データ・セキュリティー・モニター (DSMON)

RACF® を使用するとリソースを保護することができますが、どれだけの保護が得られるかは、 RACF の実施状況しだいです。実際に働いているセキュリティー・メカニズムが、計画したとおりのものになっているかどうかを 確かめる方法が必要になります。DSMON ヘルプが、これについての情報を提供します。

DSMON は、インストール・システムのセキュリティー環境の状況、とくに RACF の管理 下にあるリソースの状況についての報告書を作成するプログラム です。報告書を使用して、実際のシステム特性とリソース保護レベルを、 目指す特性およびレベルと比較することにより、 インストール先のシステム・セキュリティー環境の現在の状況を、監査することができます。 また、ユーザー入力として特定の機能を要求する制御ステートメントを指定することによって、 DSMON が行う報告書作成の機能を制御することもできます。

DSMON プログラム

データ・セキュリティー・モニター (DSMON) は、通常 RACF が アクティブな場合に実行するプログラムです。

インストール・システムで ICHDSM00 (DSMON) を被制御プログラムとして定義していない場合、DSMON を実行するには AUDITOR または ROAUDIT 属性が必要です。

DSMON が被制御プログラムとして定義されている場合、PROGRAM クラスの ICHDSM00 リソースに、少なくとも EXECUTE または READ のアクセス権限が必要です。さらに、DSMON がクリーンなプログラム制御環境で実行されていない場合、PROGRAM クラスを使用した READ アクセス権限とともに、AUDITOR または ROAUDIT 属性も必要です。

DSMON 制御ステートメントにより、必要な報告書や、各報告書のページあたりの行数を 指定することができます。DSMON からの出力は、メッセージ・データ・セットと報告書の出力デー タ・セットから構成されています。
注:
  1. MVS™ インストール・システムにおいて DSMON が制御されたプログラムであるか否かは、 RACF セキュリティー管理者に確認してください。
  2. インストール・システムで RACF データベースが MVS と z/VM® によって共用されており、両方のシステムに関する報告書を入手したい場合は、MVS システムで DSMON を実行する必要があります。
  3. RACF が非アクティブのときに DSMON を実行すると、DSMON はシステム報告書のみを 作成します。

DSMON の実行の方法

DSMON は、許可プログラム機能 (APF) 許可のバッチ・プログラムとして実行されます。 DSMON は、IKJTSO00 が正しく構成されている場合、TSO でも実行でき、 任意の PARMLIB データ・セット内に常駐させることができます。

DSMON を呼び出すには、図 1 のジョブ制御言 語 (JCL) ステートメントのサンプルを使用することができます。SYSIN DD ステートメントには、指定したユーザーの入力に関して特定の DSMON 機能を実行できる DSMON 制御ステートメントを指定します。 小文字で示した語は変更可能な パラメーターです。

図 1. DSMON JCL の指定
//stepname EXEC PGM=ICHDSM00
//SYSPRINT DD   SYSOUT=A
//SYSUT2   DD   SYSOUT=A
//SYSIN    DD *
  LINECOUNT 55
  FUNCTION all
  USEROPT USRDSN  sivle.memo.text
SYSPRINT
状況メッセージとエラー・メッセージのための順次メッセージ・データ・セット (例えば SYSOUT) を定義します。SYSPRINT は、可変長ブロック (VB) 形式であり、ブロック・ サイズを指定するときは、137 (133 の LRECL にブロック長用の 4 を加えた数) 以上でなければなりません。
SYSUT2
DSMON が生成する印刷報告書のために出力リスト・データ・セット (例えば SYSOUT) を定義します。SYSUT2 は固定ブロック (FB) 形式であり、ブロック・サイズを 指定するときは、133 の倍数を指定しなければなりません。
SYSIN
DSMON 制御ステートメントを含む制御データ・セットを定義します。 特定の DSMON 機能を選択したい場合には、SYSIN が必要です。制御データ・セットは次のいずれか です。
  • ストリーム内データとして定義されたデータ・セット
  • 順次データ・セットとして定義されたデータ・セット
  • 区分データ・セットのメンバーとして定義されたデータ・セット

ブロック・サイズを指定するときは、80 の倍数を指定しなければなりません。

SYSIN を指定しないと、USRDSN を除くすべての DSMON 機能が実行され ます。(USRDSN 機能では、 USEROPT 制御ステートメントに一連のユーザー・データ・セット を指定することが必須です。)

DSMON 制御ステートメントの入力の方法

DSMON による報告書作成を 制御する DSMON 制御ステートメントは、次の 3 つです。
  • LINECOUNT
  • FUNCTION
  • USEROPT
JCL の SYSIN DD ステートメントの一部として、これらのステートメントを 定義します (図 1 を参照してください)。

DSMON 制御ステートメントの入力の方法

DSMON 制御ステートメントはどのような順序で入力しても構いませんが、1 入力行に 1 ステートメントとし、1 桁目から 72 桁目を使用します。入力するのは大文字でも小文字でも構いません。 それぞれの DSMON ステートメント中のリスト項目を区切るには、コンマ、またはブランクを使用します。

1 桁目の先頭から /* を入力することにより、注釈を含めることができます。 1 つの制御ステートメントを次の行に継続したい場合には、任意のブランクまたはコンマの位置でその ステートメントを中断し、1 個のブランクに続けて末尾にハイフン (-) を挿入して、 次の行にステートメントを継続します。例えば、以下のようになります。
/* Start of user data sets
USEROPT USRDSN  jim.memo.text vol=8V0L03 -
     jim.report.script
DSMON 制御ステートメントは次のとおりです。
LINECOUNT number
報告書のページあたりの行数を指定します。有効な値は、 0 または 40 から 99 です。0 は、新しい報告書の先頭でしかページ替えを行わないことを意味し ます。LINECOUNT を指定しない場合、デフォルトにより、1 ページあたり 55 行と見なされます。 LINECOUNT ステートメントを複数個指定すると、RACF は最後のステートメントのみを 使用します。
注: LINECOUNT ステートメントは、SYSUT2 データ・セットのページあたりの行数を 制御 します。SYSPRINT メッセージ・データ・セットのページあたり行数は、1 ページあたり 55 行に固定されており、このステートメントの影響を受けません。
FUNCTION function-name
実行したい DSMON の機能 (複数も可) を指定します。

デフォルトは ALL で、この場合には USRDSN を除くすべての報告書が DSMON で 生成されます。 function-name で指定する DSMON 報告書の詳細については、 DSMON が使用する機能を参照してください。

USEROPT function-name user-input
指定した機能によって処理されるユーザー入力を定義します。function-name には、ユーザー入力を処理する機能を指定し、user-input には、 実際に処理する入力データそのものを指定し ます。USEROPT 制御ステートメントの function-name として指定できる有効な機能は、 次のとおりです。
  • USRDSN
  • RACGRP
指定した入力を処理する有効な機能ごとに USEROPT 制御ステートメント を 1 つ使用するようにしてください。

USEROPT 制御ステートメント

USEROPT と USRDSN

USEROPT ステートメントに USRDSN を指定する場合、DSMON は選択されたユーザー・データ・セット (複数の場合もある) の RACF 保護状況をリストします。DSN が処理する 情報を入手するには、まず USEROPT を指定し、1 つ以上のブランクを置いてから、 USRDSN を指定した後、必要な情報のデータ・セット名 またはボリューム名 (あるいはその両方) を指定します。

例えば、カタログ式データ・セットを指定する場合には、USRDSN の後に 完全データ・セット名を指定します。 
USEROPT USRDSN jim.memo.text
アンカタログされたデータ・セットを指定する場合には、完全データ・セット名と ボリュームを指定します。 
USEROPT USRDSN jim.memo.text VOL=volser
他の DSMON 機能とともに USRDSN オプションを使用することができます。例えば、 次の例の指定では、USRDSN だけでなく他の機能も すべて実行されます。 
FUNCTION ALL
USEROPT USRDSN jim.memo.text VOL=volser
FUNCTION ALL がデフォルトであることに注意してください。これを省略して も DSMON はすべての報告書を作成します。次の例の指定では、 指定したデータ・セットに対して、USRDSN 機能のみが実行されます。 
FUNCTION USRDSN
USEROPT USRDSN jim.memo.text
次の例では、一連のデータ・セットに対して USRDSN が指定されています。 
FUNCTION USRDSN
USEROPT USRDSN jim.memo.text -
       VOL=8V0L03 jim.test.obj -
       jim.racf.cntl jim.racf.clist
注: VOL キーワードは、SMS には適用されません。

