Printer Inventory、共通メッセージ・ログ、およびオペレーター・コマンドのセキュリティーをセットアップする手順

以下のステップは、Printer Inventory、共通メッセージ・ログ、および Infoprint Server オペレーター・コマンドのセキュリティーをセットアップするために使用する RACF® および z/OS® UNIX コマンドを示しています。

ヒント: SYS1.SAMPLIB(AOPRACF) のサンプル CLIST には、このセクションで説明されている多くのステップで使用される RACF コマンドが含まれています。 AOPRACF は、実行する前に変更する必要があります。

Infoprint Server 管理者のために RACF にグループを定義します。
Infoprint Server 管理者は、Printer Inventory の表示と更新ができ、共通メッセージ・ログ内のすべてのメッセージを表示できます。管理者のための推奨されるグループ名は AOPADMIN です。ただし、任意の名前を使用することができます。グループ・プロファイルは、1 つの OMVS セグメントと 1 つの OMVS グループ ID (GID) を持っている必要があります。
例: 次の ADDGROUP コマンドはグループ AOPADMIN を定義します。group-identifier には、ご使用のインストール・システム内の他の GID とは異なる整数を指定してください。
```
ADDGROUP (AOPADMIN) OMVS(GID(group-identifier))   
```
共通メッセージ・ログ用に MVS™ システム・ロガーを使用する場合、Infoprint Server 管理者には、ログ・ストリームを保護するプロファイルに対する READ アクセスも必要となります。詳しくは、ログ・ストリームのセキュリティーをセットアップを参照してください。
Infoprint Server オペレーターのために RACF にグループを定義します。
Infoprint Server オペレーターは Infoprint Server デーモンを、z/OS UNIX コマンド行の開始および停止コマンドまたは JCL 始動およびシャットダウンのプロシージャーを使用して開始および停止できます。Infoprint Server オペレーターのための推奨されるグループ名は AOPOPER です。ただし、任意の名前を使用することができます。グループ・プロファイルは、1 つの OMVS セグメントと 1 つのグループ ID (GID) を持っている必要があります。
例: 次の ADDGROUP コマンドはグループ AOPOPER を作成します。group-identifier には、ご使用のインストール・システム内の他の GID とは異なる整数を指定してください。
```
ADDGROUP (AOPOPER) OMVS(GID(group-identifier))
```
ご使用のシステムのセキュリティー・ポリシーで Infoprint Server の管理者とオペレーターを区別する必要がない場合は、このステップをスキップし、後続のステップで Infoprint Server 管理者のグループ (AOPADMIN) に、AOP.ADMINISTRATOR プロファイルに対するアクセス権限を付与できます。
(オプション) Infoprint Server 構成管理者用にグループを RACF に対して定義します。
動的構成機能が使用可能な場合、Infoprint Server 構成管理者は、システム構成定義内の Infoprint Server 構成属性を表示および更新できます。 Infoprint Server 構成管理者の推奨グループ名は AOPCONF です。ただし、任意の名前を使用することができます。グループ・プロファイルに OMVS セグメントやグループ ID (GID) は必要ありません。
例: 次の ADDGROUP コマンドはグループ AOPCONF を作成します。
```
ADDGROUP (AOPCONF)
```
動的構成を使用可能にし、AOP.CONFIGURATION リソース・プロファイルを定義してシステム構成定義へのアクセスを制限する場合は、AOPCONF グループを定義することを検討してください。
PRINTSRV クラスをアクティブにします。さらに、パフォーマンスを向上させるために、PRINTSRV クラスのプロファイルを仮想記憶域にコピーしてください。プロファイルを仮想記憶域にコピーする場合は、PRINTSRV クラス内で新規プロファイルを定義するか、プロファイルに対して新規ユーザーを許可した後、SETROPTS コマンドを使用して PRINTSRV クラスをリフレッシュする必要があります。
例: 以下の SETROPTS コマンドは、PRINTSRV クラスをアクティブにして、プロファイルを仮想記憶域にコピーします。
```
SETROPTS CLASSACT(PRINTSRV) RACLIST(PRINTSRV) 
```
リソース・プロファイルを PRINTSRV クラスの AOP.ADMINISTRATOR という名前で RACF に定義します。
例: 次の RDEFINE コマンドは、汎用 READ アクセスを持つリソース・プロファイル AOP.ADMINISTRATOR を定義します。
```
RDEFINE PRINTSRV (AOP.ADMINISTRATOR) UACC(READ)
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
ガイドライン: 許可されていないユーザーが Printer Inventory の読み取りまたは更新を試みた場合に、RACF がセキュリティー管理者に通知するようにするには、RDEFINE コマンドで NOTIFY パラメーターを指定します。これを行わない場合、Infoprint Server は、AOP.ADMINISTRATOR プロファイルの検査時に RACF メッセージを抑止します。
