FTP は SAF SERVAUTH クラス内のリソース・プロファイル EZB.FTP.sysname.ftpdaemonname.ACCESS.HFS を使用して、z/OS® UNIX ファイル・システムへのアクセスを制御します。このプロファイルへのアクセスを制御しない場合は、すべてのユーザーが z/OS UNIX ファイル・システムにアクセスできます。
始める前に
サーバーの FTP.DATA ファイルに STARTDIRECTORY HFS が指定されており、ユーザーが SERVAUTH クラス・プロファイルへのアクセスを許可されていない場合、FTP は TSO ユーザー ID を開始ディレクトリーにします。
必要な RACF® コマンドを発行する権限を持っている必要があります。
以下の手順では、セキュリティー製品として RACF の使用が想定されています。ただし、どの SAF 準拠のセキュリティー製品も使用することができます。
手順
z/OS UNIX ファイル・システムへのアクセスを制御するには、以下のステップを実行します。
- z/OS UNIX ファイル・システムへの FTP ユーザー・アクセスのプロファイルを定義します。 プロファイルの形式は、次のとおりです。
RDEFINE SERVAUTH EZB.FTP.sysname.ftpdaemonname.ACCESS.HFS
例えば、システム MVSA 上で実行されている FTP デーモン FTPD のプロファイル名は、次の名前になります。
EZB.FTP.MVSA.FTPD1.ACCESS.HFS
ヒント: プロファイル名には、セキュリティー製品で使用が許可されているワイルドカードの値を含めることができます。セキュリティー製品のすべての規則 (例えば、ワイルドカード、PROTECTALL など) が適用されます。例えば、すべてのシステムが同じアクセス・リストを使用し、RACF 総称プロファイル検査が SERVAUTH クラスに対してアクティブになっているのであれば、次のプロファイル名を使用することができます。
EZB.FTP.*.FTPD.ACCESS.HFS
- z/OS UNIX ファイル・システムへのアクセスが必要なユーザー ID に、次のプロファイルへのアクセスを許可します。
PERMIT EZB.FTP.sysname.ftpdaemonname.ACCESS.HFS CL(SERVAUTH)
ID(ftpuser)
- RACF SERVAUTH クラスがまだ活動化されていない場合は、次のコマンドを発行して活動化します。
SETROPTS CLASSACT (SERVAUTH)
- 以下のいずれかのアクションを実行します。
タスクの結果
終了すると、特定のユーザーだけが z/OS UNIX ファイル・システムにアクセスできます。