データ・セキュリティー・モニター (DSMON)
RACF® を使用するとリソースを保護することができますが、どれだけの保護が得られるかは、 RACF の実施状況しだいです。実際に働いているセキュリティー・メカニズムが、計画したとおりのものになっているかどうかを 確かめる方法が必要になります。DSMON ヘルプが、これについての情報を提供します。
DSMON は、インストール・システムのセキュリティー環境の状況、とくに RACF の管理 下にあるリソースの状況についての報告書を作成するプログラム です。報告書を使用して、実際のシステム特性とリソース保護レベルを、 目指す特性およびレベルと比較することにより、 インストール先のシステム・セキュリティー環境の現在の状況を、監査することができます。 また、ユーザー入力として特定の機能を要求する制御ステートメントを指定することによって、 DSMON が行う報告書作成の機能を制御することもできます。
DSMON プログラム
データ・セキュリティー・モニター (DSMON) は、通常 RACF が アクティブな場合に実行するプログラムです。
インストール・システムで ICHDSM00 (DSMON) を被制御プログラムとして定義していない場合、DSMON を実行するには AUDITOR または ROAUDIT 属性が必要です。
DSMON が被制御プログラムとして定義されている場合、PROGRAM クラスの ICHDSM00 リソースに、少なくとも EXECUTE または READ のアクセス権限が必要です。さらに、DSMON がクリーンなプログラム制御環境で実行されていない場合、PROGRAM クラスを使用した READ アクセス権限とともに、AUDITOR または ROAUDIT 属性も必要です。
- MVS™ インストール・システムにおいて DSMON が制御されたプログラムであるか否かは、 RACF セキュリティー管理者に確認してください。
- インストール・システムで RACF データベースが MVS と z/VM® によって共用されており、両方のシステムに関する報告書を入手したい場合は、MVS システムで DSMON を実行する必要があります。
- RACF が非アクティブのときに DSMON を実行すると、DSMON はシステム報告書のみを 作成します。
DSMON の実行の方法
DSMON は、許可プログラム機能 (APF) 許可のバッチ・プログラムとして実行されます。 DSMON は、IKJTSO00 が正しく構成されている場合、TSO でも実行でき、 任意の PARMLIB データ・セット内に常駐させることができます。
DSMON を呼び出すには、図 1 のジョブ制御言 語 (JCL) ステートメントのサンプルを使用することができます。SYSIN DD ステートメントには、指定したユーザーの入力に関して特定の DSMON 機能を実行できる DSMON 制御ステートメントを指定します。 小文字で示した語は変更可能な パラメーターです。
//stepname EXEC PGM=ICHDSM00
//SYSPRINT DD SYSOUT=A
//SYSUT2 DD SYSOUT=A
//SYSIN DD *
LINECOUNT 55
FUNCTION all
USEROPT USRDSN sivle.memo.text
- SYSPRINT
- 状況メッセージとエラー・メッセージのための順次メッセージ・データ・セット (例えば SYSOUT) を定義します。SYSPRINT は、可変長ブロック (VB) 形式であり、ブロック・ サイズを指定するときは、137 (133 の LRECL にブロック長用の 4 を加えた数) 以上でなければなりません。
- SYSUT2
- DSMON が生成する印刷報告書のために出力リスト・データ・セット (例えば SYSOUT) を定義します。SYSUT2 は固定ブロック (FB) 形式であり、ブロック・サイズを 指定するときは、133 の倍数を指定しなければなりません。
- SYSIN
- DSMON 制御ステートメントを含む制御データ・セットを定義します。
特定の DSMON 機能を選択したい場合には、SYSIN が必要です。制御データ・セットは次のいずれか
です。
- ストリーム内データとして定義されたデータ・セット
- 順次データ・セットとして定義されたデータ・セット
- 区分データ・セットのメンバーとして定義されたデータ・セット
ブロック・サイズを指定するときは、80 の倍数を指定しなければなりません。
SYSIN を指定しないと、USRDSN を除くすべての DSMON 機能が実行され ます。(USRDSN 機能では、 USEROPT 制御ステートメントに一連のユーザー・データ・セット を指定することが必須です。)
DSMON 制御ステートメントの入力の方法
- LINECOUNT
- FUNCTION
- USEROPT
DSMON 制御ステートメントの入力の方法
DSMON 制御ステートメントはどのような順序で入力しても構いませんが、1 入力行に 1 ステートメントとし、1 桁目から 72 桁目を使用します。入力するのは大文字でも小文字でも構いません。 それぞれの DSMON ステートメント中のリスト項目を区切るには、コンマ、またはブランクを使用します。
/* Start of user data sets
USEROPT USRDSN jim.memo.text vol=8V0L03 -
jim.report.script
- LINECOUNT number
- 報告書のページあたりの行数を指定します。有効な値は、
0 または 40 から 99 です。0 は、新しい報告書の先頭でしかページ替えを行わないことを意味し
ます。LINECOUNT を指定しない場合、デフォルトにより、1 ページあたり 55 行と見なされます。
LINECOUNT ステートメントを複数個指定すると、RACF は最後のステートメントのみを
使用します。
注: LINECOUNT ステートメントは、SYSUT2 データ・セットのページあたりの行数を 制御 します。SYSPRINT メッセージ・データ・セットのページあたり行数は、1 ページあたり 55 行に固定されており、このステートメントの影響を受けません。
- FUNCTION function-name
- 実行したい DSMON の機能 (複数も可) を指定します。
デフォルトは ALL で、この場合には USRDSN を除くすべての報告書が DSMON で 生成されます。 function-name で指定する DSMON 報告書の詳細については、 DSMON が使用する機能を参照してください。
- USEROPT function-name user-input
- 指定した機能によって処理されるユーザー入力を定義します。function-name には、ユーザー入力を処理する機能を指定し、user-input には、
実際に処理する入力データそのものを指定し
ます。USEROPT 制御ステートメントの function-name として指定できる有効な機能は、
次のとおりです。
- USRDSN
- RACGRP
USEROPT 制御ステートメント
USEROPT と USRDSN
USEROPT ステートメントに USRDSN を指定する場合、DSMON は選択されたユーザー・データ・セット (複数の場合もある) の RACF 保護状況をリストします。DSN が処理する 情報を入手するには、まず USEROPT を指定し、1 つ以上のブランクを置いてから、 USRDSN を指定した後、必要な情報のデータ・セット名 またはボリューム名 (あるいはその両方) を指定します。
USEROPT USRDSN jim.memo.text
USEROPT USRDSN jim.memo.text VOL=volser
FUNCTION ALL
USEROPT USRDSN jim.memo.text VOL=volser
FUNCTION ALL がデフォルトであることに注意してください。これを省略して
