんが、特殊な要件を持つ環境に対して細かな制御を提供します。 |
|
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| JES スプール上のジョブ データセットへのアクセスの制御 (Joblog、SYSOUT、およびメッセージ)。 | localnodeid.userid.jobname.jobid.dsnumber.name 詳細は次のとおりです。
これらのルールは、一般的には使用されませんが、特殊な要件を持つ環境に対して細かな制御を提供します。 |
|
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| 物理ファイルの作成を制御します。
以下の「PHYSFILE 使用上の注意事項」セクションを参照してください。 |
物理ファイル | None、Alter |
| JES 関連 | エンティティ | アクセス レベル |
|---|---|---|
| 代理によるジョブのサブミットに対するアクセスを制御するための JES クラス。UserA がジョブをサブミットして UserB として実行するには、SURROGAT クラスの UserB.SUBMIT エンティティへの「Read」アクセス権が必要です。 | execution-userid .SUBMIT たとえば、USERA が USERB の代理である場合、Enterprise Server では、USERA が SURROGAT クラスの USERB.SUBMIT エンティティに対する読み取りアクセス権を持っているかどうかをチェックします。 |
None、Read |
データセット内のファイルへのアクセス権は、メインフレーム方言のコンパイラ指令が設定されている場合に適用されます。メインフレーム方言を使用していない場合にもセキュリティが適用されるようにするには、FCDCAT および ASSIGN"EXTERNAL" コンパイラ指令を設定し、SELECT 文でファイルが動的または静的に割り当てられていないことを確認します。
セキュリティが有効になっている場合に、カタログ化された区分データセット (PO) の一部である PROC または INCLUDE ファイルを使用する JCL ジョブがサブミットされると、データセットに対する READ アクセスがチェックされます。ユーザーにデータセットの読み取り権限がない場合、エラーが報告されます。
セキュリティが有効になっている場合に、JOBLIB または STEPLIB のいずれかのエントリを含む JCL ジョブがサブミットされると、ユーザーに各区分データセット (PO) に対する READ アクセスがあるかどうかがチェックされます。ユーザーに必要なアクセス権がない場合、ジョブは COND CODE S913 で異常終了します。
カタログを表示するには、ログオンしているユーザーが DATASET リソースへのアクセス権を持っている必要があります。これは、MSSDEMO.MyJESusr など、nodename.userid のリソース形式エントリで実現できます。
DATASET の LDIF 定義の例が es_default_ldap.ldf ファイルに含まれています。このファイルは、製品インストール ディレクトリの bin (Windows) または etc (UNIX) ディレクトリにあります。
PHYSFILE セキュリティ クラスは、スプール ファイルを含む、物理ファイルの作成を制御します。ファイルが作成または名前変更された際にチェックされます。PHYSFILE クラスが実装されている必要はなく、PHYSFILE クラスが存在しない場合はアクセスが許可されます。注意点として、この場合でも、アクセス チェックは行われますが (また、セキュリティ監査機能が有効になっている場合、セキュリティ構成で [Allow unknown resources] オプションが有効になっていない限り、アクセス拒否の監査レコードが生成されます)、JES エンジンでは、「リソース クラスが未定義のため拒否」というセキュリティ上の結果を「許可」という結果として処理します。
Micro Focus では、システム ワーキング セット内の場所にのみデータセットが作成されるように、PHYSFILE ルールを実装してデータセットの作成場所を制限することを強くお勧めします。これにより、ユーザーは不適切な場所を指定できなくなります。
DATASET との関係
DATASET クラスは、データセットの読み取り、書き込み、作成、または削除といった特定の方法でユーザーがデータセットにアクセスできることを確認するために使用され、データセットにアクセスするたびにチェックされます。PHYSFILE クラスは、データセットの作成時にのみチェックされ、ユーザーがその場所にデータセットを作成できることを確認するために使用されます。
JESSPOOL との関係
スプール ファイルもデータセットであり、その作成時に、JCL ジョブを実行しているユーザーが指定した場所にスプール ファイルを作成できることを確認するために、PHYSFILE チェックが行われます。JESSPOOL セキュリティ クラスは、ユーザーがジョブによって作成されたスプール ファイルにアクセスできることを確認するために使用されます。
ジョブのサブミットおよび実行に使用されるユーザー ID には、ジョブ ログ ファイルを作成する権限が必要です。このファイルはスプール ファイルの場所に作成されるスプール ファイルであるため、この場所へのアクセスを許可する PHYSFILE ルールが必要になります。
PHYSFILE の LDIF 定義の例を次に示します。
Micro Focus では、すべてのユーザーが定義された領域にアクセスできるようにし、特定の領域を特定のユーザーに制限することを推奨しています。割り当てオーバーライド ルールを PHYSFILE 設定と組み合わせて使用すると、カタログ プロパティに基づいてデータセットが作成される場所、および作成する権限を持つユーザーを指定できます。
下の例では、すべてのデータセットが C:\WORKAREA というディスク上の領域に作成されると想定しています。特定の領域へのアクセスを許可するルールを定義すると、そのルールの対象とならない領域へのアクセスは暗黙的に拒否されることになります。
######################### # RACF Class = PHYSFILE # ######################### dn:CN=PHYSFILE, CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: top objectClass: container description: JES Class for controlling access to physical files ################################### # ALLOW ALL USERS PERMISSION TO # # CREATE FILES IN THE DATA AREA # ################################### dn:CN=C\3A\\WORKAREA\\DATA\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:*:alter microfocus-MFDS-UID: no description: Allow everyone permission to create a physical file in the DATA area ################################### # IF SPOOL FILES ARE HELD IN A # # DIFFERENT LOCATION ALLOW ALL # # USERS PERMISSION TO CREATE # # FILES IN THE SPOOL AREA # ################################### dn:CN=C\3A\\WORKAREA\\SPOOL\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:*:alter microfocus-MFDS-UID: no description: Allow everyone permission to create job logs and spool fiels in the SPOOL area #################################### # LIMIT ACCESS TO THE MFI01 FOLDER # # TO AUTOUSER # #################################### dn:CN=C\3A\\WORKAREA\\MFI01\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:AUTOUSER:alter microfocus-MFDS-UID: no description: Allow AUTOUSER permission to create datasets in the MFI01 folder ##################################### # PHYSICAL FILES IN XYZ FOLDER # # THIS SHOWS RESTRICTING USE OF A # # FOLDER AND SUB-FOLDERS TO A GROUP # ##################################### dn:CN=D\3A\\WORKAREA\\XYZ\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class:PHYSFILE microfocus-MFDS-Resource-ACE: allow:ALLUSER group:alter microfocus-MFDS-UID: mfuid