RACF コマンド

RACF コマンドを使用して、RACF プロファイルの追加、変更、削除、およびシステム全体のオプションの定義を行うことができます。

RACF® コマンドを実行できるのは、RACF で定義されているユーザーだけです。ユーザーは、ほとんどの RACF コマンドを実行できますが、コマンドに指定したプロファイルに対するコマンドの実行が許可されているかどうかが RACF によって検査されます。ほとんどの RACF コマンドは、TSO 環境から実行できます。また、MVS™ オペレーター・コンソールからしか実行できない RACF コマンドもあります。現在、従来の TSO RACF コマンドは TSO 環境に限定されなくなりました。これらのコマンドは、オペレーター・コンソール、RACF パラメーター・ライブラリー、および R-Admin RACF 呼び出し可能サービスから実行することも可能です。オペレーター・コンソールから実行する場合は、コンソール・オペレーターがログオンしている必要があります。また、権限はオペレーターのユーザー ID に基づきます。

歴史的に、RACF コマンドはプロファイルのタイプによってグループ化されています。このグループ化は、ユーザーとグループには役立ちますが、データ・セットと一般リソースにはそれほど役立ちません。特に PERMIT コマンドは、一般リソース・プロファイルに対するアクセス権限を許可しようとする人を混乱させることがよくあります。RACF の長い歴史は、個別プロファイルの実装や、UACC などのデータ・セット属性の自動設定で使用可能なユーザー属性からも見て取ることができます。RACF ISPF パネル・インターフェースを使用することで、旧バージョンの RACF の来歴や互換性に起因する問題の一部が軽減されます。

コマンドに関連する問題の一部は、RACF の基本原理が原因です。

プロファイルの所有者は、プロファイルの任意の属性を変更できますが、その属性を変更しても所有者の権限やアクセス権が高くならないことが条件となります。

一部のインストール済み環境では、この柔軟性をユーザーに与えるのは望ましくない場合があります。ユーザーは、アクセス規則を変更して、自分のリソースに対する RACF アクセス制御を事実上無効にすることができます。RACF コマンドを完全に禁止するか、出口コードを記述することにより、この脅威レベルを低下させることができます。どちらの解決策にも、それぞれに欠点があります。(RACF プログラム制御を使用するなどして) コマンドを禁止すると、リソースの所有者による正当な変更も妨げられます。標準の RACF 出口では、インストールに必要な制御量が提供されないことがよくあります。RACF コマンド出口を参照してください。以下のセクションでは、zSecure Command Verifier で導入された柔軟な制御点について説明します。