セキュリティー・システム値

システム値を使用すると、システムのさまざまな特性のカスタマイズが可能になります。一群のシステム値を使用して、システム共通のセキュリティー設定を定義できます。

ユーザーによるセキュリティー関連のシステム値の変更を制限することができます。システム保守ツール (SST) および専用保守ツール (DST) には、これらのシステム値をロックするオプションがあります。システム値をロックすることにより、*SECADM 権限と *ALLOBJ 権限を持っているユーザーでも、CHGSYSVAL コマンドを使ってこれらのシステム値を変更できないように設定できます。これらのシステム値変更の制限のほかに、Add Verifier (妥当性検査の追加) API を使用してディジタル証明書ストアにデジタル署名を追加することを制限したり、ディジタル証明書ストアのパスワードのリセットを制限したりできるようになりました。

注: セキュリティー関連のシステム値をロックし、システム回復の一環として復元操作を行う必要がある場合は、復元操作を完了するためにシステム値をアンロックする必要があることに注意してください。これにより、初期プログラム・ロード (IPL) の実行中にシステム値を自由に変更できるようになります。

ロック・オプションを使用することにより、以下のシステム値を制限することができます。

QALWJOBITP
QALWOBJRST
QALWUSRDMN
QAUDCTL
QAUDENDACN
QAUDFRCLVL
QAUDLVL
QAUDLVL2
QAUTOCFG
QAUTORMT
QAUTOVRT
QCRTAUT
QCRTOBJAUD
QDEVRCYACN
QDSPSGNINF
QDSCJOBITV
QFRCCVNRST
QINACTMSGQ
QLMTDEVSSN
QLMTSECOFR
QMAXSGNACN
QMAXSIGN
QPWDCHGBLK
QPWDEXPITV
QPWDEXPWRN
QPWDLMTAJC
QPWDLMTCHR
QPWDLMTREP
QPWDLVL
QPWDMAXLEN
QPWDMINLEN
QPWDPOSDIF
QPWDRQDDGT
QPWDRQDDIF
QPWDRULES
QPWDVLDPGM
QRETSVRSEC
QRMTSIGN
QRMTSRVATR
QSCANFS
QSCANFSCTL
QSECURITY
QSHRMEMCTL
QUSEADPAUT
QVFYOBJRST

システム保守ツール (SST) または専用保守ツール (DST) を使用して、セキュリティー関連のシステム値をロックしたりアンロックしたりできます。ただし、SST は回復モードの間は使用できないため、このモードでは DST を使用する必要があります。それ以外の場合、セキュリティー関連のシステム値をロックまたはアンロックするには、SST を使用します。

システム保守ツール開始 (Start System Service Tools) (STRSST) コマンドを使ってセキュリティー関連のシステム値をロックまたはアンロックするには、以下の手順に従います。

注: セキュリティー関連のシステム値をロックまたはアンロックするには、保守ツールのユーザー ID とパスワードが必要です。

文字ベースのインターフェースをオープンします。
コマンド行で、STRSST と入力します。
保守ツールのユーザー ID とパスワードを入力します。
オプション 7 (システム・セキュリティーの処理) を選択します。
セキュリティー関連のシステム値をアンロックするには 1 と入力し、システム値によるセキュリティー変更許可パラメーターのセキュリティー関連のシステム値をロックするには 2 と入力します。

システム回復の在席 IPL の実行中に専用保守ツール (DST) を使ってセキュリティー関連のシステム値をロックまたはアンロックするには、以下の手順に従います。

「IPL/システムの導入」表示画面から、オプション 3 (専用保守ツールの使用) を選択します。
注: このステップは、回復モードにあり、在席 IPL を実行することを前提としています。
保守ツールのユーザー ID とパスワードを使用して、DST にサインオンします。
オプション 13 (システム・セキュリティーの処理) を選択します。
セキュリティー関連のシステム値をアンロックするには 1 と入力し、システム値によるセキュリティー変更許可パラメーターのセキュリティー関連のシステム値をロックするには 2 と入力します。