z/OS システムのRACFセキュリティ

Jazz Team Serverと他のIBM® Engineering Lifecycle Managementアプリケーションをz/OS システムにデプロイするとき、いくつかのRACFセキュリティ設定を使用できます。これらの設定は、データを保護し、さまざまなタイプのユーザーに適切なアクセスを提供するのに役立ちます。

z/OS コンポーネントをインストールする場合の基本要件は、次のとおりです。

SMP/E のインストール: どのFMIDがインストールされているかによって、特定のz/OSUNIX Systems Servicesディレクトリとデータセットが作成される。 z/OS データ・セットは、既に構成されているデータ・セット・プロファイルに基づいて保護されます。インストーラーのユーザーIDは、z/OSUNIX Systems Servicesディレクトリを所有します。他のユーザーは、読み取り権限と実行権限を持ちます。追加のセキュリティー保護をセットアップすることができます。
z/OSUNIX システムサービスの設定と作業ディレクトリの作成: サンプル JCL を実行すると、構成ディレクトリーと作業ディレクトリーが作成されます。コンポーネントごとにバージョンがあるため、サンプル・ジョブは BLZCP* ジョブと呼ばれます。例えば、Jazz Team ServerジョブはBLZCPJTS、Build System ToolkitはBLZCPBTKです。これらのサンプル・ジョブを実行するときにグループのアクセス権を指定できます。ディレクトリーは、スティッキー・ビットがオンの状態で作成されます。

次に、インストールされたコンポーネントのその他のセキュリティー情報を紹介します。

データ・セット・プロファイルの保護

SMP/E のインストールを開始する前に、ターゲット・ライブラリとディストリビューション・ライブラリ用に高水準修飾子 (HLQ) を作成してください。 Engineering Lifecycle ManagementRACF を使用してHLQを保護できるようにします。を使用するユーザー z/OS 機能で作業するユーザは IBM Engineering Workflow ManagementISPF クライアントまたはEnterprise Extensionsの展開およびプロモーション機能などの機能を操作するユーザは、ターゲットデータセットに対してREADアクセス権を持っている必要があります。ターゲット・データ・セットをどこか他の場所にコピーする場合、ユーザーはこれらのコピー・データ・セットに対する読み取りアクセス権限も必要です。

Jazz Team Server および Engineering Lifecycle Management アプリケーションをインストールする場合は、BLZRACFLジョブで提供される手順で RACF ステートメントの例を参照できます。 hlq.SBLZSAMP、どこ hlqSMP/E インストール中に指定された高レベル修飾子です。これらのジョブを注意深く検討してください。

Engineering Workflow Managementビルド・システム・ツールキットをインストールしている場合、同じRACFコマンドが 'hlq.SBLZSAMP の BLZRACFT ジョブで提供されます。

ほとんどのEngineering Workflow Managementデータセットでは、ユーザはREADアクセス、システム・プログラマはALTERアクセスで十分です。正しいデータ・セット名については、製品のインストールと構成を行ったシステム・プログラマーに問い合わせてください。デフォルトの高位修飾子は BLZ で、データ・セット定義を作成する前に BLZ GROUP が割り振られます。 RACFでデータセットを保護するには、データセット名の第1レベル修飾子はRACFユーザーIDまたはグループ名でなければならない。

これらのサンプルRACFコマンドはJCLに含まれている：

LISTGRP BLZ
  ADDGROUP (BLZ) OWNER(IBMUSER) SUPGROUP(SYS1) - 
   DATA('EWM - HLQ STUB')
 
#  general data set protection
  LISTDSD PREFIX(BLZ) ALL
  ADDSD 'BLZ.**' - 
   UACC(READ) DATA('EWM')
  PERMIT 'BLZ.**' -
   CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)

  SETROPTS GENERIC(DATASET) REFRESH

#  show results
  LISTGRP BLZ
  LISTDSD PREFIX(BLZ) ALL

ユーザー ID OMVS セグメントの作成

サーバーとBuild System Toolkitの両方でBLZCP*設定ジョブを実行するユーザーの有効なz/OSUNIX ユーザーID（UID）、ホーム・ディレクトリ、およびシェル・コマンドを指定するRACFOMVSセグメントまたは同等のものを定義する必要があります。ユーザーのデフォルト・グループにも、グループ ID を持つ OMVS セグメントが必要です。

BLZRACFL と BLZRACFT には、ID の作成に使用できる同様のRACFステートメントが含まれています。以下のサンプルRACFコマンドでは、以下のプレースホルダーを実際の値に置き換えてください：#userid、#user-identifier、#group-name、#group-identifier。

ALTUSER #userid OMVS(UID(#user-identifier) HOME(/u/#userid) PROGRAM(/bin/sh) NOASSIZEMAX)
ALTGROUP #group-name OMVS(GID(#group-identifier))

リソースにアクセスするためのジャズRACFグループ作成

サーバーと Build System Toolkit のインストールと構成中、構成ファイルと一時ファイルを保持するためのいくつかのディレクトリーが作成されます。これらのディレクトリーは、hlq.SBLZSAMP データ・セットに含まれている BLZCP* ジョブ内に作成されます。これらのディレクトリーは、さまざまな BLZCP* ジョブ内で @confPath@ および @workPath@ として識別されます。デフォルトでは、ディレクトリは'/etc/jazz720と'/u/jazz720に設定されている。これらのジョブを実行すると、ディレクトリーが作成されます。所有者はそれらのジョブを実行依頼するユーザー ID です。

これらのジョブは、ディレクトリへのアクセスを必要とする他のユーザーに追加権限を与える2つのRACFGROUPの設定を必要とする。 Jazz Team Serverをインストールしている場合は、'hlq.SBLZSAMPのBLZRACFLジョブの関連するステップで、このタスクを実行するためのサンプルRACFステートメントを参照してください。ビルド・システム・ツールキットをインストールしている場合、同じRACFコマンドがBLZRACFTジョブの'hlq.SBLZSAMPで提供される。

以下のサンプルRACFコマンドは、JAZZCONF グループと JAZZWORK グループを作成します。 #conf-group-id プレースホルダーと #work-group-id プレースホルダーは、有効な OMVS ID に置換してください。

重要：BLZCP*ジョブを投入する前に、これらのグループを作成する必要があります。

     ADDGROUP JAZZCONF OMVS(GID(#conf-group-id))
          DATA('GROUP WITH OMVS SEGMENT FOR JAZZ CONFIG DIRECTORIES')
     ADDGROUP JAZZWORK OMVS(GID(#work-group-id))
          DATA('GROUP WITH OMVS SEGMENT FOR JAZZ CONFIG DIRECTORIES')

一般に、z/OSUNIX システム・サービス構成および作業ディレクトリへのアクセスは、それらを含むディレクトリへのアクセスを制限することで制御できます。例えば、「/etc/jazz720」へのアクセスは、ユーザーまたはグループが「/etc」へのREADアクセス権を持っていない場合に制限することができます。