USEROPT と RACGRP

USEROPT に RACGRP を指定すると、DSMON は、 指定された RACF グループ名のグループ・ツリーとそのレベルをリストします。次の例では、 FUNCTION には RACGRP、また USEROPT RACGRP には RACF グループ の「payroll」(すべての従属グループが検索される) が指定されています。 
FUNCTION RACGRP
USEROPT RACGRP payroll

USEROPT RACGRP に SYS1 を指定すると、DSMON はシステム内のすべてのグループ名を リストします。すべての DSMON 報告書が必要な場合に USEROPT RACGRP を指定しないと、 SYS1 が RACF グループ・ツリー報告書のデフォルト・グループ名になります。 RACF で定義されたグループはどれでも指定できます。RACGRP が作成する DSMON 報告書について詳しくは、 グループ・ツリー報告書を参照して ください。

USEROPT に関する考慮事項

JCL の REGION= キーワードを使うと、指定できる USEROPT 制御ステートメントの数を 制限できます。多くの USEROPT ステートメントを指定する場合は、REGION= キーワードの値をそれに応じて増やしてください。領域サイズをうまく増加できなかった場合には、複数のステップに分けてジョブを実行する ことも可能です。

DSMON が使用する機能

DSMON は、 制御ステートメントの FUNCTION または USEROPT に指定した さまざまな報告書を作成します。システム報告書を除き、制御ステートメントで指定した各機能が完了するたびに、 DSMON は SYSPRINT にメッセージを送り、その報告書作成の機能が正しく実行 されたかどうかを示し ます。

報告書の作成が不成功であった場合、DSMON は、障害の原因を示す エラー・コードを出します。ほとんどの場合、DSMON は、次の制御ステートメントの処理を続行し ます。

表 1 は、FUNCTION 制御ステートメントを使用して作成され る DSMON 報告書について要約してい ます。表 2 は、USEROPT 制御ステートメントを使用して作成される DSMON 報告書 を要約しています。 それぞれの制御ステートメントにおいて機能名を変更することによって、 必要な報告書の種類を指定することが でき ます。どちらの表にも、作成される報告書の種類、およ び各報告書に出される情報 (あるいは検査項目) が 示されています。

表 1. FUNCTION 制御ステートメントによって指定される報告書
機能 (FUNCTION) 名 報告書の種類 提供される 情報
SYSTEM システム報告書
  1. プロセッサー複合体の ID 番号
  2. プロセッサー複合体のモデル番号
  3. オペレーティング・システムの名前、バージョン、およびリリース番号
  4. システム常駐ボリューム
  5. システム管理機能が使用するシステム ID
  6. RACF のバージョンおよびリリース番号、ならびに RACF がアクティブかどうか
RACGRP グループ・ツリー報告書 (USEROPT でも使用される。 表 2) 全システムの階層内での グループ名とレベル
SYSPPT プログラム特性表報告書 すべての情報 (報告書の例を 参照のこと)
RACAUT RACF 許可の呼び出し側表報告書 すべての情報 (報告書の例を 参照のこと)
RACCDT RACF クラス記述子テーブル報告書 すべての情報 (報告書の例を 参照のこと)
RACEXT RACF 出口ルーチン報告書 すべての情報 (報告書の例を 参照のこと)
RACGAC RACF グローバル・アクセス検査表報告書 すべての情報 (報告書の例を 参照のこと)
RACSPT RACF 開始済みプロシージャー表報告書 すべての情報 (報告書の例を 参照のこと)
RACUSR 選択されたユーザー属性報告書、および 選択されたユーザー属性の要約 報告書 すべての情報 (報告書の例を参照のこと)
SYSLNK 選択されたデータ・セットの報告書 SYS1.PARMLIB ライブラリーのすべての LNKLSTxx データ・セット・ メンバー
SYSAPF 現行リンク・リスト・データ・セットの報告書 許可プログラム 機能 (APF) ライブラリー
SYSCAT 選択されたデータ・セットの報告書 マスター・カタログとすべてのユーザー・カタログ。ユーザー・カタログの情報を取得するには 追加の権限が必要です。
注: SYSCAT リソース ICHDSM00.SYSCAT を保護する FACILITY クラス・プロファイルが 存在しても、ユーザーに READ 権限がない場合、DSMON はユーザー・カタログのリストを抑止し、 メッセージ ICH66134I を出して、権限が不十分であることを通知します。
RACDST 選択されたデータ・セットの報告書 基本およびバックアップ RACF データベース
SYSSDS 選択されたデータ・セットの報告書 選択されたシステム・データ・セット
USRDSN 選択されたデータ・セットの報告書 (USEROPT とともに使用される。表 2) 選択されたユーザー・データ・ セット
表 2. USEROPT 制御ステートメントによって指定される報告書
機能 (FUNCTION) 名 報告書の種類 提供される 情報
USRDSN 選択されたユーザー・データ・セットの報告書 選択されたユーザー・データ・ セット
RACGRP グループ・ツリー報告書 ユーザーが指定したグループの階層内のグループ名および レベル

DSMON 報告書

DSMON により次の報告書を作成することができます。

図 2. DSMON により作成される報告書
REQTEXT
注: グループ・ツリー報告書、 選択されたユーザー属性の報告書、および 選択されたユーザー属性の要約報告書を作成すると、 システムのパフォーマンスに 影響を与えることがあります。ご使用の RACF データベースのサイズと作業量に応じて、 休止時間にこれらの DSMON 報告書の作成を実施して ください。

DSMON 報告書の情報を用いて、監査上の多くの質問に答えることができ ます。 (監査の実施 を参照してください。)

システム報告書

システム報告書には、以下の情報が含まれています。
  • プロセッサー複合体の ID 番号と モデル
  • オペレーティング・システムの名前、バージョン、およびリリース
  • システム常駐ボリュームの通し番号
  • SMF が使用するシステム ID (SMF-ID)

また、RACF のバージョンおよびリリース番号、ならびに RACF がアクティブであるかどうかも、 この報告書に示され ます。IPL 時にアクティブにならなかったか、または RVARY コマンドで非アクティブになり、 RACF が非アクティブの場合は、DSMON からメッセージが出され ます。

システム報告書を使用して、システムに必要なハードウェアとソフトウェア が備わっているかどうかを知ることができます。さらに RACF の状況も確認することができます。

注: DSMON は、常にシステム報告書を作成します。しかし、RACF がインストールされていなくて アクティブでなければ、DSMON はシステム報告書だけを作成して 停止し ます。

列見出し

この報告書には、次の情報が含まれています。
CPU-ID
これは、そのシステムのプロセッサー複合体の ID 番号 です。
CPU MODEL
これは、プロセッサー複合体のモデル番号です。
OPERATING SYSTEM/LEVEL
オペレーティング・システムの名前、バージョンとリリース、 そのオペレーティング・システムのプロダクト FMID、および インストール・システムの個別設定名 (通信ベクトル表 (CVT) 内に情報があれば) を 指定します。
SYSTEM RESIDENCE VOLUME
システムが置かれている ボリュームの通し番号を指定します。
SMF-ID
これは、システム管理機能 (SMF) がログ・レコードを作成する際に使用する システム ID です。

報告書メッセージ

報告書の終わりに次のメッセージが現れることがあります。

RACF FMID HRFnnnn IS ACTIVE

説明: RACF の示された FMID が初期プログラム・ロード (IPL) 中にアクティブでした。

RACF FMID HRFnnnn IS INACTIVE

説明: RACF の示された FMID が非アクティブです。 ほとんどの場合、このメッセージは報告書の末尾に 現れます。

注: 通常の場合には、このメッセージが現れることはありません。 現れた場合には、RACF セキュリティー管理担当者またはインストール管理者に 連絡してください。
RACF FMID HRFnnnn HAS BEEN DEACTIVATED

説明: 上記メッセージ中の RACF の FMID は、RVARY コマンドによって非アクティブにされています。この状態は、通常一時的なものです。 temporary.

