NATIVEセキュリティで最終ステージの更新を防ぐことは可能ですか?

Document created by Kenji_Tsuda Employee on Jun 16, 2015Last modified by Kenji_Tsuda Employee on Jun 16, 2015
Version 1Show Document
  • View in full screen mode

文書番号:JTEC001032

製品名:CA Endevor

バージョン:ALL

OS:z/OS

 

Question

NATIVEセキュリティで最終ステージの更新を防ぐことは可能ですか?

 

Answer

可能です。以下は、NATIVEセキュリティを使用した環境下で、本番環境のPRODステージへの更新処理を抑止するための設定方法です。

 

サンプル環境:

+-----------------+  +-----------------+  +-----------------+

|     テスト環境     |  |      QA環境     |  |      本番環境     |

+--------+--------+  |--------+--------+  +--------+--------+

|  STG1  |  STG2  |  |  STG3  |  STG4  |  |  EMER  |  PROD  |

+--------+--------+  +--------+--------+  +--------+--------+

 

STG1、STG2、STG3、STG4、EMERに関するセキュリティは無し。

STG4からPRODへのMOVEを制御。

EMERからPRODへのMOVEを制御。

PRODのGENERATE、DELETE、UPDATE、環境の管理を制御。


1. Access Security Tableの設定

   JCL : Prefix.JCLLIB(BC1JACCT)

 

   アクセスを許すステージを定義します。

   グループ単位で分けることも可能ですが、この例では、全ユーザーが全ステージにアクセス出来る状況で、PRODステージへの更新系処理を制御する設定のため、グループは1つしか作成していません。

例)

//SYSIN    DD   *

         CONSDEF TYPE=START,TABLE=USER

         CONSDEF TYPE=USER,GROUP=FINANCE,                              X

               SYSDEF=((STG1,$,R),(STG2,$,R),(STG3,$,R),               X

               (STG4,$,R),(EMER,$,R),(PROD,$,R))

         CONSDEF TYPE=USER,USERID=ATEST$,GROUP=FINANCE

         CONSDEF TYPE=USER,USERID=BTEST01,GROUP=FINANCE

         CONSDEF TYPE=USER,USERID=CTEST0$,GROUP=FINANCE

         CONSDEF TYPE=END,TABLE=USER

/*

//

 

   GROUP=FINANCEは、STG1、STG2、STG3、STG4、EMER、PRODにアクセスできます。

   USERID=ATEST$、USERID=BTEST01、USERID=CTEST0$は、GROUP=FINANCEに属します。

   $は、ワイルドカードです。

 

2. User Security Table

   JCL : Prefix.JCLLIB(BC1JUSRT)

 

   実行可能なアクションを設定します。

   アクションのコードにつきましては、Security Guideの3.7 Defining the User Security Tableをご参照ください。

例)

//SYSIN    DD   *

         CONSDEF TYPE=START,TABLE=USER

         CONSDEF TYPE=USER,GROUP=ADMIN,                                X

               SYSDEF=(($,$,ADMPRSUZN,BV))

         CONSDEF TYPE=USER,USERID=BTEST01,GROUP=ADMIN

         CONSDEF TYPE=USER,GROUP=FINANCE,                              X

               SYSDEF=(($,$,ADRPU,B))

         CONSDEF TYPE=USER,USERID=ATEST$,GROUP=FINANCE

         CONSDEF TYPE=USER,USERID=CTEST0$,GROUP=FINANCE

         CONSDEF TYPE=END,TABLE=USER

/*

//

 

   GROUP=ADMINは、管理者用として全アクションを設定しています。

   USERID=BTEST01は、GROUP=ADMINに属します。

   GROUP=FINANCEは、一般ユーザー用としてA、D、R、P、Uのアクションを実行可能です。

   USERID=ATEST$とUSERID=CTEST0$は、GROUP=FINANCEに属します。

 

3. オプションテーブル

   テーブル : Prefix.SOURCE(ENCOPTBL)

   JCL    : Prefix.JCLLIB(BC1JOPTF)

 

   本来、環境をまたがった制御は出来ませんが、以下のオプションを有効にすることで、STG4からPRODへのMOVEを制御することが出来ます。

   *を削除し、保存します。そしてモジュール作成用JCLを実行します。

 

