アプリケーションがバインドを行って特定の VIPARANGE サブネット内で DVIPA を作成できるかどうかを制御するステップ

特定の VIPARANGE サブネットで動的 VIPA (DVIPA) を作成するためにどのアプリケーションがバインドできるかを制御するために、System Authorization Facility (SAF) リソース・プロファイルを SERVAUTH クラスに定義することができます。

手順

アプリケーションがバインドを行って特定の VIPARANGE サブネット内で DVIPA をそのアプリケーション専用に作成できるかどうかを制御するには、以下のステップを実行します。

  1. EZB.BINDDVIPARANGE.sysname.tcpname.resname リソース・プロファイルを SERVAUTH クラス内に定義します。 例えば、アプリケーション APPL1 の VIPARANGE サブネットを保護するために、以下のコマンドを使用して EZB.BINDDVIPARANGE.sysname.tcpname.APPL1 リソース・プロファイルを定義できます。
    RDEFINE SERVAUTH (EZB.BINDDVIPARANGE.sysname.tcpname.APPL1) UACC(NONE)
  2. VIPARANGE ステートメント上で、EZB.BINDDVIPARANGE.sysname.tcpname.resname リソース・プロファイルの resname 値に一致する resname 値を持つ SAF パラメーターを含めます。 以下に例を示します。
    VIPARANGE DEFINE 255.255.255.255 10.10.10.1 SAF APPL1

    VIPARANGE ステートメント上の SAF パラメーターの詳細は、「z/OS Communications Server: IP 構成解説書」を参照してください。

  3. アプリケーションに関連付けられたユーザー ID に、EZB.BINDDVIPARANGE.sysname.tcpname.resname リソースに対する READ アクセスを与えます。 以下に例を示します。
    PERMIT EZB.BINDDVIPARANGE.sysname.tcpname.APPL1 ACCESS(READ) CLASS(SERVAUTH) ID(userid)
  4. 以下の RACF® コマンドを発行して、リソース・プロファイルをリフレッシュします。 
    SETROPTS RACLIST(SERVAUTH) REFRESH

タスクの結果

この例では、sysname は MVS™ システムの名前、userid はアプリケーションに関連付けられたユーザー ID、tcpname は、TCP/IP 開始タスクのジョブ名です。TCP/IP などの、開始タスクのジョブ名の判別方法の詳細は、どのアプリケーションがバインドを行って DVIPA を作成できるかを制御するステップを参照してください。

結果:
  • SAF パラメーターが指定されており、ユーザー ID がリソース対する READ アクセスを持つ場合、バインドは処理されます。
  • SAF パラメーターが指定されていても、ユーザー ID がリソースに対する READ アクセスを持たない場合、バインドは失敗します。
  • SAF パラメーターが指定されていても、リソース・プロファイルが定義されていないと、バインドは失敗します。
  • ワイルドカード値を含む以下のプロファイル指定はすべて、EZB.BINDDVIPARANGE.sysname.tcpname.resname リソース・プロファイル名に一致します。
    • EZB.BINDDVIPARANGE.*.*
    • EZB.BINDDVIPARANGE.**
    • EZB.BINDDVIPARANGE.*.*.*

    リソース・プロファイルに最も厳密に一致するものが常に使用されます。

親トピック: VIPARANGE ステートメントでの DVIPA へのバインディングのためのセキュリティー・プロファイルの定義