RACF IS NOT INSTALLED

説明: DSMON は、RACF 通信ベクトル表 (RCVT) を見つけ出すことができません。これは、RACF がインストールされていないことを意味します。

注: 通常の場合には、このメッセージが現れることはありません。 現れた場合には、RACF セキュリティー管理担当者またはインストール管理者に 連絡してください。
図 3. システム報告書の例 
                                       S Y S T E M     R E P O R T
----------------------------------------------------------------------------------------------
CPU-ID                             111606
CPU MODEL                          2064
OPERATING SYSTEM/LEVEL             z/OS 1.2.0       HBB7705   Test System 2390
SYSTEM RESIDENCE VOLUME            DR250B
SMF-ID                             IM13
RACF FMID HRF7705 IS ACTIVE

グループ・ツリー報告書

グループ・ツリー報告書には、SYS1 グループのすべてのサブグループがリスト されるだけでなく、そのグループ・ツリーに含まれるそれらサブグループの サブグループも リストされ ます。あるいは、ユーザー指定のグループ名が USEROPT 制御ステートメントに指定されて いるときは、そのグループに含まれるサブグループが すべてリストされ ます。所有者が上位グループでない場合には、 報告書にグループごとの所有者名も示されます。

グループ・ツリー報告書を使用して、システム全体の RACF グループ構造を調べることができます。また、各サブグループに関連付けられたユーザーのグループ関連属性 (グループ SPECIAL、グループ OPERATIONS、グループ AUDITOR) が、 どのような関係になっているかを判別することもできます。これにより、システムにおけるグループ権限が 効果的に構造化されているかどうかを知ることができます。

列見出し

LEVEL
要求された最上位のグループから始めて、そのグループ・ツリー内にあるグループやサブグループの相対的なネスト・レベルを示すグループ・レベル番号。SYS1 は常に 1 です。SYS1 を上位グループに持つグループが 2 であり、 以下順にグループ・ツリーを下にたどります。
GROUP
これは、RACF 定義グループの名前です。
(OWNER)
これは、そのグループの所有者の名前 です。所有者が上位グループでない場合にのみ、その名前が示され ます。

報告書メッセージ

報告書中に示された矢印 (===>) は、情報が右マージンからオーバーフローしたことを意味します。オーバーフローのために失われた情報は、 報告書の本体が印刷されてから印刷されます。オーバーフローされた情報の前には、 -----CONTINUATION----- という文字が記され、左マージン には途切れた情報に対応したレベル番号、グループ名、 および所有者名 (上位グループの名前と同じでない場合) が示されます。

図 4. グループ・ツリー報告書の例 
                                      R A C F     G R O U P     T R E E     R E P O R T
LEVEL   GROUP      (OWNER)
------------------------------------------------------------------------------------
    1   SYS1       (IBMUSER )
        |
    2   | SYSPROG    (IBMUSER )
        |
    2   | RACFADMN   (IBMUSER )

プログラム特性表報告書

プログラム特性表報告書には、プログラム特性表 (PPT) に含まれて いるすべてのプログラムがリストされます。また、各プログラムがパスワード保護を回避することが許可されているかどうか、 およびシステム・キーで実行されるかどうかも示され ます。 この報告書にリストされるプログラムのなかには、パスワード保護されている データ・セットの場合パスワード保護を回避することができ、したがっ て RACF の保護を受けているリソースについてすべての RACF 保護を回避できる プログラムが含まれます。

プログラム特性表報告書を使用すると、パスワード保護の回避を許可 する必要のあるプログラムだけが確かに許可されているかを 確認することができ ます。そのようなプログラムとして、一般的に、通信やデータベースの制御プログラム、 またはその他のシステム制御プログラムが挙げられ ます。また、システム・キーで実行する必要のあるプログラムのみが、実際にシステム・キーで 実行することを許可されているかどうかを確かめることもできます。

列見出し

PROGRAM NAME
これは、PPT で定義されているプログラムの名前です。
BYPASS PASSWORD PROTECTION
そのプログラムが、RACF 保護またはパスワード保護されているデータ・セットに アクセスするときに、パスワード保護検査を回避することが許可されているかどうか を示します。この値は、YES か NO です。
SYSTEM KEY
そのプログラムがシステム・キー (キー 0 から 7) で実行することを許可されているかどうか、 したがってシステム・セキュリティー管理手段を回避することができるかどうかを示します。この値は、YES か NO です。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO ENTRIES IN PROGRAM PROPERTIES TABLE

説明: プログラム特性表には項目がありません。これは、 プログラム特性表に IBM® 提供の項目がいくつか含まれているはずなので、 異常状態を示すメッセージです。

図 5. プログラム特性表報告書の例
                               P R O G R A M     P R O P E R T I E S     T A B L E     R E P O R T
PROGRAM          BYPASS PASSWORD          SYSTEM
NAME             PROTECTION               KEY
----------------------------------------------------------------------------------------------
IEDQTCAM              NO                  YES
ISTINM01              YES                 YES
IKTCAS00              NO                  YES
AHLGTF                NO                  YES
HHLGTF                NO                  YES
IHLGTF                NO                  YES
IEFIIC                NO                  YES
IEEMB860              YES                 YES
IEEVMNT2              NO                  YES
IASXWR00              NO                  YES
CSVVFCRE              NO                  YES
HASJES20              YES                 YES
DFSMVRC0              NO                  YES
IATINTK               YES                 YES
DXRRLM00              NO                  YES
APSPPIEP              NO                  YES
IATINTKF              YES                 YES
DSNYASCP              NO                  YES
DSNUTILB              NO                  YES
IEAVTDSV              YES                 YES
IFASMF                NO                  YES
CSVLLCRE              YES                 YES
AVFMNBLD              NO                  YES
ERBMFMFC              NO                  NO
ERB3GMFC              NO                  NO
IGGOCLX0              NO                  YES
IGDSSI01              YES                 YES
COFMINIT              YES                 YES
COFMISD0              NO                  YES

RACF 許可の呼び出し側表報告書

RACF 許可の呼び出し側表報告書には、 RACF 許可の呼び出し側表に含まれている すべてのプログラムの名前がリストされます。この報告書はまた、各プログラムが VERIFY (RACINIT) 要求 (ユーザー検査を実行) または LIST (RACLIST) 要求 (プロファイルを主記憶にロード)、あるいはその両方の発行を許可されているかどうかも示します。

この報告書を使用して、アクセス管理環境エレメント (ACEE) を修正する許可が あるプログラムのみが、VERIFY 要求を出すことができるようになっているか どうかも確認することができます。ACEE には現行ユーザーの記述が含まれているため、この検証は重要なセキュリティー要件となります。この記述には、ユーザー ID、現行接続グループ、ユーザー属性、およびグループ権限が含まれています。VERIFY 要求を出すことを許可されているプログラムは、ACEE を変更して、 任意のユーザー ID をシミュレートすることができます。

また、この報告書を使用して、 RACF データ・セットのプロファイルへのアクセスを許可されたプログラムのみが LIST 要求を発行できることを検査することもできます。 プロファイルには、 RACF 定義エンティティーに関連する特性の詳細な記述が含まれて いるので、これへのアクセスは慎重に管理しなければなりません。

注: IBM は、RACF 許可の呼び出し側表を使用することはお勧めしません。

列見出し

MODULE NAME
これは、RACF 許可の呼び出し側表で定義されているプログラム・モジュール名 です。
RACINIT AUTHORIZED
そのモジュールが、VERIFY 要求を出すことを許可されているかどうかを示し ます。 この値は、YES か NO です。
RACLIST AUTHORIZED
そのモジュールが、LIST 要求を出すことを許可されているかどうかを示し ます。 この値は、YES か NO です。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO ENTRIES IN RACF AUTHORIZED CALLER TABLE