も DSMON はすべての報告書を作成します。次の例の指定では、
指定したデータ・セットに対して、USRDSN 機能のみが実行されます。
FUNCTION USRDSN
USEROPT USRDSN jim.memo.text
FUNCTION USRDSN
USEROPT USRDSN jim.memo.text -
VOL=8V0L03 jim.test.obj -
jim.racf.cntl jim.racf.clist
USEROPT と RACGRP
FUNCTION RACGRP
USEROPT RACGRP payroll
USEROPT RACGRP に SYS1 を指定すると、DSMON はシステム内のすべてのグループ名を リストします。すべての DSMON 報告書が必要な場合に USEROPT RACGRP を指定しないと、 SYS1 が RACF グループ・ツリー報告書のデフォルト・グループ名になります。 RACF で定義されたグループはどれでも指定できます。RACGRP が作成する DSMON 報告書について詳しくは、 グループ・ツリー報告書を参照して ください。
USEROPT に関する考慮事項
JCL の REGION= キーワードを使うと、指定できる USEROPT 制御ステートメントの数を 制限できます。多くの USEROPT ステートメントを指定する場合は、REGION= キーワードの値をそれに応じて増やしてください。領域サイズをうまく増加できなかった場合には、複数のステップに分けてジョブを実行する ことも可能です。
DSMON が使用する機能
DSMON は、 制御ステートメントの FUNCTION または USEROPT に指定した さまざまな報告書を作成します。システム報告書を除き、制御ステートメントで指定した各機能が完了するたびに、 DSMON は SYSPRINT にメッセージを送り、その報告書作成の機能が正しく実行 されたかどうかを示し ます。
報告書の作成が不成功であった場合、DSMON は、障害の原因を示す エラー・コードを出します。ほとんどの場合、DSMON は、次の制御ステートメントの処理を続行し ます。
表 1 は、FUNCTION 制御ステートメントを使用して作成され る DSMON 報告書について要約してい ます。表 2 は、USEROPT 制御ステートメントを使用して作成される DSMON 報告書 を要約しています。 それぞれの制御ステートメントにおいて機能名を変更することによって、 必要な報告書の種類を指定することが でき ます。どちらの表にも、作成される報告書の種類、およ び各報告書に出される情報 (あるいは検査項目) が 示されています。
機能 (FUNCTION) 名 | 報告書の種類 | 提供される 情報 |
---|---|---|
SYSTEM | システム報告書 |
|
RACGRP | グループ・ツリー報告書 (USEROPT でも使用される。 表 2) | 全システムの階層内での グループ名とレベル |
SYSPPT | プログラム特性表報告書 | すべての情報 (報告書の例を 参照のこと) |
RACAUT | RACF 許可の呼び出し側表報告書 | すべての情報 (報告書の例を 参照のこと) |
RACCDT | RACF クラス記述子テーブル報告書 | すべての情報 (報告書の例を 参照のこと) |
RACEXT | RACF 出口ルーチン報告書 | すべての情報 (報告書の例を 参照のこと) |
RACGAC | RACF グローバル・アクセス検査表報告書 | すべての情報 (報告書の例を 参照のこと) |
RACSPT | RACF 開始済みプロシージャー表報告書 | すべての情報 (報告書の例を 参照のこと) |
RACUSR | 選択されたユーザー属性報告書、および 選択されたユーザー属性の要約 報告書 | すべての情報 (報告書の例を参照のこと) |
SYSLNK | 選択されたデータ・セットの報告書 | SYS1.PARMLIB ライブラリーのすべての LNKLSTxx データ・セット・ メンバー |
SYSAPF | 現行リンク・リスト・データ・セットの報告書 | 許可プログラム 機能 (APF) ライブラリー |
SYSCAT | 選択されたデータ・セットの報告書 | マスター・カタログとすべてのユーザー・カタログ。ユーザー・カタログの情報を取得するには
追加の権限が必要です。 注: SYSCAT リソース ICHDSM00.SYSCAT を保護する FACILITY クラス・プロファイルが
存在しても、ユーザーに READ 権限がない場合、DSMON はユーザー・カタログのリストを抑止し、
メッセージ ICH66134I を出して、権限が不十分であることを通知します。
|
RACDST | 選択されたデータ・セットの報告書 | 基本およびバックアップ RACF データベース |
SYSSDS | 選択されたデータ・セットの報告書 | 選択されたシステム・データ・セット |
USRDSN | 選択されたデータ・セットの報告書 (USEROPT とともに使用される。表 2) | 選択されたユーザー・データ・ セット |
機能 (FUNCTION) 名 | 報告書の種類 | 提供される 情報 |
---|---|---|
USRDSN | 選択されたユーザー・データ・セットの報告書 | 選択されたユーザー・データ・ セット |
RACGRP | グループ・ツリー報告書 | ユーザーが指定したグループの階層内のグループ名および レベル |
DSMON 報告書
DSMON により次の報告書を作成することができます。
![REQTEXT](ich99dsr.gif)
DSMON 報告書の情報を用いて、監査上の多くの質問に答えることができ ます。 (監査の実施 を参照してください。)
システム報告書
- プロセッサー複合体の ID 番号と モデル
- オペレーティング・システムの名前、バージョン、およびリリース
- システム常駐ボリュームの通し番号
- SMF が使用するシステム ID (SMF-ID)
また、RACF のバージョンおよびリリース番号、ならびに RACF がアクティブであるかどうかも、 この報告書に示され ます。IPL 時にアクティブにならなかったか、または RVARY コマンドで非アクティブになり、 RACF が非アクティブの場合は、DSMON からメッセージが出され ます。
システム報告書を使用して、システムに必要なハードウェアとソフトウェア が備わっているかどうかを知ることができます。さらに RACF の状況も確認することができます。
列見出し
- CPU-ID
- これは、そのシステムのプロセッサー複合体の ID 番号 です。
- CPU MODEL
- これは、プロセッサー複合体のモデル番号です。
- OPERATING SYSTEM/LEVEL
- オペレーティング・システムの名前、バージョンとリリース、 そのオペレーティング・システムのプロダクト FMID、および インストール・システムの個別設定名 (通信ベクトル表 (CVT) 内に情報があれば) を 指定します。
- SYSTEM RESIDENCE VOLUME
- システムが置かれている ボリュームの通し番号を指定します。
- SMF-ID
- これは、システム管理機能 (SMF) がログ・レコードを作成する際に使用する システム ID です。
報告書メッセージ
報告書の終わりに次のメッセージが現れることがあります。
RACF FMID HRFnnnn IS ACTIVE
説明: RACF の示された FMID が初期プログラム・ロード (IPL) 中にアクティブでした。
RACF FMID HRFnnnn IS INACTIVE
説明: RACF の示された FMID が非アクティブです。 ほとんどの場合、このメッセージは報告書の末尾に 現れます。
RACF FMID HRFnnnn HAS BEEN DEACTIVATED
説明: 上記メッセージ中の RACF の FMID は、RVARY コマンドによって非アクティブにされています。この状態は、通常一時的なものです。 temporary.