(オプション) リソース・プロファイルを PRINTSRV クラスの AOP.CONFIGURATION という名前で RACF に定義します。
システム構成定義を更新できるユーザーを、Printer Inventory における他の定義とは別に制限する必要がある場合は、AOP.CONFIGURATION プロファイルを定義します。 AOP.CONFIGURATION プロファイルが定義されていない場合、AOP.ADMINISTRATOR プロファイルに対する UPDATE アクセスを持つユーザーは、システム構成定義だけでなく Printer Inventory における他のオブジェクトも更新できます。

AOP.CONFIGURATION プロファイルまたは AOP.ADMINISTRATOR プロファイルのいずれかに対する READ アクセスを持つユーザーは、システム構成定義を表示できます。
例: 次の RDEFINE コマンドは、NONE という汎用アクセス権限を持つリソース・プロファイル AOP.CONFIGURATION を定義します。
```
RDEFINE PRINTSRV (AOP.CONFIGURATION) UACC(NONE)
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
非管理者に、AOP.ADMINISTRATOR プロファイルに対する READ アクセスを与えます。
NONE という汎用アクセスを指定してリソース・プロファイル AOP.ADMINISTRATOR を定義していた場合は、Infoprint Server ISPF パネルまたは Infoprint Central のいずれかを使用して Printer Inventory を表示する必要のあるユーザーには、AOP.ADMINISTRATOR プロファイルに対する READ アクセスを与えてください。
例: 次の PERMIT コマンドは、ユーザーやグループが Printer Inventory を読み取ることができるようにします。
```
PERMIT AOP.ADMINISTRATOR CLASS(PRINTSRV) ACCESS(READ) ID(userid or groupid)
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
注: AOP.ADMINISTRATOR プロファイルに対する READ アクセスがあれば、ユーザーは ISPF パネルを使用してシステム構成定義を表示することもできます。
Infoprint Server 管理者グループ (AOPADMIN) に、AOP.ADMINISTRATOR リソース・プロファイルに対する UPDATE アクセスを付与します。
AOP.ADMINISTRATOR リソース・プロファイルに対してグループ AOPADMIN を許可するか、または各ユーザーを別々に許可することができます。 Printer Inventory の表示と更新を行うためには、ユーザーは AOP.ADMINISTRATOR リソース・プロファイルに対する UPDATE (またはそれ以上の) アクセスを持っている必要があります。
例: 次の PERMIT コマンドは、PRINTSRV クラスの AOP.ADMINISTRATOR プロファイルに対して AOPADMIN グループを許可します。
```
PERMIT AOP.ADMINISTRATOR CLASS(PRINTSRV) ACCESS(UPDATE) ID(AOPADMIN)
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
(オプション) ステップ 6 で AOP.CONFIGURATION リソース・プロファイルを定義した場合は、そのプロファイルに対する UPDATE アクセスを Infoprint Server 構成管理者に付与します。
AOP.CONFIGURATION リソース・プロファイルに対してグループ AOPCONF を許可するか、または各ユーザーを別々に許可することができます。
例: 次の PERMIT コマンドは、PRINTSRV クラスの AOP.CONFIGURATION プロファイルに対して AOPCONF グループを許可します。
```
PERMIT AOP.CONFIGURATION CLASS(PRINTSRV) ACCESS(UPDATE) ID(AOPCONF)
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
(オプション) NONE という汎用アクセス権限を指定してリソース・プロファイル AOP.CONFIGURATION および AOP.ADMINISTRATOR を定義した場合は、システム構成定義を表示する必要はあるが更新する必要はないユーザーに、AOP.CONFIGURATION プロファイルまたは AOP.ADMINISTRATOR プロファイルのいずれかに対する READ アクセスを付与します。
例: 次の PERMIT コマンドは、ユーザーがシステム構成定義を表示できるようにします。
```
PERMIT AOP.CONFIGURATION CLASS(PRINTSRV) ACCESS(READ) ID(userid
SETROPTS RACLIST(PRINTSRV) REFRESH  
```
Printer Inventory を読み取らせたい Infoprint Server 管理者、オペレーター、およびその他のユーザーを、z/OS UNIX ユーザーとして RACF に定義します。このステップでは、RACF にユーザーを定義する 1 つの方法を示します。 z/OS UNIX ユーザーを RACF に定義する方法についての完全な説明は、「z/OS UNIX System Services 計画」を参照してください。