説明: RACF 許可の呼び出し側表に項目がありません。このメッセージはエラー状態を示すものではありま せん。例えば、RACF のインストール直後には、 通常、RACF 許可の呼び出し側表に項目が入っていません。

図 6. RACF 許可の呼び出し側表報告書の例
                         R A C F     A U T H O R I Z E D     C A L L E R     T A B L E     R E P O R T
MODULE                RACINIT        RACLIST
NAME                  AUTHORIZED     AUTHORIZED
-------------------------------------------------------------------------------------------------------
NO ENTRIES IN RACF AUTHORIZED CALLER TABLE

RACF クラス記述子表報告書

クラス記述子テーブル報告書には、監査アクティビティー、統計、OPERATIONS ユーザーのアクティビティー、および汎用アクセス権限 (UACC) を含む、クラス記述子テーブルにあるすべての一般リソース・クラスのクラス名と状況についての情報がリストされます。

クラス記述子テーブル報告書を使うと、システムにおいて RACF に定義されている リソース・クラスを判別できます。このように、クラス記述子テーブル内の任意のリソースについて、 その保護状況の情報を入手することができます。

列見出し

CLASS NAME
これは、RACF クラス記述子テーブルに記述されているクラス名です。動的クラスには、 クラス名の後ろに "(D)" が付きます。
STATUS
そのクラスがアクティブであるか、非アクティブであるかを示します。
AUDITING
そのクラスに対する監査が行われているかどうかを示します。この値は、YES か NO です。
STATISTICS
RACF がそのクラスに関する統計情報を収集しているかどうかを示します。この値は、YES か NO です。
DEFAULT UACC
クラス記述子テーブルに記述されているクラスに対して定義されている デフォルトの UACC を示します。プロファイルを書く RDEFINE コマンドに UACC オペランドを指定している場合以外は、RACF は、そのクラスに定義されている プロファイルに対して、この UACC を使用します。
次の値のいずれかが現れます。
  • ALTER
    • 個別のプロファイルの場合、ALTER は、すべてのユーザーが、デフォルトによって、 そのリソースおよびリソース・プロファイルを管理し、他のユーザーまたは グループ (あるいはその両方) にそのリソースへのアクセスを許可できることを示します。
    • 総称プロファイルの場合、ALTER は、すべてのユーザーが、デフォルトによって、 リソースを管理したり、総称プロファイルによって保護されているデータ・セットを 割り振ったりできることを示します。リソース・プロファイルを完全に管理できるのは、 プロファイル所有者だけです。
  • CONTROL は、すべてのユーザーがデフォルトによって、VSAM データ・セット内の レコードを更新、挿入、または削除するアクセス権限を持ち、 データ・セット・パスワードを提供された場合と同様に、他の操作も実行できることを示します。
  • UPDATE は、すべてのユーザーが、デフォルトによって、読み取りおよび書き込みの 両方を目的としてリソースにアクセスできることを示します。
  • READ は、すべてのユーザーが、デフォルトによって、読み取りを目的とした場合に限り、 リソースにアクセスできることを示します。
  • NONE は、ユーザーはデフォルトによって、リソースにアクセスできないことを示します。
  • ACEE は、その UACC をアクセス機能環境エレメント (ACEE) から取ることを示し ます。
OPERATIONS
RACF が、権限検査時に OPERATIONS 属性権限を使用するかどうかを 示し ます。この値は、RACF が権限検査を実行する場合は YES であり、しない場合は NO です。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO ENTRIES IN THE RACF CLASS DESCRIPTOR TABLE

説明: クラス記述子テーブルには項目がありません。RACF は、RACF 処理に必要な基本的なクラス記述子テーブルを含んでいます。 このメッセージが出されたときは、 インストール・システムの RACF セキュリティー管理者またはインストール管理者にそのことを連絡してください。

図 7. クラス記述子テーブル報告書 
               R A C F     C L A S S     D E S C R I P T O R     T A B L E     R E P O R T
CLASS                                                          DEFAULT        OPERATIONS
NAME           STATUS        AUDITING        STATISTICS        UACC           ALLOWED
----------------------------------------------------------------------------------------------
$CAMP (D)      INACTIVE      NO               NO               NONE             NO
#NUMCLAS (D)   INACTIVE      YES              YES              NONE             NO
@NEWCLAS (D)   INACTIVE      NO               NO               NONE             NO
AIMS           INACTIVE      NO               NO               NONE             NO
APPL           INACTIVE      NO               NO               NONE             NO
DASDVOL        INACTIVE      NO               NO               ACEE             YES
DBCLASS5 (D)   INACTIVE      NO               NO               NONE             NO
DBCLASS6 (D)   INACTIVE      NO               NO               NONE             NO
DSNR           INACTIVE      NO               NO               ACEE             NO
FACILITY       INACTIVE      NO               NO               NONE             NO
GCICSTRN       INACTIVE      NO               NO               NONE             NO
GDASDVOL       INACTIVE      NO               NO               ACEE             YES
GIMS           INACTIVE      NO               NO               NONE             NO
GLOBAL         INACTIVE      NO               NO               NONE             NO
GMBR           INACTIVE      NO               NO               NONE             NO
GTERMINL       INACTIVE      NO               NO               ACEE             NO
PCICSPSB       INACTIVE      NO               NO               NONE             NO
QCICSPSB       INACTIVE      NO               NO               NONE             NO
RACFVARS       INACTIVE      NO               NO               NONE             NO
RVARSMBR       INACTIVE      NO               NO               NONE             NO
SECLABEL       INACTIVE      NO               NO               NONE             NO
TAPEVOL        INACTIVE      NO               NO               ACEE             YES
TCICSTRN       INACTIVE      NO               NO               NONE             NO
TERMINAL       INACTIVE      NO               NO               ACEE             NO
TIMS           INACTIVE      NO               NO               NONE             NO
VMBATCH        INACTIVE      NO               NO               NONE             YES
VMCMD          INACTIVE      NO               NO               NONE             YES
VMMDISK        INACTIVE      NO               NO               NONE             YES
VMRDR          INACTIVE      NO               NO               NONE             YES
注: DSMON は、動的および静的の両方のクラス記述子テーブルのクラスをリストした、独自の RACF クラス記述子テーブル報告書を生成します。動的クラスには、 報告書の最初の列のクラス名の後ろに "(D)" が付きます。 また、クラスはアルファベット順にリストされます。

RACF 出口ルーチン報告書

RACF 出口ルーチン報告書には、インストール・システムで定義されたすべての RACF 出口ルーチンの名前が リストされ、各出口ルーチン・モジュールのサイズも示されます。RACF 静的出口ルーチンの場合、RACF 通信ベクトル表 (RCVT) (ここには各 RACF 出口ルーチン・モジュールのアドレスが入っています) によって、存在すべき出口ルーチン・モジュールをロードできないこと、またはその入り口アドレスが RCVT に指定されているアドレスと一致しないことが検出されると、DSMON はエラー・メッセージを印刷します。

この報告書を使用して、アクティブである出口ルーチンのみが、 ご使用のインストール・システムで定義されたルーチンであることを確認することができます。何か他に出口ルーチンが存在することは、 システムのセキュリティーが危険にさらされていることを示します。RACF 出口ルーチンを使用して、 RACF セキュリティー検査を回避できる可能性があるからです。同様に、出口ルーチン・モジュールの長さが、インストール・システムで定義されている モジュールの長さと異なる場合、 そのモジュールが許可なく修正された可能性を示します。

