System Authorization Facility (SAF) を使用して、どの z/OS® ユーザーが特定の TCP/IP リソースにアクセスできるかをコントロールできます。この機能により、これらのリソースを無許可ユーザーのアクセスから保護します。
SERVAUTH クラスの SAF リソース・プロファイルを定義して、TCP/IP リソースへのアクセスを制御します。SAF リソース・プロファイルを定義すると、ローカル・ユーザーのユーザー ID が少なくともリソースの READ アクセスを持っている場合、関連する TCP/IP リソースにアクセスできます。
z/OS Communication Server のプログラムは、SAF を呼び出してどのユーザーが保護リソースへのアクセス権があるかを確認します。ユーザーの資格情報、リソース名、アクセスの要求レベル (READ,UPDATE など) が SAF に提供されます。 SAF には定義された 3 つの戻りコードがあります。
- 0
- 許可
- 4
- 決定なし
- 8
- 否認
以下のシチュエーションでは SAF が決定なしの戻りコードを返す可能性があります。
- セキュリティー・サーバーが使用不可。
- リソース・クラスがアクティブでない。
- 指定されたリソースがクラス内で定義されたプロファイルを持っていない。
SAF が決定なしの戻りコードを返す場合は、リソース・マネージャーがアクセスを許可するかどうかの決定をします。 表 1 の「SAF の決定なし」列は、リソース・マネージャーが各リソースに対して取るアクションを示しています。
表 1 には、TCP/IP によって使用される SERVAUTH リソース名が要約されています。
| 機能 | 説明 | SAF の決定なし | SERVAUTH リソース名 |
|---|---|---|---|
 SAF ロギングにおける LOGSTR (RACF® の場合は SMF タイプ 80 レコード) |
|||
| ブロードキャスト・アクセス制御 | ブロードキャスト・データグラムを送信するために必要な SO_BROADCAST ソケット・オプ ションを設定することを、アプリケーションに許可するかどうかを制御する能力を提供します。 | 許可 | EZB.SOCKOPT.sysname.tcpname.SO_BROADCAST |
| TCPIP SOCKOPT ACCESS CHECK |
|||
| CIM プロバイダー・アクセス制御 | CIM データへのアクセスを制限する能力を提供します。 | 否認 | EZB.CIMPROV.sysname.tcpname |
| TCPIP CIM PROVIDER CHECK |
|||
| DCAS サーバー・アクセス制御 | TLS 認証 X.509 クライアント証明書に関連した SAF ユーザー ID に基づいて、DCAS サーバーにアクセスできるかどうかを制御します。 | 許可 | EZA.DCAS.cvtsysname |
|
|||
| 高速応答キャッシュ・アクセラレーター (FRCA) アクセス制御 | FRCA キャッシュを作成するユーザー能力を提供します (FRCA は、スタック内での静的 Web ページのキャッシング用に Web サーバーにより使用されます)。 | 否認、結果 1 を参照 | EZB.FRCAACCESS.sysname.tcpname |
| TCPIP FRCA ACCESS CHECK |
|||
| FTP サーバー・アクセス制御 | ログインに使用される SAF ユーザー ID を基に、FTP サーバーにアクセスできるかどうかを制御します。 | 許可 | EZB.FTP.sysname.ftpdaemonname.PORTxxxxx |
| (なし) |
|||
| FTP SITE コマンド制御 | SITE DUMP および DEBUG コマンド (大量の出力を生成するコマンド) の使用を制限する能力を提供します。 | 許可 | EZB.FTP.sysname.ftpdaemonname.SITE.DUMP EZB.FTP.sysname.ftpdaemonname.SITE.DEBUG |
| (なし) |
|||
| FTP z/OS UNIX ファイル・システム・アクセス制御 | z/OS UNIX ファイル・システムへの FTP ユーザー・アクセスを全般的に制限する能力を提供します。 | 許可 | EZB.FTP.sysname.ftpdaemonname.ACCESS.HFS |
| (なし) |
|||
| ipsec コマンド・アクセス制御 | ipsec コマンドの使用を制御する能力を提供します。 | 否認 | EZB.IPSECCMD.sysname.tcpname.command_type EZB.IPSECCMD.sysname.DMD_GLOBAL.command_type |
|
|||
| コントロール要求に対する IPSec ネットワーク管理インターフェース (NMI) アクセス制御 (ローカル) | ローカル TCP/IP スタックに関する IP フィルター操作および IPSec 機能 (例えば、活動化および非活動化要求) を管理するために、ユーザーがローカル IKE デーモンに NMI 制御要求を発行できるかどうかを制御します。 | 否認 | EZB.NETMGMT.sysname.tcpname.IPSEC.CONTROL |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.tcpname.IPSEC.CONTROL |
|||
| 表示要求に対する IPSec NMI アクセス制御 (ローカル) | ローカル TCP/IP スタックに関する IP フィルター操作および IPSec モニター・データを検索するために、ユーザーがローカル IKE デーモンに NMI モニター要求を発行できるかどうかを制御します。 | 否認 | EZB.NETMGMT.sysname.tcpname.IPSEC.DISPLAY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.tcpname.IPSEC.DISPLAY |
|||
| IPSec NMI および ipsec コマンド・アクセス制御 | ユーザーが以下のことを発行できるかどうかを制御します。
|