RACF IS NOT INSTALLED
説明: DSMON は、RACF 通信ベクトル表 (RCVT) を見つけ出すことができません。これは、RACF がインストールされていないことを意味します。
S Y S T E M R E P O R T
----------------------------------------------------------------------------------------------
CPU-ID 111606
CPU MODEL 2064
OPERATING SYSTEM/LEVEL z/OS 1.2.0 HBB7705 Test System 2390
SYSTEM RESIDENCE VOLUME DR250B
SMF-ID IM13
RACF FMID HRF7705 IS ACTIVE
グループ・ツリー報告書
グループ・ツリー報告書には、SYS1 グループのすべてのサブグループがリスト されるだけでなく、そのグループ・ツリーに含まれるそれらサブグループの サブグループも リストされ ます。あるいは、ユーザー指定のグループ名が USEROPT 制御ステートメントに指定されて いるときは、そのグループに含まれるサブグループが すべてリストされ ます。所有者が上位グループでない場合には、 報告書にグループごとの所有者名も示されます。
グループ・ツリー報告書を使用して、システム全体の RACF グループ構造を調べることができます。また、各サブグループに関連付けられたユーザーのグループ関連属性 (グループ SPECIAL、グループ OPERATIONS、グループ AUDITOR) が、 どのような関係になっているかを判別することもできます。これにより、システムにおけるグループ権限が 効果的に構造化されているかどうかを知ることができます。
列見出し
- LEVEL
- 要求された最上位のグループから始めて、そのグループ・ツリー内にあるグループやサブグループの相対的なネスト・レベルを示すグループ・レベル番号。SYS1 は常に 1 です。SYS1 を上位グループに持つグループが 2 であり、 以下順にグループ・ツリーを下にたどります。
- GROUP
- これは、RACF 定義グループの名前です。
- (OWNER)
- これは、そのグループの所有者の名前 です。所有者が上位グループでない場合にのみ、その名前が示され ます。
報告書メッセージ
報告書中に示された矢印 (===>) は、情報が右マージンからオーバーフローしたことを意味します。オーバーフローのために失われた情報は、 報告書の本体が印刷されてから印刷されます。オーバーフローされた情報の前には、 -----CONTINUATION----- という文字が記され、左マージン には途切れた情報に対応したレベル番号、グループ名、 および所有者名 (上位グループの名前と同じでない場合) が示されます。
R A C F G R O U P T R E E R E P O R T
LEVEL GROUP (OWNER)
------------------------------------------------------------------------------------
1 SYS1 (IBMUSER )
|
2 | SYSPROG (IBMUSER )
|
2 | RACFADMN (IBMUSER )
プログラム特性表報告書
プログラム特性表報告書には、プログラム特性表 (PPT) に含まれて いるすべてのプログラムがリストされます。また、各プログラムがパスワード保護を回避することが許可されているかどうか、 およびシステム・キーで実行されるかどうかも示され ます。 この報告書にリストされるプログラムのなかには、パスワード保護されている データ・セットの場合パスワード保護を回避することができ、したがっ て RACF の保護を受けているリソースについてすべての RACF 保護を回避できる プログラムが含まれます。
プログラム特性表報告書を使用すると、パスワード保護の回避を許可 する必要のあるプログラムだけが確かに許可されているかを 確認することができ ます。そのようなプログラムとして、一般的に、通信やデータベースの制御プログラム、 またはその他のシステム制御プログラムが挙げられ ます。また、システム・キーで実行する必要のあるプログラムのみが、実際にシステム・キーで 実行することを許可されているかどうかを確かめることもできます。
列見出し
- PROGRAM NAME
- これは、PPT で定義されているプログラムの名前です。
- BYPASS PASSWORD PROTECTION
- そのプログラムが、RACF 保護またはパスワード保護されているデータ・セットに アクセスするときに、パスワード保護検査を回避することが許可されているかどうか を示します。この値は、YES か NO です。
- SYSTEM KEY
- そのプログラムがシステム・キー (キー 0 から 7) で実行することを許可されているかどうか、 したがってシステム・セキュリティー管理手段を回避することができるかどうかを示します。この値は、YES か NO です。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO ENTRIES IN PROGRAM PROPERTIES TABLE
説明: プログラム特性表には項目がありません。これは、 プログラム特性表に IBM® 提供の項目がいくつか含まれているはずなので、 異常状態を示すメッセージです。
P R O G R A M P R O P E R T I E S T A B L E R E P O R T
PROGRAM BYPASS PASSWORD SYSTEM
NAME PROTECTION KEY
----------------------------------------------------------------------------------------------
IEDQTCAM NO YES
ISTINM01 YES YES
IKTCAS00 NO YES
AHLGTF NO YES
HHLGTF NO YES
IHLGTF NO YES
IEFIIC NO YES
IEEMB860 YES YES
IEEVMNT2 NO YES
IASXWR00 NO YES
CSVVFCRE NO YES
HASJES20 YES YES
DFSMVRC0 NO YES
IATINTK YES YES
DXRRLM00 NO YES
APSPPIEP NO YES
IATINTKF YES YES
DSNYASCP NO YES
DSNUTILB NO YES
IEAVTDSV YES YES
IFASMF NO YES
CSVLLCRE YES YES
AVFMNBLD NO YES
ERBMFMFC NO NO
ERB3GMFC NO NO
IGGOCLX0 NO YES
IGDSSI01 YES YES
COFMINIT YES YES
COFMISD0 NO YES
RACF 許可の呼び出し側表報告書
RACF 許可の呼び出し側表報告書には、 RACF 許可の呼び出し側表に含まれている すべてのプログラムの名前がリストされます。この報告書はまた、各プログラムが VERIFY (RACINIT) 要求 (ユーザー検査を実行) または LIST (RACLIST) 要求 (プロファイルを主記憶にロード)、あるいはその両方の発行を許可されているかどうかも示します。
この報告書を使用して、アクセス管理環境エレメント (ACEE) を修正する許可が あるプログラムのみが、VERIFY 要求を出すことができるようになっているか どうかも確認することができます。ACEE には現行ユーザーの記述が含まれているため、この検証は重要なセキュリティー要件となります。この記述には、ユーザー ID、現行接続グループ、ユーザー属性、およびグループ権限が含まれています。VERIFY 要求を出すことを許可されているプログラムは、ACEE を変更して、 任意のユーザー ID をシミュレートすることができます。
また、この報告書を使用して、 RACF データ・セットのプロファイルへのアクセスを許可されたプログラムのみが LIST 要求を発行できることを検査することもできます。 プロファイルには、 RACF 定義エンティティーに関連する特性の詳細な記述が含まれて いるので、これへのアクセスは慎重に管理しなければなりません。
列見出し
- MODULE NAME
- これは、RACF 許可の呼び出し側表で定義されているプログラム・モジュール名 です。
- RACINIT AUTHORIZED
- そのモジュールが、VERIFY 要求を出すことを許可されているかどうかを示し ます。 この値は、YES か NO です。
- RACLIST AUTHORIZED
- そのモジュールが、LIST 要求を出すことを許可されているかどうかを示し ます。 この値は、YES か NO です。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO ENTRIES IN RACF AUTHORIZED CALLER TABLE
説明: RACF 許可の呼び出し側表に項目がありません。このメッセージはエラー状態を示すものではありま せん。例えば、RACF のインストール直後には、 通常、RACF 許可の呼び出し側表に項目が入っていません。
