特別な考慮事項
権限収集に関する特別な考慮事項。
- 権限収集サポートでは、特殊権限を検査するインターフェースに関するデータは収集されません。 *ALLOBJ 特殊権限に関連する権限収集データは収集されます。この特殊権限がオブジェクト・レベルのセキュリティーに影響を及ぼすためです。その他の特殊権限検査 (*JOBCTL や *SAVSYS などの権限) は権限収集項目を生成しません。 特定のユーザー・プロファイルの特殊権限設定は、ユーザー・プロファイル表示 (DSPUSRPRF) コマンドや関連 API などの既存のセキュリティー・インターフェースを使用したり、QSYS2.USER_INFO ビューを照会したりすることで、容易に検査されます。
- 機能使用法設定 (アプリケーション管理とも呼ばれる) は、特殊権限設定と同じ理由によって収集されません。 特定のユーザー・プロファイルの機能使用法設定は、検査が容易であり、機能使用法処理 (WRKFCNUSG) コマンドの使用や QSYS2.FUNCTION_USAGE ビューの照会によって管理されます。
- システムは、ある種のシステム・ライブラリーとそれらのオブジェクト (QRCL、QSPL、QTEMP、QPTFOBJ1、QPTFOBJ2 など)、および対応する IASP バージョンのシステム・ライブラリーを、権限収集データから自動的に除外します。さらに、ライブラリー、フォルダー、およびディレクトリーに入っていないオブジェクトに対する権限検査も除外されます。
- システムは、システム・プログラムとサービス・プログラムを、権限収集データから自動的に除外します。 *SYSTEM ドメインであるか、あるいはプログラム状態が *SYSTEM または *INHERIT であるプログラムやサービス・プログラムは、権限収集から除外されます。 これらの属性は、プログラム表示 (DSPPGM) コマンドやサービス・プログラム表示 (DSPSRVPGM) コマンドを使用して表示できます。
- IBM® i オペレーティング・システムがオブジェクトにアクセスするときや、オペレーティング・システムからのプログラム借用権限であるために権限が使用可能であるとき、システムは権限収集データを自動的に除外します。 オペレーティング・システムは、プログラム借用権限を使用して、使用するオブジェクトや制御ブロックの管理と保護を行います。 さらに、オペレーティング・システムは、特定の理由のためにオブジェクトへのアクセスを必要とする状況や、ジョブの現行ユーザーが許可されていない状況の場合にもプログラム借用権限を使用します。
- システムは、削除された文書ライブラリー・オブジェクトやファイル・システム・オブジェクトの権限収集データを自動的に除外します。
- 権限収集に対するオープン・ファイル (*FILE オブジェクト) サポートは完全オープン専用です (共有オープンや疑似オープンは記録されません)。 最初の権限収集はファイルのオープン時に行われますが、そのファイルに対するハード・クローズが行われるまで、データは権限収集リポジトリーに書き込まれません。 アプリケーションのために必要な権限 (オープンは読み取り/追加/更新/削除のために行われることがありますが、アプリケーションはデータの読み取りしか行わないことがあります) を正確に記録するためには、ファイルのオープン/クローズの場合のリポジトリーへの権限収集データの書き込みがクローズ時に行われなければなりません。
- DB2® テーブルに対する列許可の権限収集はサポートされていません。
- ユーザー・プロファイルに対する権限収集を開始するために STRAUTCOL コマンドが使用され、区画が IPL された場合は、指定されたユーザー・プロファイルのもとで実行されるジョブ (IPL 後) が開始されると、権限収集が続行されます。
- IBM i はプロファイル・スワップと呼ばれる機能をサポートします。 プロファイル・スワップは、スレッドの現行ユーザーをあるユーザーから別のユーザーにスワップするために活動ジョブ内で行われることがあります。 このプロファイル・スワップが行われると、現行ユーザーが変わったために、このスレッドの前のユーザーの権限収集は活動状態ではなくなります。新しくスワップされたユーザーが権限収集を活動状態にした場合、実行された権限検査はこのユーザーの権限収集リポジトリーの下に記録されるようになります。
- 活動状態の権限収集を持つユーザー・プロファイルが削除されると、そのユーザー・プロファイルが削除される前に、権限収集は自動的に終了します。
- QSYS 内でのみ許されるオブジェクト・タイプ (*LIB など) の権限情報を収集する場合は、STRAUTCOL コマンドにパラメーター LIBINF(*ALL) を指定してください。 権限収集にオブジェクト・タイプ *LIB が含まれていると、QSYS* で始まるライブラリー・オブジェクトは権限収集データから自動的に除外されます。
- 既存の権限収集データ・リポジトリーを持つユーザーに対して権限収集が開始されると、パラメーター DLTCOL(*YES) が指定されていない限り、新しい権限データは既存の情報に追加されます。 新しい権限収集データを既存の情報に追加できますが、これは、DETAIL パラメーターに指定された値が既存の権限情報の収集時に DETAIL パラメーターに指定された値と一致する場合に限られます。