IBM® i を導入すると、セキュリティー・ツールが使用できるようになります。 以下の各トピックでは、セキュリティー・ツールの操作手順に関する推奨事項を示します。
セキュリティー・ツールの安全な使用
IBM i を導入すると、セキュリティー・ツールに関連するオブジェクトが保護されます。 セキュリティー・ツールを安全に操作するには、どのセキュリティー・ツール・オブジェクトの権限も変更しないでください。
セキュリティー・ツール・オブジェクトのセキュリティーの設定および要件は以下のとおりです。
- セキュリティー・ツールのプログラムとコマンドは QSYS プロダクト・ライブラリーに入っています。これらのコマンドとプログラムは、*EXCLUDE 共通権限付きで出荷されます。セキュリティー・ツール・コマンドの多くは、ファイルを QUSRSYS ライブラリーに作成します。システムがこれらのファイルを作成すると、これらのファイルの共通権限は *EXCLUDE になります。変更報告書を生成するための情報を含んでいるファイルの名前は、QSEC で始まります。ユーザー・プロファイルを管理するための情報を含んでいるファイルの名前は、QASEC で始まります。これらのファイルには、
システムに関する機密情報が含まれています。したがって、
これらのファイルに対する共通権限を変更しないでください。
- セキュリティー・ツールは、印刷出力を送信するために通常のシステム・セットアップを使用します。
これらの報告書には、
システムに関する機密情報が含まれています。保護された出力待ち行列に出力を送信するには、セキュリティー・ツールを実行するユーザーのユーザー・プロファイルまたはジョブ記述を適切に変更します。
- セキュリティー・ツール・コマンドは、セキュリティー機能を持っているため、またシステム上の多くのオブジェクトにアクセスするため、*ALLOBJ 特殊権限を必要とします。
一部のコマンドには、*SECADM、*AUDIT、または *IOSYSCFG 特殊権限も必要です。
これらのコマンドを正常に実行するには、セキュリティー・ツールを使用するときに機密保護担当者としてサインオンする必要があります。したがって、どのセキュリティー・ツール・コマンドに対しても私用権限を与える必要はありません。
ファイル競合の防止
セキュリティー・ツール報告書コマンドの多くは、報告書の変更バージョンの印刷に使用できるデータベース・ファイルを作成します。各コマンドのファイル名は『セキュリティー・コマンドのコマンドおよびメニュー 』に示されています。1 つのジョブからは一度に 1 つのコマンドしか実行できません。ほとんどのコマンドは、これを強制するために検査を行います。別のジョブがまだコマンドを完了していない場合、そのコマンドを実行すると、エラー・メッセージが表示されます。
印刷ジョブが多数あると、完了までに時間がかかります。報告書をバッチ処理に投入したり、報告書をジョブ・スケジューラーに追加する場合は、注意深くファイル矛盾を回避する必要があります。たとえば、異なる選択基準を持つ 2 つのバージョンの PRTUSRPRF 報告書を印刷したい場合があります。報告書をバッチ処理に投入する場合は、
一時点で 1 つのジョブしか実行しないジョブ待ち行列を使用して、
報告書ジョブが順次に実行されるようにします。
ジョブ・スケジューラーを使用する場合は、2 つのジョブの間に十分な時間間隔を入れ、
最初のバージョンが完了してから 2 番目のジョブを実行するようにスケジュールします。