R A C F A U T H O R I Z E D C A L L E R T A B L E R E P O R T
MODULE RACINIT RACLIST
NAME AUTHORIZED AUTHORIZED
-------------------------------------------------------------------------------------------------------
NO ENTRIES IN RACF AUTHORIZED CALLER TABLE
RACF クラス記述子表報告書
クラス記述子テーブル報告書には、監査アクティビティー、統計、OPERATIONS ユーザーのアクティビティー、および汎用アクセス権限 (UACC) を含む、クラス記述子テーブルにあるすべての一般リソース・クラスのクラス名と状況についての情報がリストされます。
クラス記述子テーブル報告書を使うと、システムにおいて RACF に定義されている リソース・クラスを判別できます。このように、クラス記述子テーブル内の任意のリソースについて、 その保護状況の情報を入手することができます。
列見出し
- CLASS NAME
- これは、RACF クラス記述子テーブルに記述されているクラス名です。動的クラスには、 クラス名の後ろに "(D)" が付きます。
- STATUS
- そのクラスがアクティブであるか、非アクティブであるかを示します。
- AUDITING
- そのクラスに対する監査が行われているかどうかを示します。この値は、YES か NO です。
- STATISTICS
- RACF がそのクラスに関する統計情報を収集しているかどうかを示します。この値は、YES か NO です。
- DEFAULT UACC
- クラス記述子テーブルに記述されているクラスに対して定義されている
デフォルトの UACC を示します。プロファイルを書く RDEFINE コマンドに UACC オペランドを指定している場合以外は、RACF は、そのクラスに定義されている
プロファイルに対して、この UACC を使用します。
次の値のいずれかが現れます。
- ALTER
- 個別のプロファイルの場合、ALTER は、すべてのユーザーが、デフォルトによって、 そのリソースおよびリソース・プロファイルを管理し、他のユーザーまたは グループ (あるいはその両方) にそのリソースへのアクセスを許可できることを示します。
- 総称プロファイルの場合、ALTER は、すべてのユーザーが、デフォルトによって、 リソースを管理したり、総称プロファイルによって保護されているデータ・セットを 割り振ったりできることを示します。リソース・プロファイルを完全に管理できるのは、 プロファイル所有者だけです。
- CONTROL は、すべてのユーザーがデフォルトによって、VSAM データ・セット内の レコードを更新、挿入、または削除するアクセス権限を持ち、 データ・セット・パスワードを提供された場合と同様に、他の操作も実行できることを示します。
- UPDATE は、すべてのユーザーが、デフォルトによって、読み取りおよび書き込みの 両方を目的としてリソースにアクセスできることを示します。
- READ は、すべてのユーザーが、デフォルトによって、読み取りを目的とした場合に限り、 リソースにアクセスできることを示します。
- NONE は、ユーザーはデフォルトによって、リソースにアクセスできないことを示します。
- ACEE は、その UACC をアクセス機能環境エレメント (ACEE) から取ることを示し ます。
- ALTER
- OPERATIONS
- RACF が、権限検査時に OPERATIONS 属性権限を使用するかどうかを 示し ます。この値は、RACF が権限検査を実行する場合は YES であり、しない場合は NO です。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO ENTRIES IN THE RACF CLASS DESCRIPTOR TABLE
説明: クラス記述子テーブルには項目がありません。RACF は、RACF 処理に必要な基本的なクラス記述子テーブルを含んでいます。 このメッセージが出されたときは、 インストール・システムの RACF セキュリティー管理者またはインストール管理者にそのことを連絡してください。
R A C F C L A S S D E S C R I P T O R T A B L E R E P O R T
CLASS DEFAULT OPERATIONS
NAME STATUS AUDITING STATISTICS UACC ALLOWED
----------------------------------------------------------------------------------------------
$CAMP (D) INACTIVE NO NO NONE NO
#NUMCLAS (D) INACTIVE YES YES NONE NO
@NEWCLAS (D) INACTIVE NO NO NONE NO
AIMS INACTIVE NO NO NONE NO
APPL INACTIVE NO NO NONE NO
DASDVOL INACTIVE NO NO ACEE YES
DBCLASS5 (D) INACTIVE NO NO NONE NO
DBCLASS6 (D) INACTIVE NO NO NONE NO
DSNR INACTIVE NO NO ACEE NO
FACILITY INACTIVE NO NO NONE NO
GCICSTRN INACTIVE NO NO NONE NO
GDASDVOL INACTIVE NO NO ACEE YES
GIMS INACTIVE NO NO NONE NO
GLOBAL INACTIVE NO NO NONE NO
GMBR INACTIVE NO NO NONE NO
GTERMINL INACTIVE NO NO ACEE NO
PCICSPSB INACTIVE NO NO NONE NO
QCICSPSB INACTIVE NO NO NONE NO
RACFVARS INACTIVE NO NO NONE NO
RVARSMBR INACTIVE NO NO NONE NO
SECLABEL INACTIVE NO NO NONE NO
TAPEVOL INACTIVE NO NO ACEE YES
TCICSTRN INACTIVE NO NO NONE NO
TERMINAL INACTIVE NO NO ACEE NO
TIMS INACTIVE NO NO NONE NO
VMBATCH INACTIVE NO NO NONE YES
VMCMD INACTIVE NO NO NONE YES
VMMDISK INACTIVE NO NO NONE YES
VMRDR INACTIVE NO NO NONE YES
RACF 出口ルーチン報告書
RACF 出口ルーチン報告書には、インストール・システムで定義されたすべての RACF 出口ルーチンの名前が リストされ、各出口ルーチン・モジュールのサイズも示されます。RACF 静的出口ルーチンの場合、RACF 通信ベクトル表 (RCVT) (ここには各 RACF 出口ルーチン・モジュールのアドレスが入っています) によって、存在すべき出口ルーチン・モジュールをロードできないこと、またはその入り口アドレスが RCVT に指定されているアドレスと一致しないことが検出されると、DSMON はエラー・メッセージを印刷します。
この報告書を使用して、アクティブである出口ルーチンのみが、 ご使用のインストール・システムで定義されたルーチンであることを確認することができます。何か他に出口ルーチンが存在することは、 システムのセキュリティーが危険にさらされていることを示します。RACF 出口ルーチンを使用して、 RACF セキュリティー検査を回避できる可能性があるからです。同様に、出口ルーチン・モジュールの長さが、インストール・システムで定義されている モジュールの長さと異なる場合、 そのモジュールが許可なく修正された可能性を示します。
RACF が動的な出口を定義したり照会したりするために使用する 動的出口サービス CSVDYNEX マクロについては、 「z/OS MVS Programming: Authorized Assembler Services Reference ALE-DYN」を参照してください。動的な出口の DISPLAY コマンドのサポートについては、 「z/OS MVS システム・コマンド」を参照してください。 MVS DISPLAY コマンドを使用すると、出口に関連付けられているモジュールの名前を 見つけることができます。さらに、IRREVX01 および IRRVAF01 については、「z/OS Security Server RACF システム・プログラマーのガイド」の 出口ルーチンの章を参照してください。
列見出し
- EXIT MODULE NAME
- これは、インストール・システムで定義された RACF 出口ルーチン・モジュール名です。
- MODULE LENGTH