否認 | EZB.NETMGMT.sysname.sysname.IKED.DISPLAY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.sysname.IKED.DISPLAY |
|||
| コントロール要求に対する IPSec NMI および ipsec コマンド・アクセス制御 (リモート) | ユーザーが以下のことを発行できるかどうかを制御します。
|
否認 | EZB.NETMGMT.sysname.clientname.IPSEC.CONTROL |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.clientname.IPSEC.CONTROL |
|||
| 表示要求に対する IPSec NMI および ipsec コマンド・アクセス制御 (リモート) | ユーザーが以下のことを発行できるかどうかを制御します。
|
否認 | EZB.NETMGMT.sysname.clientname.IPSEC.DISPLAY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.clientname.IPSEC.DISPLAY |
|||
| IPv6 拡張ソケット API アクセス制御 | IPv6 拡張ソケット API オプションを設定することをアプリケーションに許可するかどうかを制御する能力を提供します。
IPv6_NEXTHOP IPv6_TCLASS IPv6_RTHDR IPV6_HOPOPTS IPV6_DSPOPTS IPV6_RTHDRDSTOPT IPV6_PKTINFO IPV6_HOPLIMIT |
否認、結果 2 を参照 | EZB.SOCKOPT.sysname.tcpname.IPV6_NEXTHOP EZB.SOCKOPT.sysname.tcpname.IPV6_TCLASS EZB.SOCKOPT.sysname.tcpname.IPV6_RTHDR EZB.SOCKOPT.sysname.tcpname.IPV6_HOPOPTS EZB.SOCKOPT.sysname.tcpname.IPV6_DSTOPTS EZB.SOCKOPT.sysname.tcpname.IPV6_RTHDRDSTOPTS EZB.SOCKOPT.sysname.tcpname.IPV6_PKTINFO EZB.SOCKOPT.sysname.tcpname.IPV6_HOPLIMIT |
| TCPIP SOCKOPT ACCESS CHECK |
|||
| Netstat コマンド・アクセス制御 | Netstat の使用を制限する能力を提供します。 | 許可、結果 3 を参照 | EZB.NETSTAT.sysname.tcpname.netstat_option |
| TCPIP EZACDNET AUTH CHECK FOR
EZB.NETSTAT.sysname.tcpname.netstat_option |
|||
| ネットワーク・セキュリティー・サービス (NSS) NMI およびコマンド・アクセス制御 | ユーザーが以下のことを発行できるかどうかを制御します。
|
否認 | EZB.NETMGMT.sysname.sysname.NSS.DISPLAY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NETMGMT.sysname.sysname.NSS.DISPLAY |
|||
| NSS サーバー・アクセス制御 | NSS IPSec 証明書サービスのために、NSS IPSec クライアントを NSS サーバーに登録できるかどうかを制御します。 | 否認 | EZB.NSS.sysname.clientname.IPSEC.CERT |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSS.sysname.clientname.IPSEC.CERT |
|||
| NSS サーバー・アクセス制御 | NSS IPSec リモート管理サービスのために、NSS IPSec クライアントを NSS サーバーに登録できるかどうかを制御します。 | 否認 | EZB.NSS.sysname.clientname.IPSEC.NETMGMT |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSS.sysname.clientname.IPSEC.NETMGMT |
|||
| NSS サーバー・アクセス制御 | XMLAppliance SAFAccess サービスのために、NSS XMLAppliance クライアントを NSS サーバーに登録できるかどうかを制御します。 | 否認 | EZB.NSS.sysname.clientname.XMLAPPLIANCE.SAFACCESS |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSS.sysname.clientname.XMLAPPLIANCE.SAFACCESS |
|||
| NSS サーバー・アクセス制御 | XMLAppliance 証明書サービスのために、NSS XMLAppliance クライアントを NSS サーバーに登録できるかどうかを制御します。 | 否認 | EZB.NSS.sysname.clientname.XMLAPPLIANCE.CERT |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSS.sysname.clientname.XMLAPPLIANCE.CERT |
|||
| NSS サーバー・アクセス制御 | XMLAppliance 秘密鍵サービスのために、NSS XMLAppliance クライアントを NSS サーバーに登録できるかどうかを制御します。 | 否認 | EZB.NSS.sysname.clientname.XMLAPPLIANCE.PRIVKEY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSS.sysname.clientname.XMLAPPLIANCE.PRIVKEY |
|||