注: 動的出口ルーチン IRREVX01 および IRRVAF01 の場合、これらは 出口の名前を表します。必ずしも出口ルーチンに関連付けられているモジュール名ではないことに 注意してください。MVS の動的な出口サービスは、単一の出口点に対して複数の出口ルーチンを サポートします。DSMON 出口ルーチン報告書は、報告書の作成時に少なくとも 1 つのアクティブな出口ルーチンが 定義されている場合、IRREVX01 または IRRVAF01 をリストします。報告書には、 ルーチン名、サイズは含まれず、IRREVX01 と IRRVAF01 の長さを "NA" (不明) と表示します。

RACF が動的な出口を定義したり照会したりするために使用する 動的出口サービス CSVDYNEX マクロについては、 「z/OS MVS Programming: Authorized Assembler Services Reference ALE-DYN」を参照してください。動的な出口の DISPLAY コマンドのサポートについては、 「z/OS MVS システム・コマンド」を参照してください。 MVS DISPLAY コマンドを使用すると、出口に関連付けられているモジュールの名前を 見つけることができます。さらに、IRREVX01 および IRRVAF01 については、「z/OS Security Server RACF システム・プログラマーのガイド」の 出口ルーチンの章を参照してください。

列見出し

EXIT MODULE NAME
これは、インストール・システムで定義された RACF 出口ルーチン・モジュール名です。
MODULE LENGTH
これは、バイト数で示した出口ルーチン・モジュールの長さ (10 進数) です。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO RACF EXITS ARE ACTIVE

説明: アクティブな RACF 出口ルーチンはありません。 これがなくても異常状態ではありませんが、インストール・システムで RACF 出口ルーチンが 定義されていた場合には異常状態となります。

図 8. RACF 出口ルーチン報告書の例
                                                 R A C F     E X I T S     R E P O R T
EXIT MODULE          MODULE
NAME                 LENGTH
-------------------------------------------------------------------------------------------------------
NO RACF EXITS ARE ACTIVE

RACF グローバル・アクセス検査表報告書

グローバル・アクセス検査表報告書には、グローバル・アクセス検査表 のすべての項目がリストされます。各項目は、リソース名およびそのリソース名に対応する グローバル・アクセス検査権限レベルから成ります。

また、グローバル・アクセス検査表報告書を使用して、機密リソースの保護が充分か どうか判断することができます。ある項目のグローバル・アクセス情報を調べることにより、 そのグローバル・アクセス権限レベルでそのリソースの適切なセキュリティーが行われているかどうかがわかります。

列見出し

CLASS NAME
これは、グローバル・アクセス検査表に記述されているクラス名です。
ENTRY NAME
これは、各クラスにおいて定義されている項目名 (1 つ以上) です。GLOBAL クラスが非アクティブの場合には、この欄に GLOBAL INACTIVE が示されます。GLOBAL クラスが アクティブであっても、そのクラスについてメンバーが定義されて いない場合、この欄に NO ENTRIES が示されます。
ACCESS LEVEL
その項目のグローバル・アクセス検査権限レベルが示されます。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

GLOBAL INACTIVE

説明: RACF グローバル・アクセス検査表には項目がありません。このメッセージはエラー状態を示すものではありま せん。例えば、RACF のインストール直後には、通常、RACF グローバル・アクセス検査表には 項目が入っていません。

図 9. RACF グローバル・アクセス検査表報告書の例
                               R A C F     G L O B A L     A C C E S S     T A B L E     R E P O R T
CLASS            ACCESS          ENTRY
NAME             LEVEL           NAME
--------------------------------------------------------------------------------------------------
DATASET                          -- GLOBAL INACTIVE --
RVARSMBR                         -- GLOBAL INACTIVE --
SECLABEL                         -- GLOBAL INACTIVE --
DASDVOL                          -- GLOBAL INACTIVE --
TAPEVOL                          -- GLOBAL INACTIVE --
TERMINAL                         -- GLOBAL INACTIVE --
APPL                             -- GLOBAL INACTIVE --
TIMS                             -- GLOBAL INACTIVE --
AIMS                             -- GLOBAL INACTIVE --
TCICSTRN                         -- GLOBAL INACTIVE --
PCICSPSB                         -- GLOBAL INACTIVE --
GMBR                             -- GLOBAL INACTIVE --
DSNR                             -- GLOBAL INACTIVE --
FACILITY                         -- GLOBAL INACTIVE --
VMMDISK                          -- GLOBAL INACTIVE --
VMRDR                            -- GLOBAL INACTIVE --
VMCMD                            -- GLOBAL INACTIVE --
VMNODE                           -- GLOBAL INACTIVE --
VMBATCH                          -- GLOBAL INACTIVE --
SCDMBR                           -- GLOBAL INACTIVE --
FCICSFCT                         -- GLOBAL INACTIVE --
JCICSJCT                         -- GLOBAL INACTIVE --
DCICSDCT                         -- GLOBAL INACTIVE --
SCICSTST                         -- GLOBAL INACTIVE --

RACF 開始済みプロシージャー表報告書

STARTED クラスの状況によって、作成される 開始されたプロシージャー表報告書 が決定します。もし STARTED クラスがアクティブでない場合、報告書は 図 10 に示 すように、インストール・システム置き換え可能ロード・モジュール ICHRIN03 を使用して 作成されます。STARTED クラスがアクティブである場合、2 つの報告書が作成されます。 インストール・システム置き換え可能ロード・モジュール ICHRIN03 用に 生成された報告書に加えて、2 番目の報告書は STARTED クラス・プロファイルを 使用して作成されます。 後者の報告書の例を 図 11 に示します。

開始されたプロシージャー表報告書には、開始されたプロシージャー表の 各項目がリストされています。各項目には、プロシージャー名、ユーザー ID、そのプロシージャーと関連付けら れているグループ名、特権状況、およびトラステッド状況が含まれてい ます。STARTED クラスが アクティブであると、 作成された報告書には、 プロシージャー および TRACE 属性に関連したジョブ名が示されます。

開始されたプロシージャー表報告書に インストール・システムの現在のアクティブ・プロファ イルを表示するには、 
SETR RACLIST(STARTED) REFRESH
を、報告書の実行の前に出さなければなりません。このコマンドを実行すると同時にシステムの プロファイルが変更されると、混乱の 原因になる可能性があり ます。

STARTED クラス・プロファイルを使用すると、再 IPL をすることなく、 動的に表項目を変更することができ ます。詳細は、 「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

開始されたプロシージャー表報告書を使用して、RACF に対して定義されている、 開始されたプロシージャーおよびそれらを使用している RACF ユーザー ID および グループを把握することができます。開始されたプロシージャーに関連付けられた RACF ユーザー ID は、RACF 保護リソースを アクセスできます。したがって、 RACF 開始済みプロシージャー表内の情報を検査すれば、 RACF が認識する開始されたプロシージャーに関連付けられたユーザーおよびグループ、 さらに、それらのユーザーに特権属性やトラステッド属性が与えられているかを 把握でき ます。

この報告書を使用して、特権属性やトラステッド属性が与えられている開始 プロシージャーを判別することもできます。 開始プロシージャーに PRIVILEGED 属性がある場合、 セキュリティー区分検査を含むすべての RACROUTE REQUEST=AUTH および REQUEST=FASTAUTH 処理を回避することができるため、システムの セキュリティー全体に影響を与える可能性があります。TRUSTED は、SETROPTS LOGOPTIONS コマンドまたは ALTUSER コマンドの UAUDIT オペランドを使用して監査を要求できる点を除けば、PRIVILEGED と同じ意味です。

列見出し

PROCEDURE NAME
これは、プロシージャー名です。または、総称項目の場合はアスタリスク (「*」) で示されます。
ASSOCIATED USER
これは、そのプロシージャー名と関連付けられている RACF ユーザー ID です。 等号 (「=」) は、プロシージャー名が RACF ユーザー ID として用いられることを示し ます。
ASSOCIATED GROUP
そのプロシージャーと関連付けられている RACF グループが示されます。等号 (「=」) は、プロシージャー名が RACF グループ名として用いられることを示し ます。
PRIVILEGED
そのプロシージャーが特権属性を持っているかどうかが示されます。この値は、プロシージャーが特権属性を持っている場合は YES であり、持っていな い場合は NO です。
TRUSTED
そのプロシージャーがトラステッド属性を持っているかどうかが示されます。この値は、プロシージャーが特権属性を持っている場合は YES であり、持っていな い場合は NO です。
TRACE
STARTED クラス・プロファイルがアクティブなトレースを持っているかどう かを示します。属性がアクティブで、開始タスクが開始されると、RACF はアクティビティーを記録 するために、メッセージ IRR812I をオペレーターに出します。