- これは、バイト数で示した出口ルーチン・モジュールの長さ (10 進数) です。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO RACF EXITS ARE ACTIVE
説明: アクティブな RACF 出口ルーチンはありません。 これがなくても異常状態ではありませんが、インストール・システムで RACF 出口ルーチンが 定義されていた場合には異常状態となります。
R A C F E X I T S R E P O R T
EXIT MODULE MODULE
NAME LENGTH
-------------------------------------------------------------------------------------------------------
NO RACF EXITS ARE ACTIVE
RACF グローバル・アクセス検査表報告書
グローバル・アクセス検査表報告書には、グローバル・アクセス検査表 のすべての項目がリストされます。各項目は、リソース名およびそのリソース名に対応する グローバル・アクセス検査権限レベルから成ります。
また、グローバル・アクセス検査表報告書を使用して、機密リソースの保護が充分か どうか判断することができます。ある項目のグローバル・アクセス情報を調べることにより、 そのグローバル・アクセス権限レベルでそのリソースの適切なセキュリティーが行われているかどうかがわかります。
列見出し
- CLASS NAME
- これは、グローバル・アクセス検査表に記述されているクラス名です。
- ENTRY NAME
- これは、各クラスにおいて定義されている項目名 (1 つ以上) です。GLOBAL クラスが非アクティブの場合には、この欄に GLOBAL INACTIVE が示されます。GLOBAL クラスが アクティブであっても、そのクラスについてメンバーが定義されて いない場合、この欄に NO ENTRIES が示されます。
- ACCESS LEVEL
- その項目のグローバル・アクセス検査権限レベルが示されます。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
GLOBAL INACTIVE
説明: RACF グローバル・アクセス検査表には項目がありません。このメッセージはエラー状態を示すものではありま せん。例えば、RACF のインストール直後には、通常、RACF グローバル・アクセス検査表には 項目が入っていません。
R A C F G L O B A L A C C E S S T A B L E R E P O R T
CLASS ACCESS ENTRY
NAME LEVEL NAME
--------------------------------------------------------------------------------------------------
DATASET -- GLOBAL INACTIVE --
RVARSMBR -- GLOBAL INACTIVE --
SECLABEL -- GLOBAL INACTIVE --
DASDVOL -- GLOBAL INACTIVE --
TAPEVOL -- GLOBAL INACTIVE --
TERMINAL -- GLOBAL INACTIVE --
APPL -- GLOBAL INACTIVE --
TIMS -- GLOBAL INACTIVE --
AIMS -- GLOBAL INACTIVE --
TCICSTRN -- GLOBAL INACTIVE --
PCICSPSB -- GLOBAL INACTIVE --
GMBR -- GLOBAL INACTIVE --
DSNR -- GLOBAL INACTIVE --
FACILITY -- GLOBAL INACTIVE --
VMMDISK -- GLOBAL INACTIVE --
VMRDR -- GLOBAL INACTIVE --
VMCMD -- GLOBAL INACTIVE --
VMNODE -- GLOBAL INACTIVE --
VMBATCH -- GLOBAL INACTIVE --
SCDMBR -- GLOBAL INACTIVE --
FCICSFCT -- GLOBAL INACTIVE --
JCICSJCT -- GLOBAL INACTIVE --
DCICSDCT -- GLOBAL INACTIVE --
SCICSTST -- GLOBAL INACTIVE --
RACF 開始済みプロシージャー表報告書
STARTED クラスの状況によって、作成される 開始されたプロシージャー表報告書 が決定します。もし STARTED クラスがアクティブでない場合、報告書は 図 10 に示 すように、インストール・システム置き換え可能ロード・モジュール ICHRIN03 を使用して 作成されます。STARTED クラスがアクティブである場合、2 つの報告書が作成されます。 インストール・システム置き換え可能ロード・モジュール ICHRIN03 用に 生成された報告書に加えて、2 番目の報告書は STARTED クラス・プロファイルを 使用して作成されます。 後者の報告書の例を 図 11 に示します。
開始されたプロシージャー表報告書には、開始されたプロシージャー表の 各項目がリストされています。各項目には、プロシージャー名、ユーザー ID、そのプロシージャーと関連付けら れているグループ名、特権状況、およびトラステッド状況が含まれてい ます。STARTED クラスが アクティブであると、 作成された報告書には、 プロシージャー および TRACE 属性に関連したジョブ名が示されます。
SETR RACLIST(STARTED) REFRESH
を、報告書の実行の前に出さなければなりません。このコマンドを実行すると同時にシステムの
プロファイルが変更されると、混乱の
原因になる可能性があり
ます。STARTED クラス・プロファイルを使用すると、再 IPL をすることなく、 動的に表項目を変更することができ ます。詳細は、 「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
開始されたプロシージャー表報告書を使用して、RACF に対して定義されている、 開始されたプロシージャーおよびそれらを使用している RACF ユーザー ID および グループを把握することができます。開始されたプロシージャーに関連付けられた RACF ユーザー ID は、RACF 保護リソースを アクセスできます。したがって、 RACF 開始済みプロシージャー表内の情報を検査すれば、 RACF が認識する開始されたプロシージャーに関連付けられたユーザーおよびグループ、 さらに、それらのユーザーに特権属性やトラステッド属性が与えられているかを 把握でき ます。
この報告書を使用して、特権属性やトラステッド属性が与えられている開始 プロシージャーを判別することもできます。 開始プロシージャーに PRIVILEGED 属性がある場合、 セキュリティー区分検査を含むすべての RACROUTE REQUEST=AUTH および REQUEST=FASTAUTH 処理を回避することができるため、システムの セキュリティー全体に影響を与える可能性があります。TRUSTED は、SETROPTS LOGOPTIONS コマンドまたは ALTUSER コマンドの UAUDIT オペランドを使用して監査を要求できる点を除けば、PRIVILEGED と同じ意味です。
列見出し
- PROCEDURE NAME
- これは、プロシージャー名です。または、総称項目の場合はアスタリスク (「*」) で示されます。
- ASSOCIATED USER
- これは、そのプロシージャー名と関連付けられている RACF ユーザー ID です。 等号 (「=」) は、プロシージャー名が RACF ユーザー ID として用いられることを示し ます。
- ASSOCIATED GROUP
- そのプロシージャーと関連付けられている RACF グループが示されます。等号 (「=」) は、プロシージャー名が RACF グループ名として用いられることを示し ます。
- PRIVILEGED
- そのプロシージャーが特権属性を持っているかどうかが示されます。この値は、プロシージャーが特権属性を持っている場合は YES であり、持っていな い場合は NO です。
- TRUSTED
- そのプロシージャーがトラステッド属性を持っているかどうかが示されます。この値は、プロシージャーが特権属性を持っている場合は YES であり、持っていな い場合は NO です。
- TRACE
- STARTED クラス・プロファイルがアクティブなトレースを持っているかどう かを示します。属性がアクティブで、開始タスクが開始されると、RACF はアクティビティーを記録 するために、メッセージ IRR812I をオペレーターに出します。
報告書メッセージ
この報告書の終わりにはメッセージは現れません。
R A C F S T A R T E D P R O C E D U R E S T A B L E R E P O R T
FROM THE STARTED PROCEDURES TABLE (ICHRIN03):