| NSS サーバー証明書アクセス制御 | NSS クライアントが、NSS サーバーの鍵リング上の CERTAUTH 証明書にアクセスできるかどうかを制御します。 | 否認 | EZB.NSSCERT.sysname.mappedlabelname.CERTAUTH |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSSCERT.sysname.mappedlabelname.CERTAUTH |
|||
| NSS サーバー証明書アクセス制御 | NSS クライアントが、NSS サーバーの鍵リング上の PERSONAL 証明書または SITE 証明書にアクセスできるかどうかを制御します。 | 否認 | EZB.NSSCERT.sysname.mappedlabelname.HOST |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSSCERT.sysname.mappedlabelname.HOST |
|||
| NSS サーバー秘密鍵アクセス制御 | NSS XMLAppliance クライアントが、NSS サーバーの鍵リング上の証明書用秘密鍵にアクセスできるかどうかを制御します。 | 否認 | EZB.NSSCERT.sysname.mappedlabelname.PRIVKEY |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.NSSCERT.sysname.mappedlabelname.PRIVKEY |
|||
| OSM アクセス制御 | OSM インターフェースを使用してイントラノード管理ネットワークにアクセスできるかどうかを制御します。 | 否認 | EZB.OSM.sysname.tcpname |
| TCPIP OSM ACCESS CHECK |
|||
| パートナー情報 ioctl アクセス制御 | トラステッド TCP 接続を通したシスプレックスまたはサブプレックス内でパートナー・セキュリティー資格情報を取得するため、アプリケーションが SIOCGPARTNERINFO ioctl を使用できるかどうかを制御します。 | 否認 | EZB.IOCTL.sysname.tcpprocname.PARTNERINFO |
| SIOCGPARTNERINFO |
|||
| ポリシー・エージェント・コマンド制御 | タイプ別に pasearch コマンド、IKE デーモン、ポリシー・クライアント、および nslapm2 の使用を制限する能力を提供します。 | 否認 | EZB.PAGENT.sysname.image.ptype |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.PAGENT.sysname.image.ptype |
|||
| real-time application-controlled TCP/IP trace NMI アクセス制御 - オープン要求 | トレースをオープンするためにアプリケーションが NMI を呼び出せるかどうかを制御します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認 | EZB.TRCCTL.sysname.tcpname.OPEN |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム・アプリケーション制御 TCP/IP トレース NMI アクセス制御 - フィルターの設定 | アプリケーションがパケット・トレース用にフィルターを設定するために NMI を呼び出せるかどうかを制御します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認 | EZB.TRCCTL.sysname.tcpname.PKTTRACE |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム・アプリケーション制御 TCP/IP トレース NMI アクセス制御 - フィルターの設定 | アプリケーションがパケット・トレース・フィルターについて IPSec 平文データを要求できるかどうかを制御します。 | 否認 | EZB.TRCSEC.sysname.tcpname.IPSEC |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム・アプリケーション制御 TCP/IP トレース NMI アクセス制御 - フィルターの設定 | アプリケーションがデータ・トレース用にフィルターを設定するために NMI を呼び出せるかどうかを制御します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認 | EZB.TRCCTL.sysname.tcpname.DATTRACE |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム・アプリケーション制御 TCP/IP トレース NMI アクセス制御 - フィルターの設定 | アプリケーションがデータ・トレース・フィルターについて AT-TLS 平文データを要求できるかどうかを制御します。 | 否認 | EZB.TRCSEC.sysname.tcpname.ATTLS |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム OSAENTA 情報サービスのアクセス制御 | OSAENTA 情報サービスを使用してアクセス可能なリアルタイム OSAENTA パケット・トレース・レコードを選択するためのアクセスを制限する能力を提供します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認、結果 4 を参照 | EZB.NETMGMT.sysname.tcpname.SYSTCPOT |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム SMF 情報サービスのアクセス制御 | SMF 情報サービスを使用してアクセス可能なリアルタイム SMF レコードを選択するためのアクセスを制限する能力を提供します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認、結果 4 を参照 | EZB.NETMGMT.sysname.tcpname.SYSTCPSM |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム TCP 接続情報サービスのアクセス制御 | TCP 接続情報サービスを使用した TCP 接続情報へのアクセスを制限する能力を提供します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認、結果 4 を参照 | EZB.NETMGMT.sysname.tcpname.SYSTCPCN |