報告書メッセージ

この報告書の終わりにはメッセージは現れません。

図 10. RACF 開始済みプロシージャー表報告書 (ICHRIN03) の例
                     R A C F     S T A R T E D     P R O C E D U R E S     T A B L E     R E P O R T
FROM THE STARTED PROCEDURES TABLE (ICHRIN03):
----------------------------------------------------------------------------------------------------
PROCEDURE       ASSOCIATED      ASSOCIATED
NAME            USER            GROUP          PRIVILEGED     TRUSTED
----------------------------------------------------------------------------------------------------
JES2            STCUSER         STCGROUP          NO            YES
IRRDPTAB        STCUSER         STCGROUP          NO            NO
IEEVMPCR        STCUSER         STCGROUP          NO            YES
APSWPROC        STCUSER         STCGROUP          NO            YES
VTAM            STCUSER         STCGROUP          NO            YES
LLA             STCUSER         STCGROUP          NO            YES
LLAEPC          STCUSER         STCGROUP          NO            YES
RPCD            RPCD            STCGROUP          NO            YES
SECCLNTD        SECCLNTD        STCGROUP          NO            YES
SECD            SECD            STCGROUP          NO            YES
RSFJ            STCUSER         STCGROUP          NO            NO
RSFK            STCUSER         STCGROUP          NO            NO
RSFL            STCUSER         STCGROUP          NO            NO
*               =                                 NO            NO
図 11. RACF 開始済みプロシージャー表報告書 (STARTED クラス・アクティブ) の例
                       R A C F     S T A R T E D     P R O C E D U R E S     T A B L E     R E P O R T
FROM PROFILES IN THE STARTED CLASS:
----------------------------------------------------------------------------------------------------------
PROFILE                ASSOCIATED  ASSOCIATED
NAME                   USER        GROUP       PRIVILEGED  TRUSTED  TRACE
----------------------------------------------------------------------------------------------------------
CICS.REGIONA           CICSA                   NO          NO       NO
CICS.REGIONB           CICSB                   NO          NO       NO
NOSTDATA.NOSTDATA      -STDATA NOT SPECIFIED, ICHRIN03 WILL BE USED-
NOUSER.JOBX            -USER NOT SPECIFIED, ICHRIN03 WILL BE USED-
ANETVIEW.* (G)         STCUSR      SYS1        NO          YES      NO
APPC.* (G)             STCUSR      SYS1        NO          YES      NO
APSWPROC.* (G)         STCUSR      SYS1        NO          YES      NO
ASCH.* (G)             STCUSR      SYS1        NO          YES      NO
ASCHINT.* (G)          STCUSR      SYS1        NO          YES      NO
BLSJPRMI.* (G)         STCUSR      SYS1        NO          YES      NO
CATALOG.* (G)          STCUSR      SYS1        NO          YES      NO
CDSADV.* (G)           CDSADV      SYS1        NO          NO       NO
CDSCLRK.* (G)          CDSCLRK     SYS1        NO          NO       NO
CDSD.* (G)             CDSD        SYS1        NO          NO       NO
DTSD.* (G)             DTSD        SYS1        NO          NO       NO
DTSTP.* (G)            DTSTP       SYS1        NO          NO       NO
DUMPSRV.* (G)          STCUSR      SYS1        NO          YES      NO
IEEVMPCR.* (G)         STCUSR      SYS1        NO          YES      NO
IRRDPTAB.* (G)         STCUSR      SYS1        NO          NO       NO
JES2.* (G)             STCUSR      SYS1        NO          YES      NO
LLA.* (G)              STCUSR      SYS1        NO          YES      NO
LLAEPC.* (G)           STCUSR      SYS1        NO          YES      NO
NETVFCT.* (G)          STCUSR      SYS1        NO          NO       NO
NETVREL1.* (G)         STCUSR      SYS1        NO          NO       NO
NETVREL2.* (G)         STCUSR      SYS1        NO          NO       NO
NETVREL3.* (G)         STCUSR      SYS1        NO          NO       NO
NETVSSI.* (G)          STCUSR      SYS1        NO          NO       NO
NEV313.* (G)           STCUSR      SYS1        NO          NO       NO
RACF.* (G)             STCUSR      SYS1        NO          NO       NO
RPCD.* (G)             RPCD        SYS1        NO          NO       NO
RSFJ.* (G)             STCUSR      SYS1        NO          NO       NO
RSFK.* (G)             STCUSR      SYS1        NO          NO       NO
RSFL.* (G)             STCUSR      SYS1        NO          NO       NO
RUNJOB.* (G)           STCUSR      SYS1        NO          NO       NO
SECCLNTD.* (G)         SECCLNTD    SYS1        NO          NO       NO
SECD.* (G)             SECD        SYS1        NO          NO       NO
SMF.* (G)              STCUSR      SYS1        NO          YES      NO
TCAS.* (G)             STCUSR      SYS1        NO          NO       NO
TSOCMD.* (G)           STCUSR      SYS1        NO          NO       NO
TSODB.* (G)            STCUSR      SYS1        NO          NO       NO
TSOICMD.* (G)          STCUSR      SYS1        NO          NO       NO
VLF.* (G)              STCUSR      SYS1        NO          YES      NO
VTAM.* (G)             STCUSR      SYS1        NO          YES      NO
** (G)                 =MEMBER     STCGRP      NO          NO       YES

選択されたユーザー属性報告書

選択されたユーザー属性報告書には、 SPECIAL、OPERATIONS、AUDITOR、 ROAUDIT、または REVOKE のいずれかの属性を持つすべて の RACF ユーザーがリストされ、 ユーザーの持つ属性がシステム (ユーザー) レベルか、グループ・レベルかが示され ます。

選択されたユーザー属性報告書を使用して、特定の機能の実行を 許可する必要のあるユーザーにのみに、該当の属性が割り当てられているか どうかを検査できます。

列見出し

USERID
これはユーザーのシステム ID です。
ATTRIBUTE TYPE
各属性を識別し、該当ユーザーが持つ属性がシステム (ユーザー) レベルか グループ・レベルかを示します。SYSTEM は、ユーザーがシステム・レベルで、つまり、常時その属性を持っていることを 意味します。GROUP は、つながりのあるユーザー同士の 1 つまたは 複数のグループ内でのみ、その属性を持っていることを意味します。 SYSTEM も GROUP も示されていない場合、ユーザーはその属性をいずれのレベルでも持っていません。

ユーザーがグループ・レベルで 1 つ以上の属性を持っている場合には、 LISTUSER コマンドまたは「User Services」パネルによって、対応する グループ (複数の場合もある) の名前を判別することができます。

報告書には次の属性タイプが示されます。
SPECIAL
RACF データベース内にあるすべての RACF プロファイルに 対する完全な制御と、すべての RACF コマンド (監査担当者用に予約されているものを除く) を 実行する権限を ユーザーに与えます。
OPERATIONS
保守操作を実行する権限をユーザーに与え、RACF 保護付きの DASD データ・セットおよび 特定のリソース・クラスをアクセスするために必要なすべての権限をユーザーに提供します。
AUDITOR
セキュリティー管理とシステム・リソースの使用を監査する全権限をユーザーに与え ます。
ROAUDIT
システム・リソースの使用を監査するユーザー権限を与えます。
REVOKE
システム・レベルでは、RACF 定義のユーザーがシステムに入らないように します。グループ・レベルでは、ユーザーはシステムに入ることはできますが、そのグループに関連付けられているグループ権限を使用したり、そのグループの権限を用いてデータ・セットにアクセスしたりすることはできません。
注: REVOKE が将来の日付で指定されているときには、 その日まで状況変更は起こりません。 その日まではユーザーが取り消された (REVOKE された) ものとして、 報告書にリストされることはありません。