それぞれのユーザーごとに、OMVS セグメントを確立し、さらに OMVS セグメントを持つグループにグループ ID (GID) を使用して、そのユーザーのデフォルト・グループを設定します。任意のホーム・ディレクトリーを指定することも、デフォルト・ホーム・ディレクトリーを使用することもできます。ADDUSER コマンドを使用して新規ユーザー ID を定義することも、ALTUSER コマンドを使用して既存のユーザー ID を変更することもできます。
例: 次の ALTUSER コマンドは既存のユーザー ID を変更します。userid には、既存のユーザー ID を指定します。 user-identifier には、ご使用のインストール・システム内の他の UID とは異なる整数を指定してください。 group には、AOPOPER、AOPADMIN、または OMVS GID を持つ任意の別のグループを指定します。
```
ALTUSER userid OMVS(UID(user-identifier) PROGRAM('/bin/sh')) 
   DFLTGRP(group)
```
ガイドライン:
1. ユーザーが z/OS UNIX を使用できるようにするために、ユーザーのデフォルト・グループには、GID が定義されていなければなりません。
2. JCL 始動およびシャットダウンのプロシージャーで使用するためのユーザー ID の定義方法についての説明は、JCL 始動プロシージャーおよびシャットダウン・プロシージャーに割り当てるユーザー ID の作成を参照してください。
Infoprint Server の管理者、オペレーター、および構成管理者を適切なグループに関連付けます。
JCL 始動およびシャットダウンのプロシージャーを使用して Infoprint Server を開始および停止する場合、これらのプロシージャーに割り当てられたユーザー ID を AOPOPER グループに接続してください。
例: 次の CONNECT コマンドは、ユーザーを管理者用の AOPADMIN グループ、オペレーター用の AOPOPER グループ、および構成管理者用の AOPCONF グループに関連付けます。userid には、既存のユーザー ID を指定してください。
```
CONNECT (userid) GROUP(AOPADMIN) 
```
```
CONNECT (userid) GROUP(AOPOPER)
```
```
CONNECT (userid) GROUP(AOPCONF)
```
ヒント: ステップ 2 で Infoprint Server オペレーターに対して別のグループを定義しなかった場合は、Infoprint Server 管理者のグループ (AOPADMIN) にオペレーターを関連付けてください。
AOPOPER グループ (または JCL 始動プロシージャーに関連付けられたユーザー ID) に、以下のリソースおよびプロファイルへの RACF 許可を与えてください。
- IP PrintWay™ 拡張モードを使用する場合は、JESSPOOL クラスのプロファイルへの UPDATE アクセス。JES スプールからデータ・セットを選択するための IP PrintWay の許可 (拡張モード)を参照してください。
- IP PrintWay 拡張モードを使用する場合は、FACILITY クラスの BPX.SMF プロファイルへの READ アクセス。SMF タイプ 6 レコードを書き込むための IP PrintWay の許可 (拡張モード)を参照してください。
- Infoprint Central を使用する場合は、OPERCMDS and JESSPOOL クラスのプロファイルへのアクセス。必要なアクセス・タイプについては、Infoprint Central のためのセキュリティーのセットアップを参照してください。
- AFP から PCL、PDF、または PostScript への IBM® 変換機能を使用する場合は、z/OS システムに存在する AFP リソース・ライブラリーなどの変換リソースへの READ アクセス。詳しくは、変換機能の資料を参照してください。
- 共通メッセージ・ログ用に MVS システム・ロガーを使用する場合、ログ・ストリームを保護するプロファイルに対する UPDATE アクセス。詳しくは、ログ・ストリームのセキュリティーをセットアップを参照してください。
ヒント: Infoprint Server を開始および停止するのに常に JCL 始動およびシャットダウンのプロシージャーを使用する (z/OS UNIX コマンド行からの開始および停止コマンドは使用しない) 場合、AOPOPER グループに RACF アクセスを与える代わりに、JCL 始動およびシャットダウンのプロシージャーに関連付けられたユーザー ID に RACF アクセスを与える必要があります。
汎用 RACF アクセスを Infoprint Server ISPF データ・セットに与えます。これですべてのユーザーが Infoprint Server ISPF のパネルを表示することができます。
例: RACF ADDGROUP コマンドが AOP という名前のグループを作成し、データ・セットのリソース・プロファイルを所有します。RACF ADDSD コマンドが、"AOP." で始まるデータ・セットに対する汎用 READ アクセスを付与する汎用データ・セット・リソース・プロファイルを作成します。
```
ADDGROUP (AOP) SUPGROUP(SYS1) OWNER(SYS1)
ADDSD 'AOP.*' GENERIC OWNER(AOP) UACC(READ) 
```