----------------------------------------------------------------------------------------------------
PROCEDURE ASSOCIATED ASSOCIATED
NAME USER GROUP PRIVILEGED TRUSTED
----------------------------------------------------------------------------------------------------
JES2 STCUSER STCGROUP NO YES
IRRDPTAB STCUSER STCGROUP NO NO
IEEVMPCR STCUSER STCGROUP NO YES
APSWPROC STCUSER STCGROUP NO YES
VTAM STCUSER STCGROUP NO YES
LLA STCUSER STCGROUP NO YES
LLAEPC STCUSER STCGROUP NO YES
RPCD RPCD STCGROUP NO YES
SECCLNTD SECCLNTD STCGROUP NO YES
SECD SECD STCGROUP NO YES
RSFJ STCUSER STCGROUP NO NO
RSFK STCUSER STCGROUP NO NO
RSFL STCUSER STCGROUP NO NO
* = NO NO
R A C F S T A R T E D P R O C E D U R E S T A B L E R E P O R T
FROM PROFILES IN THE STARTED CLASS:
----------------------------------------------------------------------------------------------------------
PROFILE ASSOCIATED ASSOCIATED
NAME USER GROUP PRIVILEGED TRUSTED TRACE
----------------------------------------------------------------------------------------------------------
CICS.REGIONA CICSA NO NO NO
CICS.REGIONB CICSB NO NO NO
NOSTDATA.NOSTDATA -STDATA NOT SPECIFIED, ICHRIN03 WILL BE USED-
NOUSER.JOBX -USER NOT SPECIFIED, ICHRIN03 WILL BE USED-
ANETVIEW.* (G) STCUSR SYS1 NO YES NO
APPC.* (G) STCUSR SYS1 NO YES NO
APSWPROC.* (G) STCUSR SYS1 NO YES NO
ASCH.* (G) STCUSR SYS1 NO YES NO
ASCHINT.* (G) STCUSR SYS1 NO YES NO
BLSJPRMI.* (G) STCUSR SYS1 NO YES NO
CATALOG.* (G) STCUSR SYS1 NO YES NO
CDSADV.* (G) CDSADV SYS1 NO NO NO
CDSCLRK.* (G) CDSCLRK SYS1 NO NO NO
CDSD.* (G) CDSD SYS1 NO NO NO
DTSD.* (G) DTSD SYS1 NO NO NO
DTSTP.* (G) DTSTP SYS1 NO NO NO
DUMPSRV.* (G) STCUSR SYS1 NO YES NO
IEEVMPCR.* (G) STCUSR SYS1 NO YES NO
IRRDPTAB.* (G) STCUSR SYS1 NO NO NO
JES2.* (G) STCUSR SYS1 NO YES NO
LLA.* (G) STCUSR SYS1 NO YES NO
LLAEPC.* (G) STCUSR SYS1 NO YES NO
NETVFCT.* (G) STCUSR SYS1 NO NO NO
NETVREL1.* (G) STCUSR SYS1 NO NO NO
NETVREL2.* (G) STCUSR SYS1 NO NO NO
NETVREL3.* (G) STCUSR SYS1 NO NO NO
NETVSSI.* (G) STCUSR SYS1 NO NO NO
NEV313.* (G) STCUSR SYS1 NO NO NO
RACF.* (G) STCUSR SYS1 NO NO NO
RPCD.* (G) RPCD SYS1 NO NO NO
RSFJ.* (G) STCUSR SYS1 NO NO NO
RSFK.* (G) STCUSR SYS1 NO NO NO
RSFL.* (G) STCUSR SYS1 NO NO NO
RUNJOB.* (G) STCUSR SYS1 NO NO NO
SECCLNTD.* (G) SECCLNTD SYS1 NO NO NO
SECD.* (G) SECD SYS1 NO NO NO
SMF.* (G) STCUSR SYS1 NO YES NO
TCAS.* (G) STCUSR SYS1 NO NO NO
TSOCMD.* (G) STCUSR SYS1 NO NO NO
TSODB.* (G) STCUSR SYS1 NO NO NO
TSOICMD.* (G) STCUSR SYS1 NO NO NO
VLF.* (G) STCUSR SYS1 NO YES NO
VTAM.* (G) STCUSR SYS1 NO YES NO
** (G) =MEMBER STCGRP NO NO YES
選択されたユーザー属性報告書
選択されたユーザー属性報告書には、 SPECIAL、OPERATIONS、AUDITOR、 ROAUDIT、または REVOKE のいずれかの属性を持つすべて の RACF ユーザーがリストされ、 ユーザーの持つ属性がシステム (ユーザー) レベルか、グループ・レベルかが示され ます。
選択されたユーザー属性報告書を使用して、特定の機能の実行を 許可する必要のあるユーザーにのみに、該当の属性が割り当てられているか どうかを検査できます。
列見出し
- USERID
- これはユーザーのシステム ID です。
- ATTRIBUTE TYPE
- 各属性を識別し、該当ユーザーが持つ属性がシステム (ユーザー) レベルか
グループ・レベルかを示します。SYSTEM は、ユーザーがシステム・レベルで、つまり、常時その属性を持っていることを
意味します。GROUP は、つながりのあるユーザー同士の 1 つまたは
複数のグループ内でのみ、その属性を持っていることを意味します。
SYSTEM も GROUP も示されていない場合、ユーザーはその属性をいずれのレベルでも持っていません。
ユーザーがグループ・レベルで 1 つ以上の属性を持っている場合には、 LISTUSER コマンドまたは「User Services」パネルによって、対応する グループ (複数の場合もある) の名前を判別することができます。
報告書には次の属性タイプが示されます。- SPECIAL
- RACF データベース内にあるすべての RACF プロファイルに 対する完全な制御と、すべての RACF コマンド (監査担当者用に予約されているものを除く) を 実行する権限を ユーザーに与えます。
- OPERATIONS
- 保守操作を実行する権限をユーザーに与え、RACF 保護付きの DASD データ・セットおよび 特定のリソース・クラスをアクセスするために必要なすべての権限をユーザーに提供します。
- AUDITOR
- セキュリティー管理とシステム・リソースの使用を監査する全権限をユーザーに与え ます。
- ROAUDIT
- システム・リソースの使用を監査するユーザー権限を与えます。
- REVOKE
- システム・レベルでは、RACF 定義のユーザーがシステムに入らないように
します。グループ・レベルでは、ユーザーはシステムに入ることはできますが、そのグループに関連付けられているグループ権限を使用したり、そのグループの権限を用いてデータ・セットにアクセスしたりすることはできません。
注: REVOKE が将来の日付で指定されているときには、 その日まで状況変更は起こりません。 その日まではユーザーが取り消された (REVOKE された) ものとして、 報告書にリストされることはありません。
各属性の (特にグループ・レベルにおける) 詳細については、 「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
- ASSOCIATIONS
- これは、ユーザー ID アソシエーションの特性です。報告書には
次のアソシエーションが示されます。
- NODE.USERID
- これは、アソシエーションのある (関連した) ユーザーのノード (ローカルまたはリモート) およびユーザー ID です。
- PASSWORD SYNC
- これは、リストされたユーザーと関連したユーザーとの間でパスワードの同期化が 要求されたかどうかを示します。
- ASSOCIATION TYPE