各属性の (特にグループ・レベルにおける) 詳細については、 「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

ASSOCIATIONS
これは、ユーザー ID アソシエーションの特性です。報告書には 次のアソシエーションが示されます。
NODE.USERID
これは、アソシエーションのある (関連した) ユーザーのノード (ローカルまたはリモート) およびユーザー ID です。
PASSWORD SYNC
これは、リストされたユーザーと関連したユーザーとの間でパスワードの同期化が 要求されたかどうかを示します。
ASSOCIATION TYPE
ここでは、アソシエーションのタイプ、ユーザー ID アソシエーションの状況、 またはその両方を記述します。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO SELECTED USERS FOUND

説明: SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、または REVOKE のいずれかの属性を持つユーザーは、システム・レベルまたはグループ・レベルで見つかりません。

注: 通常の場合には、このメッセージが現れることはありません。 システム・レベルで SPECIAL 属性を持つユーザーが少なくとも 1 人、 システム・レベルで AUDITOR または ROAUDIT 属性を持つユーザーが 少なくとも 1 人必要です。このメッセージが現れた場合には、RACF セキュリティー管理担当者または インストール管理者に連絡してください。

図 12. 選択されたユーザー属性報告書
                       S E L E C T E D     U S E R     A T T R I B U T E     R E P O R T
USERID   -----------------  ATTRIBUTE TYPE  ------------------    -------------  ASSOCIATIONS  -------------
         SPECIAL    OPERATIONS    AUDITOR    ROAUDIT    REVOKE    NODE.USERID         PASSWORD   ASSOCIATION
                                                                                          SYNC       TYPE
------------------------------------------------------------------------------------------------------------
JPETUSR  SYSTEM     SYSTEM       SYSTEM

選択されたユーザー属性の要約報告書

選択されたユーザー属性の要約報告書には、インストール・システムで定義されているユーザーの合計、およびシステム・レベルとグループ・レベルの両方で SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、および REVOKE の各属性を持つユーザーの合計が示されます。要約報告書を使用して、システム・レベルまたはグループ・レベルでそれぞれ特定の 属性を持つユーザーの数が、お客様システム環境に望ましい数であるかどうかを検査する ことができます。

注: 選択されたユーザー属性の要約報告書は、選択されたユーザー属性の報告書が作成された後に、自動的に作成されるのであって、 単独では要求できません。

列見出し

TOTAL DEFINED USERS
これは、インストール・システムで定義されているユーザーの数です。
TOTAL SELECTED ATTRIBUTE USERS
これは、システム・レベルとグループ・レベルの両方で、選択された各属 性 (SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、および REVOKE) を持つユーザーの数を示します。

報告書メッセージ

この報告書の終わりにはメッセージは現れません。

図 13. 選択されたユーザー属性の要約報告書
                    S E L E C T E D     U S E R      A T T R I B U T E     S U M M A R Y     R E P O R T
---------------------------------------------------------------------------------------------------------
TOTAL DEFINED USERS:               1
TOTAL SELECTED ATTRIBUTE USERS:
ATTRIBUTE BASIS       SPECIAL           OPERATIONS        AUDITOR           ROAUDIT           REVOKE
----------------    -------------     -------------     -------------     -------------     -------------
SYSTEM                          1                 1                 1                 0                 0
GROUP                           0                 0                 0                 0                 0

選択されたデータ・セットの報告書

選択されたデータ・セットの報告書には、1 つまたは複数 の RACF データベースを含め、DSMON が使用する選択基準の 1 つ または複数を満たす すべてのデータ・セットがリストされます。選択されたデータ・セットごとに、 その報告書は、そのデータ・セットがあ るボリュームの通し番号、選択基準、RACF 標識付きデータ・セット または RACF 保護データ・セットのどちらであるか、 およびそのデータ・セットの 汎用アクセス権限 (UACC) をそれぞれ示します。データ・セットまたは RACF データベースが複数の選択基準を満たしている場合には、 その基準ごとに別々の項目が示されます。

選択されたデータ・セットの報告書を使用して、システムおよび RACF デー タ・セットのうち、RACF によって保護されているものと、保護されていないも のを判別することができます。また、この報告書を調べて、 各データ・セットに関連付けられている UACC が、 インストール・システムのリソース・アクセス制御要件と互換性があるかどうかを 知ることもできます。

列見出し

DATA SET NAME
データ・セットの名前。
VOLUME SERIAL
これは、そのデータ・セットが置かれている直接アクセス・ボリュームの 通し番号です。カタログされていないデータ・セットの場合には、この欄はブランクになります。
SELECTION CRITERION
これは、報告書を作成するのに必要なデータ・セットを選択するのに使用された基準です。
以下の項目が現れることがあります。
LNKLST
そのデータ・セットは、この IPL を行う場合の LNKLIST 連結 (SYS1.LINKLIB、 および SYS1.PARMLIB の LNKLSTxx メンバーを使用して SYS1.LINKLIB に 連結されたデータ・セット) の一部です。
APF
そのデータ・セットが APF 許可ライブラリーであることを示します。
MVS によって使用される APF 許可ライブラリーのリスト形式およびリスト内容の 定義については、 「z/OS MVS 初期設定およびチューニング 解説書」を 参照してください。
注:
  1. APF リスト定義に従って、APF 許可ライブラリーのリスト は FUNCTION ALL 制御ステートメント または FUNCTION SYSAPF 制御ステートメントで生成された、 選択されたデータ・セットの報告書では不完全な場合があります。APF 許可ライブラリーは、 SYS1.PARMLIB の IEAAPFxx または PROGxx メンバーに 含まれているか、または MVS SETPROG オペレーター・コマンドで 指定されている場合しか、 報告書に反映されません。APF 仕様のメンバーは、PARMLIB の任意のメンバーに含まれることもあれば、APF データ・セットを 動的に追加するコマンドで指定されるメンバーであることもあります。そのため、APF LIST で定義されていない LPA、MLPA、 および FLPA 許可ライブラリーは、 APF としてフラグされません。
  2. 次のオプションのどれかを実行すると、選択されたデータ・セットの報告書に APF 許可 ライブラリーをすべて含めることができます。
    • SYS1.PARMLIB の 該当する IEAAPFxx または PROGxx メンバーで LPA、MLPA、 および FLPA ライブラリーをすべて定義する。この定義により、MVS はいつでもこれらの ライブラリーを APF 許可として認識できます。
    • FUNCTION USRDSN 制御ステートメントおよび USEROPT USRDSN 制御ステートメント を使用し、APF リストに 定義されていない APF 許可ライブラリーを指定する。このオプションでは、 USRDSN は SELECTION CRITERION フィールドになります。
    • APF 許可ライブラリーが LNKLIST 連結の一部である場合、 FUNCTION ALL または FUNCTION SYSLNK のいずれかを 指定する。この場合には、 SELECTION CRITERION フィールドには LNKLST-APF を含みます。
LNKLST-APF
そのデータ・セットは、リンク・リスト・データ・セットであり、APF 許可 ライブラリーでもあることを示し ます。
MASTER CATALOG
そのデータ・セットは、MVS マスター・カタログであることを示します。
USER CATALOG
そのデータ・セットは、ユーザー・カタログであることを示します。
RACF PRIMARY
そのデータ・セットは、RACF アクセス制御情報を持った基本 RACF データベース であることを示します。この情報には、ユーザー、グループ、データ・セット、 および一般リソース・プロファイルが含まれています。
RACF BACKUP
そのデータ・セットは、バックアップまたはリカバリー RACF データベースであることを示します。
SYSTEM
そのデータ・セットは、次のいずれかのシステム・データ・セットである ことを示して います。
  • SYS1.CMDLIB
  • SYS1.LINKLIB
  • SYS1.LPALIB
  • SYS1.NUCLEUS
  • SYS1.PARMLIB
  • SYS1.PROCLIB
  • SYS1.SVCLIB
  • SYS1.UADS
USRDSN
USEROPT 制御ステートメントに指定されたユーザー・データ・セット です。
RACF INDICATED
そのデータ・セットが RACF 標識付きデータ・セットであるかどうかを示します。
以下の項目が現れることがあります。
YES
そのデータ・セットの RACF 標識がオンであることを示しています。
NO
そのデータ・セットの RACF 標識がオフであることを示しています。RACF は 個別プロファイルをチェックしません。
N.C.
そのデータ・セットは、マスター・カタログにリスト (カタログ) されて いないことを示します。
N.M.
そのデータ・セットが 置かれている DASD ボリュームはマウントされてい ないか、動的に削除されたことを示します。
N.F.
DSMON が、指定されたボリュームにデータ・セットを見つけることができないことを示します。APF データ・セットの場合、 これはセキュリティー上の問題を示している可能性があり、 調査や訂正が必要です。
RACF PROTECTED
そのデータ・セットに RACF プロファイルがあるかどうかを示します。以下の項目が現れることがあります。
YES
そのデータ・セットが、個別または総称プロファイルを持っていることを示しています。その データ・セットの RACF 標識がオフであれば、このデータ・セットは 総称プロファイルによって保護されます。
NO
そのデータ・セットに関するプロファイルがないことを示しています。そのデータ・セットは、 RACF によっていずれの方法でも保護されていません。
注:
  1. データ・セットの RACF 標識がオンであるのに、そのデータ・セットに プロファイルがない場合、エラー条件が存在し ます。その条件が訂正されるまで、そのデータ・セットにアクセスすることはできません。
  2. WARNING がセットされているデータ・セット・プロファイルの場合、 RACF は警告メッセージを出しますが、そのデータ・セットへのアクセスは許可します。したがって、 そのデータ・セットに RACF プロファイルがあり、報告書に RACF 保護 (YES) として示されますが、 そのデータ・セットにアクセスすることができるので、実際には保護されていません。WARNING が セットされているかどうか調べるために、データ・セット・プロファイルの 内容をリストすることができます (LISTDSD コマンドを使用する)。
UACC
そのデータ・セットの 汎用アクセス権限 (UACC) (定義されている場合) です。 UACC は、 デフォルトのアクセス権限であり、そのデータ・セットの RACF プロファイル のアクセス・リストに含まれていないユーザーまたはグループが、そのデータ・セット にアクセスできる方法を指定します。
注: UACC は、そのデータ・セットにアクセスするのにユーザーが持っている実際のアクセス権限を、必ずしも示すとは限りません。データ・セットに個別プロファイルがある場合、 グローバル・アクセス検査表内には そのデータ・セットに該当する項目が含まれていたり、 ユーザーがそのアクセス・リストに含まれていたりすることがあります。
次の汎用アクセス権限があります。
ALTER
個別プロファイルによって保護されているデータ・セットの場合に、ALTER を使用すると、 すべてのユーザーがそのデータ・セットの読み取り、更新、または削除を行うことができることを示します。
CONTROL
VSAM (仮想記憶アクセス方式) データ・セットの場合、CONTROL は VSAM CONTROL パ スワードによって与えられる権限と同じ権限をすべてのユーザーに与えます。 つまり、制御インターバル・アクセス (個々の VSAM データ・ブロックへのア クセス) を行う権限、および指定されたデータ・セット内のレコードの検索、 更新、挿入、または削除を行う権限を与えます。

