デーモン用セキュリティー・プログラムの準備手順

始める前に: 以下で説明しているセキュリティー関連の手順項目を実行する必要があります。

以下の手順に従って、デーモン用 RACF® を準備します。

BPX.DAEMON を定義し、デーモンと認識されるユーザーが、プロセスの z/OS セキュリティー環境を照会または変更することを許可します。
```
RDEFINE FACILITY BPX.DAEMON UACC(NONE)
```
規則: BPX.DAEMON という名前を使用する必要があります。別の名前は認められません。
ヒント: システム管理者をデーモン FACILITY クラスに対して定義する必要があります。これは、デーモン・プロセスが失敗した場合にシステム管理者がそのデーモン・プロセスを再始動できるようにするためです。現行の RACF セキュリティー管理者をデーモンを再始動できるスーパーユーザーとして認可するには、以下のコマンドを発行してください。
```
PERMIT BPX.DAEMON CLASS(FACILITY) ID(RACFADM) ACCESS(READ)
```
______________________________________________________________
これがご使用のインストール・システムで定義された最初の FACILITY クラスである場合は、それらをアクティブにします。
```
SETROPTS CLASSACT(FACILITY)
SETROPTS RACLIST(FACILITY)
```
______________________________________________________________
デーモンにカーネルをアクセスする権限を与えます。識別をカーネル・アドレス・スペースから継承するデーモンの多くは /etc/rc で開始されます。
例: BPX.DAEMON に OMVSKERN というユーザー ID を許可するには、以下を発行します。
```
PERMIT BPX.DAEMON CLASS(FACILITY) ID(OMVSKERN) ACCESS(READ)
SETROPTS RACLIST(FACILITY) REFRESH
```
______________________________________________________________
すべてのシステム上に、BPXROOT というユーザー ID を使用してスーパーユーザーを定義し、デーモン・プロセスでスーパーユーザーに対して setuid() を起動できるようにします。
```
ADDUSER BPXROOT DFLTGRP(OMVSGRP) OMVS(UID(0)
      HOME('/') PROGRAM('/bin/sh'))
NOPASSWORD
```
NOPASSWORD オプションでは、BPXROOT は、パスワードまたはパスワード・フレーズを使用してシステムに入る場合に使用できない保護ユーザー ID であることを示します。このユーザー ID は、無効なログオン試行が原因で取り消されることはありません。

______________________________________________________________
BPXPRMxx 内の SUPERUSER ステートメントで、UID(0) のユーザー ID が必要な場合に、カーネルが使用するユーザー ID を指定します。
例:
```
SUPERUSER(BPXROOT)
```
SUPERUSER ステートメントを指定しないと、デフォルトは BPXROOT になります。

ユーザー ID の BPXROOT は、BPX.DAEMON FACILITY クラス・プロファイルには許可されません。ユーザー ID BPXROOT は、デーモン・プロセスが setuid() を起動して UID を 0 に変更するときに、ユーザー名がまだ getpwnam() または _passwd() 関数によって識別されていないと使用されます。これによって、BPX.DAEMON に定義されていないスーパーユーザーにデーモン権限を与えることが防止されます。

______________________________________________________________

以上で、デーモン用 RACF の準備が完了します。セキュリティー・セットアップを完了するには、さらにプログラム制御をアクティブにする必要がありますが、これは IBM 提供デーモンに対するシステムのカスタマイズで説明します。