ACF2MS27:SMP/Eのセキュリティ・チェックに関して権限を与えるにはどうすれば良いでしょうか?

Document created by Tomoyoshi_Urayama Employee on Jul 31, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002022

製品名:CA ACF2 for z/OS

バージョン:ALL

OS: z/OS

 

Question

 

適用予定のIBM APARの一つにIO11698があり、このAPARにより新たにSMP/Eのコマンドやサービスルーチンの

処理に対してSAFのセキュリティ・チェックが行われるようになるという情報がありました。

 

ACF2において、SMP/Eのセキュリティ・チェックに関して権限を与えるにはどうすれば良いでしょうか?

 

Answer

 

この新たなセキュリティ・チェックは全てFACILITYクラスに対して発生し、リソース名は以下のようになります。

 

GIM.CMD.command -> commandはSMP/Eコマンドとなります。例えば、APPLYコマンドならリソース名はGIM.CMD.APPLYです。

GIM.PGM.program -> programはGIMZIP, GIMUNZIP, GIMIAPのいずれかのサービスルーチン名となります。 例えば、GIMZIPならリソース名はGIM.PGM.GIMZIPです。

SMP/Eの各機能毎に個別にリソースルールを書く事が推奨ですが、まずは全ユーザに全ての機能について権限を与えたいのであれば下記のように簡単なルールを書く事で対応できます。
$KEY(GIM) TYPE(FAC)
CMD.- UID(*) ALLOW
PGM.- UID(*) ALLOW

特定の機能を使用している全てのユーザを調べて将来的により細かなルールにしたい場合には、下記のコマンドにてアクセスを許可しつつ、アクセス・ログをSMFに書き込む事ができます。
$KEY(GIM) TYPE(FAC)
CMD.- UID(*) LOG
PGM.- UID(*) LOG

上記の例ではFACILITYクラスにリソース・タイプFACが割り当てられている前提になっています。又、GSO INFODIRレコードの指定によりFACILITYクラスのルールがストレージ上に常駐している場合、ルール変更の反映にはF ACF2,REBUILD(FAC)コマンドが必要です。

適切なルールを指定しないとセキュリティの稼働/設定状況によっては、SMP/Eの処理時に下記のようなエラーとなります(メッセージIDの最後はS又はT)。

GIM20702S/T cmd PROCESSING FAILED. USER userid IS NOT AUTHORIZED

TO INVOKE THE SMP/E COMMAND OR SERVICE ROUTINE.

 

又は

 

GIM20703S/T cmd PROCESSING FAILED. THE COMMAND OR SERVICE

ROUTINE IS NOT PROTECTED BY A SECURITY MANAGER.

 

GIM20704S/T cmd PROCESSING FAILED. THE SYSTEM AUTHORIZATION

FACILITY (SAF) WAS NOT ABLE TO DETERMINE WHETHER USER

userid IS AUTHORIZED TO INVOKE THIS SMP/E COMMAND OR

SERVICE ROUTINE. THE SAF RETURN CODE IS safrc. THE

SECURITY MANAGER RETURN CODE IS racfrc. THE SECURITY

MANAGER REASON CODE IS racfrsn.

Attachments

    Outcomes