- ここでは、アソシエーションのタイプ、ユーザー ID アソシエーションの状況、 またはその両方を記述します。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO SELECTED USERS FOUND
説明: SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、または REVOKE のいずれかの属性を持つユーザーは、システム・レベルまたはグループ・レベルで見つかりません。
S E L E C T E D U S E R A T T R I B U T E R E P O R T
USERID ----------------- ATTRIBUTE TYPE ------------------ ------------- ASSOCIATIONS -------------
SPECIAL OPERATIONS AUDITOR ROAUDIT REVOKE NODE.USERID PASSWORD ASSOCIATION
SYNC TYPE
------------------------------------------------------------------------------------------------------------
JPETUSR SYSTEM SYSTEM SYSTEM
選択されたユーザー属性の要約報告書
選択されたユーザー属性の要約報告書には、インストール・システムで定義されているユーザーの合計、およびシステム・レベルとグループ・レベルの両方で SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、および REVOKE の各属性を持つユーザーの合計が示されます。要約報告書を使用して、システム・レベルまたはグループ・レベルでそれぞれ特定の 属性を持つユーザーの数が、お客様システム環境に望ましい数であるかどうかを検査する ことができます。
列見出し
- TOTAL DEFINED USERS
- これは、インストール・システムで定義されているユーザーの数です。
- TOTAL SELECTED ATTRIBUTE USERS
- これは、システム・レベルとグループ・レベルの両方で、選択された各属 性 (SPECIAL、OPERATIONS、AUDITOR、ROAUDIT、および REVOKE) を持つユーザーの数を示します。
報告書メッセージ
この報告書の終わりにはメッセージは現れません。
S E L E C T E D U S E R A T T R I B U T E S U M M A R Y R E P O R T
---------------------------------------------------------------------------------------------------------
TOTAL DEFINED USERS: 1
TOTAL SELECTED ATTRIBUTE USERS:
ATTRIBUTE BASIS SPECIAL OPERATIONS AUDITOR ROAUDIT REVOKE
---------------- ------------- ------------- ------------- ------------- -------------
SYSTEM 1 1 1 0 0
GROUP 0 0 0 0 0
選択されたデータ・セットの報告書
選択されたデータ・セットの報告書には、1 つまたは複数 の RACF データベースを含め、DSMON が使用する選択基準の 1 つ または複数を満たす すべてのデータ・セットがリストされます。選択されたデータ・セットごとに、 その報告書は、そのデータ・セットがあ るボリュームの通し番号、選択基準、RACF 標識付きデータ・セット または RACF 保護データ・セットのどちらであるか、 およびそのデータ・セットの 汎用アクセス権限 (UACC) をそれぞれ示します。データ・セットまたは RACF データベースが複数の選択基準を満たしている場合には、 その基準ごとに別々の項目が示されます。
選択されたデータ・セットの報告書を使用して、システムおよび RACF デー タ・セットのうち、RACF によって保護されているものと、保護されていないも のを判別することができます。また、この報告書を調べて、 各データ・セットに関連付けられている UACC が、 インストール・システムのリソース・アクセス制御要件と互換性があるかどうかを 知ることもできます。
列見出し
- DATA SET NAME
- データ・セットの名前。
- VOLUME SERIAL
- これは、そのデータ・セットが置かれている直接アクセス・ボリュームの 通し番号です。カタログされていないデータ・セットの場合には、この欄はブランクになります。
- SELECTION CRITERION
- これは、報告書を作成するのに必要なデータ・セットを選択するのに使用された基準です。
以下の項目が現れることがあります。
- LNKLST
- そのデータ・セットは、この IPL を行う場合の LNKLIST 連結 (SYS1.LINKLIB、 および SYS1.PARMLIB の LNKLSTxx メンバーを使用して SYS1.LINKLIB に 連結されたデータ・セット) の一部です。
- APF
- そのデータ・セットが APF 許可ライブラリーであることを示します。
MVS によって使用される APF 許可ライブラリーのリスト形式およびリスト内容の 定義については、 「z/OS MVS 初期設定およびチューニング 解説書」を 参照してください。注:
- APF リスト定義に従って、APF 許可ライブラリーのリスト は FUNCTION ALL 制御ステートメント または FUNCTION SYSAPF 制御ステートメントで生成された、 選択されたデータ・セットの報告書では不完全な場合があります。APF 許可ライブラリーは、 SYS1.PARMLIB の IEAAPFxx または PROGxx メンバーに 含まれているか、または MVS SETPROG オペレーター・コマンドで 指定されている場合しか、 報告書に反映されません。APF 仕様のメンバーは、PARMLIB の任意のメンバーに含まれることもあれば、APF データ・セットを 動的に追加するコマンドで指定されるメンバーであることもあります。そのため、APF LIST で定義されていない LPA、MLPA、 および FLPA 許可ライブラリーは、 APF としてフラグされません。
- 次のオプションのどれかを実行すると、選択されたデータ・セットの報告書に APF 許可
ライブラリーをすべて含めることができます。
- SYS1.PARMLIB の 該当する IEAAPFxx または PROGxx メンバーで LPA、MLPA、 および FLPA ライブラリーをすべて定義する。この定義により、MVS はいつでもこれらの ライブラリーを APF 許可として認識できます。
- FUNCTION USRDSN 制御ステートメントおよび USEROPT USRDSN 制御ステートメント を使用し、APF リストに 定義されていない APF 許可ライブラリーを指定する。このオプションでは、 USRDSN は SELECTION CRITERION フィールドになります。
- APF 許可ライブラリーが LNKLIST 連結の一部である場合、 FUNCTION ALL または FUNCTION SYSLNK のいずれかを 指定する。この場合には、 SELECTION CRITERION フィールドには LNKLST-APF を含みます。
- LNKLST-APF
- そのデータ・セットは、リンク・リスト・データ・セットであり、APF 許可 ライブラリーでもあることを示し ます。
- MASTER CATALOG
- そのデータ・セットは、MVS マスター・カタログであることを示します。
- USER CATALOG
- そのデータ・セットは、ユーザー・カタログであることを示します。
- RACF PRIMARY
- そのデータ・セットは、RACF アクセス制御情報を持った基本 RACF データベース であることを示します。この情報には、ユーザー、グループ、データ・セット、 および一般リソース・プロファイルが含まれています。
- RACF BACKUP
- そのデータ・セットは、バックアップまたはリカバリー RACF データベースであることを示します。
- SYSTEM
- そのデータ・セットは、次のいずれかのシステム・データ・セットである
ことを示して
います。
- SYS1.CMDLIB
- SYS1.LINKLIB
- SYS1.LPALIB
- SYS1.NUCLEUS
- SYS1.PARMLIB
- SYS1.PROCLIB
- SYS1.SVCLIB
- SYS1.UADS
- USRDSN
- USEROPT 制御ステートメントに指定されたユーザー・データ・セット です。
- RACF INDICATED
- そのデータ・セットが RACF 標識付きデータ・セットであるかどうかを示します。
以下の項目が現れることがあります。- YES
- そのデータ・セットの RACF 標識がオンであることを示しています。
- NO
- そのデータ・セットの RACF 標識がオフであることを示しています。RACF は 個別プロファイルをチェックしません。
- N.C.