| TCPIP NETWORK MANAGEMENT |
|||
| リアルタイム TCP/IP パケット・トレース・サービスのアクセス制御 | TCP/IP パケット・トレース・サービスを使用してアクセス可能なリアルタイム・パケット・トレース・レコードを選択するためのアクセスを制限する能力を提供します。これは、ネットワーク管理アプリケーションを対象とします。 | 否認、結果 4 を参照 | EZB.NETMGMT.sysname.tcpname.SYSTCPDA |
| TCPIP NETWORK MANAGEMENT |
|||
| rpcbind アクセス制御 |
アプリケーションがそのポートを rpcbind で登録または登録抹消することを許可するかどうかを制御する能力を提供します。 |
否認 |
EZB.RPCBIND.sysname.rpcbindname.REGISTRY |
| (なし) |
|||
| SNMP エージェント制御 | TCP 接続を使用して SNMP エージェントに接続する SNMP サブエージェントの使用を制御します。 | 許可 | EZB.SNMPAGENT.sysname.tcpname |
| TCPIP EZACDRAU AUTH CHECK FOR
EZB.SNMPAGENT.sysname.tcpname |
|||
| TCP/IP ローカル・ポート・アクセス制御 | ユーザーが非一時 TCP ポートまたは UDP ポートにバインドできるかどうかを制御します。 | 否認 | EZB.PORTACCESS.sysname.tcpname.port_safname |
| TCPIP PORT ACCESS CHECK PORT portnum |
|||
| TCP/IP netaccess アクセス制御 | ネットワーク・リソースへのローカル・ユーザーのインバウンドおよびアウトバウンド・アクセス制御、およびローカル・インターフェースに明示的にバインドしている (またはジョブ固有または宛先固有のソース IP アドレスを使用している) 場合に、ローカル IP アドレスへのローカル・ユーザーのアクセス制御を行います。 | 否認 | EZB.NETACCESS.sysname.tcpname.zonename |
| TCPIP NETWORK ACCESS CHECK ipaddress |
|||
| TCP/IP スタック・アクセス制御 | ユーザーがソケットをオープンし、ホスト名またはホスト ID を取得できるかどうかを制御します。 | 許可 | EZB.STACKACCESS.sysname.tcpname |
| TCPIP STACK ACCESS CHECK |
|||
| TCP/IP スタック初期化アクセス制御 | TCP/IP スタックに AT-TLS ポリシーがロードされる前に、アプリケーションがソケットをオープンできるかどうかを制御します。 | 否認 | EZB.INITSTACK.sysname.tcpname |
| TCPIP INIT STACK ACCESS CHECK |
|||
| TN3270E Telnet サーバー・アクセス制御 |
TLS 認証 X.509 クライアント証明書と関連付けられた SAF ユーザー ID を基に、TN3270E Telnet サーバーにアクセスできるかどうかを制御します。 |
否認 |
EZB.TN3270.sysname.tn3270name.PORTxxxxx |
| TN3270 SAFCERT CHECK FOR USER
userid PORT portnum ON tn3270name |
|||
| VIPA 範囲に対する VIPARANGE アクセス制御 (バインド) | 任意の VIPARANGE ステートメントによって指定された DVIPA をバインディングすることにより、アプリケーションが DVIPA を作成できるかどうかの制御 | 許可 | EZB.BINDDVIPARANGE.sysname.tcpname |
| TCPIP BINDDVIPA ACCESS CHECK |
|||
| VIPA 範囲に対する VIPARANGE アクセス制御 (MODDVIPA および ioctl) | すべての VIPARANGE
ステートメントにアクセス制御を提供し、ユーザーまたはアプリケーションが以下のタスクを実行可能かどうかを制御します。
|
否認、結果 5 を参照 | EZB.MODDVIPA.sysname.tcpname |
| TCPIP MODDVIPA または SIOCSVIPA(6)
ACCESS CHECK |
|||
| 特定の VIPA 範囲用 VIPARANGE アクセス制御 (バインド) | resname と同じ値を持つ SAF パラメーターを含む VIPARANGE ステートメントによって指定された DVIPA にバインディングすることにより、アプリケーションがアプリケーション固有の DVIPA を作成できるかどうかを制御します。 | 否認 | EZB.BINDDVIPARANGE.sysname.tcpname.resname |
| TCPIP BINDDVIPA SAF ACCESS CHECK |
|||
| 特定の VIPA 範囲に対する VIPARANGE アクセス制御 (MODDVIPA および ioctl) | resname と同じ値を持つ SAF パラメーターを含む特定の VIPARANGE
ステートメントにアクセス制御を提供し、ユーザーまたはアプリケーションが以下のタスクを実行可能かどうかを制御します。
|
否認 | EZB.MODDVIPA.sysname.tcpname.resname |
| TCPIP MODDVIPA または SIOCSVIPA(6)
SAF ACCESS CHECK |
|||
結果:
|
|||