***********************************************************************

* IF IN-HOUSE SECURITY IS DESIGNED TO EXPECT THE MOVE ACTION TO ISSUE *

* A SECURITY CALL AT THE TARGET LOCATION, THEN DO SECURITY CHECK AT   *

* THE TARGET LOCATION DURING THE MOVE PROCESSING.                     *

* O0000517                                                            *

*---------------------------------------------------------------------*

         ENHOPT SEC_MOVE_TARGET=ON

*                                                                     *

***********************************************************************

 

4. C1DEFLTSテーブル

   JCL : Prefix.INSTALL(BC1JDFLT)

 

   1、2で作成したテーブルをCA Endevorに設定します。

   ACCSTBL=とUSERTBL=にテーブル名(モジュール名)を設定します。

   ACCSTBL=は、1箇所しか設定する部分がありませんが、USERTBL=は、各環境毎に設定出来ます。

   この例では、本番環境のPRODステージのみの制御となりますので、最終環境のUSERTBL=のみにテーブル名(モジュール名)を設定します。

   JCLを実行後、再LOGONしてください。

 

//SYSIN    DD  *

         C1DEFLTS TYPE=MAIN,                                           X

               ACCSTBL=ACCSTABL,        ACCESS SECURITY TABLE NAME     X

     :

     :

     :

         C1DEFLTS TYPE=ENVRNMNT,                                       X

               ENDBACT=N,               ENDVR DB BRIDGE OPTION (Y/N)   X

               ENDBAVL=N,               ENDVR DB BRIDGE OPTION (Y/N)   X

     :

     :

               USERTBL=USERTABL

 

5. テスト結果

   テストしたユーザーIDは、ATETSxxで、一般ユーザーとして設定し、テストしました。管理者の設定では、全てを実行することが出来ました。

 

   STG1、STG2、STG3、STG4、EMERは、セキュリティが無いため、今までどおりの処理が可能。

   STG4からPRODへMOVEした場合、以下のエラーでMOVEが出来ません。

     C1G0203I     MOVE     ELEMENT TEST01

     C1G0204I        FROM ENVIRONMENT: UTST     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: D

     C1G0232I        OPTIONS:  SIGNIN

     C1G0232I                  CCID: A

     C1G0232I                  COMMENT: A

     C1G0000I     ELEMENT TEST01

     C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC

 

   EMERからPRODへMOVEした場合、以下のエラーでMOVEが出来ません。

     C1G0203I     MOVE     ELEMENT TEST20

     C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: E

     C1G0232I        OPTIONS:  SIGNIN

     C1G0232I                  CCID: A

     C1G0232I                  COMMENT: A

     C1G0000I     ELEMENT TEST20

     C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC

 

   PRODのエレメントをUPDATEした場合、以下のエラーでUPDATEが出来ません。

     C1G0203I     UPDATE   ELEMENT TESU01

     C1G0205I        FROM DSNAME:  TSUKE01.PANVLT.SAMPJCL    MEMBER:  TEST01

     C1G0204I        TO   ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: E

     C1G0232I        OPTIONS:  NEW ELEMENT NAME

     C1G0232I                  CCID: A

     C1G0232I                  COMMENT: A

     C1G0013E  THE ELEMENT IS NOT FOUND AT STAGE EMER

     C1G0277I  UPDATE PROCESSING TERMINATED BECAUSE OF THE PREVIOUS ERROR

 

   PRODのエレメントをGENERATEした場合、以下のエラーでGENERATEが出来ません。

     C1G0203I     GENERATE ELEMENT TEST20

     C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: P

     C1G0204I        TO   ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: P

     C1G0232I        OPTIONS:  CCID: A

     C1G0232I                  COMMENT: A

     C1G0000I     ELEMENT TEST20

     C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC

 

   PRODのエレメントをDELETEEした場合、以下のエラーでDELETEが出来ません。

     C1G0203I     DELETE   ELEMENT TEST20

     C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:

                          ACCTREC  TYPE: PARM     STAGE ID: P

     C1G0232I        OPTIONS:  CCID: A

     C1G0232I                  COMMENT: A

     C1G0000I     ELEMENT TEST20

     C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC

Attachments

    Outcomes