拡張プログラム・セキュリティーのセットアップ手順
始める前に: 以下のことを行っておく必要があります。
- RACF® をセキュリティー製品としてセットアップする。
- RACF 拡張プログラム・セキュリティーを使用可能にする。
- BPX.MAINCHECK を使用可能にする。
- RACF 拡張プログラム・セキュリティーのセットアップによって影響を受ける、実行対象の特権プログラムを決定する。影響を受ける RACF プログラムとは、以下のタイプの特権アプリケーションのいずれかの、メイン・ジョブ・ステップ・プログラムです。
- プログラム制御環境を必要とする z/OS UNIX アプリケーション。 BPX.DAEMON、BPX.SERVER、または BPX.SRV.userid を必要とするアプリケーション、または __passwd() のような特権機能を使用するアプリケーションが含まれます。この rlogin によって影響を受けるアプリケーションの例としては、telnet および su があります。
- DATASET プロファイルの条件付きアクセス・リスト内のエントリーを介する RACF データ・セットへのプログラム・アクセス (PADS) を使用して、MVS™ データ・セットへのアクセス権を取得するアプリケーション
ENHANCED プログラム・セキュリティー・モードをセットアップするには、以下の各ステップを実行してください。
- RACF ENHANCED プログラム・セキュリティー・モードをオンにします。ENHANCED プログラム・セキュリティー・モードについての詳細は、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
______________________________________________________________
- 影響を受けるすべての MAIN ジョブ・ステップ・プログラムが、MVS ロード・ライブラリー内に、使用する MVS ロード・ライブラリー検索順で入っていることを確認してください。これらのプログラムでは、スティッキー・ビット属性がオンになっているか (スティッキー・ビットがオンであるかの検査参照)、または外部リンク z/OS UNIX ファイル (外部リンクを使用した MVS ロード・ライブラリーのアクセス参照) としてセットアップしておく必要があります。
新たな拡張セキュリティー検査の影響を受けるプログラムを判別する方法として、RACF が提供する警告モードを使用する場合、警告モードでは、アプリケーションに障害がなくても、影響を受けるプログラムを示すメッセージが出されることに注意してください。
______________________________________________________________
- BPX.MAINCHECK セキュリティー・プロファイルを定義します。
RDEFINE FACILITY BPX.MAINCHECK UACC(NONE)______________________________________________________________
- 再 IPL します。
______________________________________________________________
以上で、拡張プログラム・セキュリティーのセットアップは完了です。
ヒント:
- OMVS を再始動する前にプロファイルを定義するか SET OMVS コマンドまたは SETOMVS コマンドを発行すると、拡張プログラム・セキュリティーを部分的にアクティブにできます。 ただし、拡張プログラム・セキュリティーを使用可能にした後で開始されるアドレス・スペースのみが影響を受けます。この部分的な使用可能化は、テスト目的の場合のみに使用してください。
- 新しい RACF 拡張セキュリティー検査では完全な制御プログラム環境を必要としますが、プログラム環境が制御されていないと見なされる可能性があるため、dbx を使用する検査は制限されることがあります。dbx の下でのトラステッド MAIN プログラムの検査では、RACF 拡張セキュリティー検査を警告モードでセットアップしておくか、BPX.MAINCHECK を未定義にしておくことが必要になる場合があります。それ以外のことを行おうとすると、dbx 制御下の間にいくつかの 特権オペレーションに障害が起きる可能性があります。
ガイドライン: 少なくとも IPL を 1 回行って、すべてのデーモンについてテスト済みであることを確認するまでは、警告モードにしておいてください。