特定の z/OS® Communications Server TCP/IP Services サーバーでは、現在実行しているプロセスのセキュリティー環境を変更する必要が あります。例えば、そのデーモンは、それに接続するすべての FTP クライアントに 関して、それぞれ新規の z/OS UNIX プロセスを作成します。新規プロセスが作成 されると、そのデーモンは、ログインしているユーザーのセキュリティー・コンテキストに 関連付けるように、プロセスのセキュリティー環境を変更します。RACF® FACILITY クラス・リソース BPX.DAEMON がこの目的のために使用されます。表 1 には、BPX.DAEMON リソースの使用に関する情報が記載されています。
作業 | 詳細 |
---|---|
「z/OS UNIX System Services 計画」の BPX.DAEMON 権限に関する情報を検討して、BPX.DAEMON レベルのセキュリティーがインストール済み環境に適しているかどうか判別し、このレベルのセキュリティーをアクティブにするかどうか決定する | これは必須ではありません。ただし、これによって z/OS UNIX 環境にセキュリティーが追加提供されることになるため、推奨します。 z/OS Communications Server の TCP/IP Services の次のサーバーおよびデーモンは、そのプロセスのセキュリティー環境を変更します。
|
BPX.DAEMON を定義する時間を入念に 計画する | BPX.DAEMON リソースを定義するとすぐ、MVS™ は、プログラムにセキュリティー環境を変更させなくなります。ただし、プログラムが プログラム制御ライブラリーから検索される場合や、プログラムを実行 する UID に BPX.DAEMON へのアクセス権がある場合は別です。 |
BPX.DAEMON FACILITY クラス・プロファイルを定義しないことに決定した場合は、これらのサーバーおよびデーモンに関連した UID に関しては、UID(0) を 割り当てます。 | 処理にはこれで十分です。z/OS UNIX スーパーユーザー権限を必要とするその他のユーザー ID で 説明しています。 |
BPX.DAEMON FACILITY クラス・プロファイルを定義することに決定した場合は、リストに表示されているデーモンに関連した UID に関しては、このプロファイル への READ アクセスを認可します。また、BPX.DAEMON FACILITY クラス・プロファイルを RACF で定義することで、BPX.DAEMON セキュリティーを使用可能にします。 | BPX.DAEMON FACILITY クラス・プロファイルを RACF で定義するには、次のコマンドを使用します。
注: このコマンドに名前 BPX.DAEMON を指定する必要があります。名前の置換はできません。
|
必須条件がすべて満たされない限り、サーバー・プログラムは、BPX.DAEMON の定義の 直後に失敗します。サーバー・プログラムが失敗した場合は、BPX.DAEMON を削除すると、セットアップはその直前の状態に戻ります。定義をすべて検査して、BPX.DAEMON の定義を再度試みる前に、必要な修正を行います。
SETROPTS CLASSACT(FACILITY) GENERIC(FACILITY) AUDIT(FACILITY)
SETROPTS RACLIST(FACILITY)
PERMIT BPX.DAEMON CLASS(FACILITY) ID(ftpd_user_ID) ACCESS(READ)