非 VSAM データ・セットの場合、CONTROL は UPDATE と同じです。

UPDATE
すべてのユーザーは、データ・セットの読み取りや更新ができます。ただし、UPDATE は ユーザーのデータ・セットの削除を許可しません。
READ
すべてのユーザーは、読み取りまたはコピーを目的としてのみ、そのデータ・セットにアクセスすることができます。
NONE
ユーザーは、そのデータ・セットにアクセスすることができません。

報告書メッセージ

報告書の列見出しの下に、次のメッセージが現れることがあります。

NO SELECTED DATA SETS FOUND

説明: DSMON は基準を満たしているデータ・セットを見つけませんでした。

注: 通常の場合には、このメッセージが現れることはありません。 現れた場合には、 RACF セキュリティー管理担当者またはインストール管理者に連絡してください。
図 14. 選択されたデータ・セットの報告書の例
                                          S E L E C T E D     D A T A     S E T S     R E P O R T
                                                 VOLUME     SELECTION          RACF            RACF
DATA SET NAME                                    SERIAL     CRITERION          INDICATED       PROTECTED  UACC
-------------------------------------------------------------------------------------------------------------
CATALOG.AOCSMP.USERCAT                           D94HV2     USER CATALOG       N.M.            YES        UPDATE
CATALOG.CICSCAT                                  D83CL2     USER CATALOG       NO              YES        NONE
CATALOG.CICSDCT                                  D83HW1     USER CATALOG       NO              YES        NONE
CATALOG.CMNA00                                   CMNA00     USER CATALOG       N.M.            YES        NONE
CICS.CURRENT.SDFHAUTH                            DB2LD1     APF                NO              YES        NONE
CICS.CURRENT.SDFHEXCI                            DB2LD1     APF                NO              YES        READ
CICS.CURRENT.SEYUAUTH                            DB2LD1     APF                NO              YES        NONE
CICS.NEW.SDFHAUTH                                DB2LD1     APF                NO              YES        NONE
CICSCAT.USERCAT                                  CIC330     USER CATALOG       N.M.
DB1L.SDSNEXIT                                    SMS066     APF                NO              YES        READ
DB2.DB2L.DB2PM.SDGOLOAD                          DB2LS2     APF                NO              YES        READ
DB2.DB2M.DB2PM.SDGOLOAD                          DB2S01     APF                NO              YES        READ
DB2.LOCAL.LOADLIB                                DB2LS0     APF                NO              YES        READ
DB2.USER.CATALOG                                 DB2PRD     USER CATALOG       NO              YES        NONE
DB2L.DSNEXIT                                     DB2LS1     APF                NO              YES        READ
DB2M.DSNEXIT                                     DB2MS0     APF                NO              YES        READ
LINKLIST.DB2L.DSNLINK                            DB2LS1     APF                NO              YES        READ
                                                            LNKLST - APF
LINKLIST.DB2L.DSNLOAD                            DB2LS1     APF                NO              YES        READ
                                                            LNKLST - APF
LINKLIST.DB2M.DSNLINK                            DB2MS0     APF                NO              YES        READ
                                                            LNKLST - APF
LINKLIST.DB2M.DSNLOAD                            DB2MS0     APF                NO              YES        READ
                                                            LNKLST - APF
LINKLIST.DB2PM.SDGOLINK                          DB2MS0     APF                NO              YES        READ
NCP1.SSPLIB                                      TPPAK2     APF                NO              YES        READ
NETVIEW.NETVIEW.USERLNK                          TPPAK5     APF                NO              YES        NONE
NETWORK.ANOMVS.USERLNK                           TPPAK5     APF                NO              YES        READ
POSIX.CBC.OSV1R2M0.USERCAT                       BPXRTL     USER CATALOG       NO              YES        NONE
SYS1.ACCOUNT                                     PPP002     APF                YES             YES        NONE
                                                            LNKLST - APF
SYS1.AUTHLIB                                     PPP002     APF                YES             YES        READ
                                                            LNKLST - APF
SYS1.CEE.SCEELKED                                PRIPK3     APF                NO              YES        READ
SYS1.CEE.SCEERUN                                 PRIPK3     APF                NO              YES        READ
                                                            LNKLST - APF
SYS1.CICS410.LINKLIB                             DB2LD1     APF                NO              YES        NONE
                                                            LNKLST - APF
SYS1.CICS410.LPALIB                              DB2LD1     APF                NO              YES        NONE
SYS1.CMDLIB                                      PRIPK3     APF                NO              YES        READ
                                                            LNKLST - APF
                                                            SYSTEM