- そのデータ・セットは、マスター・カタログにリスト (カタログ) されて いないことを示します。
- N.M.
- そのデータ・セットが 置かれている DASD ボリュームはマウントされてい ないか、動的に削除されたことを示します。
- N.F.
- DSMON が、指定されたボリュームにデータ・セットを見つけることができないことを示します。APF データ・セットの場合、 これはセキュリティー上の問題を示している可能性があり、 調査や訂正が必要です。
- RACF PROTECTED
- そのデータ・セットに RACF プロファイルがあるかどうかを示します。以下の項目が現れることがあります。
- YES
- そのデータ・セットが、個別または総称プロファイルを持っていることを示しています。その データ・セットの RACF 標識がオフであれば、このデータ・セットは 総称プロファイルによって保護されます。
- NO
- そのデータ・セットに関するプロファイルがないことを示しています。そのデータ・セットは、
RACF によっていずれの方法でも保護されていません。注:
- データ・セットの RACF 標識がオンであるのに、そのデータ・セットに プロファイルがない場合、エラー条件が存在し ます。その条件が訂正されるまで、そのデータ・セットにアクセスすることはできません。
- WARNING がセットされているデータ・セット・プロファイルの場合、 RACF は警告メッセージを出しますが、そのデータ・セットへのアクセスは許可します。したがって、 そのデータ・セットに RACF プロファイルがあり、報告書に RACF 保護 (YES) として示されますが、 そのデータ・セットにアクセスすることができるので、実際には保護されていません。WARNING が セットされているかどうか調べるために、データ・セット・プロファイルの 内容をリストすることができます (LISTDSD コマンドを使用する)。
- UACC
- そのデータ・セットの
汎用アクセス権限 (UACC) (定義されている場合) です。
UACC は、
デフォルトのアクセス権限であり、そのデータ・セットの RACF プロファイル
のアクセス・リストに含まれていないユーザーまたはグループが、そのデータ・セット
にアクセスできる方法を指定します。注: UACC は、そのデータ・セットにアクセスするのにユーザーが持っている実際のアクセス権限を、必ずしも示すとは限りません。データ・セットに個別プロファイルがある場合、 グローバル・アクセス検査表内には そのデータ・セットに該当する項目が含まれていたり、 ユーザーがそのアクセス・リストに含まれていたりすることがあります。次の汎用アクセス権限があります。
- ALTER
- 個別プロファイルによって保護されているデータ・セットの場合に、ALTER を使用すると、 すべてのユーザーがそのデータ・セットの読み取り、更新、または削除を行うことができることを示します。
- CONTROL
- VSAM (仮想記憶アクセス方式) データ・セットの場合、CONTROL は VSAM CONTROL パ
スワードによって与えられる権限と同じ権限をすべてのユーザーに与えます。
つまり、制御インターバル・アクセス (個々の VSAM データ・ブロックへのア
クセス) を行う権限、および指定されたデータ・セット内のレコードの検索、
更新、挿入、または削除を行う権限を与えます。
非 VSAM データ・セットの場合、CONTROL は UPDATE と同じです。
- UPDATE
- すべてのユーザーは、データ・セットの読み取りや更新ができます。ただし、UPDATE は ユーザーのデータ・セットの削除を許可しません。
- READ
- すべてのユーザーは、読み取りまたはコピーを目的としてのみ、そのデータ・セットにアクセスすることができます。
- NONE
- ユーザーは、そのデータ・セットにアクセスすることができません。
報告書メッセージ
報告書の列見出しの下に、次のメッセージが現れることがあります。
NO SELECTED DATA SETS FOUND
説明: DSMON は基準を満たしているデータ・セットを見つけませんでした。
S E L E C T E D D A T A S E T S R E P O R T
VOLUME SELECTION RACF RACF
DATA SET NAME SERIAL CRITERION INDICATED PROTECTED UACC
-------------------------------------------------------------------------------------------------------------
CATALOG.AOCSMP.USERCAT D94HV2 USER CATALOG N.M. YES UPDATE
CATALOG.CICSCAT D83CL2 USER CATALOG NO YES NONE
CATALOG.CICSDCT D83HW1 USER CATALOG NO YES NONE
CATALOG.CMNA00 CMNA00 USER CATALOG N.M. YES NONE
CICS.CURRENT.SDFHAUTH DB2LD1 APF NO YES NONE
CICS.CURRENT.SDFHEXCI DB2LD1 APF NO YES READ
CICS.CURRENT.SEYUAUTH DB2LD1 APF NO YES NONE
CICS.NEW.SDFHAUTH DB2LD1 APF NO YES NONE
CICSCAT.USERCAT CIC330 USER CATALOG N.M.
DB1L.SDSNEXIT SMS066 APF NO YES READ
DB2.DB2L.DB2PM.SDGOLOAD DB2LS2 APF NO YES READ
DB2.DB2M.DB2PM.SDGOLOAD DB2S01 APF NO YES READ
DB2.LOCAL.LOADLIB DB2LS0 APF NO YES READ
DB2.USER.CATALOG DB2PRD USER CATALOG NO YES NONE
DB2L.DSNEXIT DB2LS1 APF NO YES READ
DB2M.DSNEXIT DB2MS0 APF NO YES READ
LINKLIST.DB2L.DSNLINK DB2LS1 APF NO YES READ
LNKLST - APF
LINKLIST.DB2L.DSNLOAD DB2LS1 APF NO YES READ
LNKLST - APF
LINKLIST.DB2M.DSNLINK DB2MS0 APF NO YES READ
LNKLST - APF
LINKLIST.DB2M.DSNLOAD DB2MS0 APF NO YES READ
LNKLST - APF
LINKLIST.DB2PM.SDGOLINK DB2MS0 APF NO YES READ
NCP1.SSPLIB TPPAK2 APF NO YES READ
NETVIEW.NETVIEW.USERLNK TPPAK5 APF NO YES NONE
NETWORK.ANOMVS.USERLNK TPPAK5 APF NO YES READ
POSIX.CBC.OSV1R2M0.USERCAT BPXRTL USER CATALOG NO YES NONE
SYS1.ACCOUNT PPP002 APF YES YES NONE
LNKLST - APF
SYS1.AUTHLIB PPP002 APF YES YES READ
LNKLST - APF
SYS1.CEE.SCEELKED PRIPK3 APF NO YES READ
SYS1.CEE.SCEERUN PRIPK3 APF NO YES READ
LNKLST - APF
SYS1.CICS410.LINKLIB DB2LD1 APF NO YES NONE
LNKLST - APF
SYS1.CICS410.LPALIB DB2LD1 APF NO YES NONE
SYS1.CMDLIB PRIPK3 APF NO YES READ
LNKLST - APF
SYSTEM