システム・データ・セットのセキュリティー
このトピックには、システム・データ・セットの UACC 値を定義するガイドラインが含まれています。
多くのシステム・データ・セットに割り当てる必要がある UACC 値を表 1 にリストします。 ただし、インストール先のセキュリティー・ポリシー上、UACC に NONE を要求するデータ・セットが ある場合があることに注意してください。例えば、セキュリティー管理者は、マクロ・ライブラリーを使用するプログラムを アセンブルまたはコンパイルする必要があるプログラマーに対して READ アクセス権を与える場合は、それらのライブラリーに関して UACC(NONE) を指定できます。システム・データ・セットの詳細については、DASD システム・データ・セットの保護を参照し てください。
マルチレベル・セキュア・システム上のシステム・データ・セットを割り当てるためのセキュリティー・ラベルのガイドラインについては、「z/OS マルチレベル・セキュリティーの計画および Common Criteria」を参照してください。
ADDSD 'SYS1.*' UACC(NONE) SECLABEL(SYSHIGH)SYS1.* プロファイルに NONE の UACC を指定すると、新しいプロダクトに よってシステムに追加されるシステム・データ・セットがすべて保護されます。新しいシステム・データ・セットに、NONE または SYSLOW の SECLABEL より 高位の UACC が必要な場合は、それらに関してより特定のプロファイルを作成 してください。
さらに、表 1 の情報を用いて、特定のデータ・セット (ま たは SYS1.DUMPxx データ・セットなどのデータ・セットのグループ) に関して、特定のプロファイルを作成するようにしてください。
READ またはそれより高位の UACC で示されたデータ・セットには、グローバル・アクセス検査テーブル項目を作成することを検討する必要があります。詳しくは、グローバル・アクセス検査テーブルの設定を参照してください。
次の表で NONE より高い UACC を持つシステム・データ・セットに関しては、UACC(NONE) を指定して、ID(*) ACCESS (アクセス権限) のア クセス・リスト項目を作成することもできます。この項目により、 RACF® に対して定義されていないユーザーは、 そのデータ・セットにアクセスできなくなります。
制限されたユーザーは、RESTRICTED 属性で定義され、多くのユーザーが共用できるユーザー ID を使用してシステムにログインします。制限されたユーザーは、グローバル許可検査テーブル、UACC、またはアクセス・リストの ID(*) 項目を使用して保護リソースにアクセスすることを禁止されています。RESTRICTED 属性で定義されているユーザー ID は、アクセスが必要なすべての保護リソースのアクセス・リスト上で、十分な権限によって特別に許可される必要があります。 このために、制限されたユーザーが、表 1 で READ または それ以上の UACC でリストされているデータ・セットへアクセス可能にするには 、RESTRICTED 属性を持つ各ユーザー ID に対して、UACC 値で示されるレベルの アクセスを特別に許可する必要があります。
| データ・セット | UACC | 注釈 |
|---|---|---|
| APF ライブラリー | NONE | 許可プログラム機能ライブラリー |
| チェックポイント・データ・セット | NONE | |
| 配布ライブラリー・データ・セット | NONE | |
| ISPF パネル・ライブラリー | READ | パネル定義、スケルトン、CLIST など。アクセスを制限しなければならない場合は、UACC(NONE) を指定する。 |
| JES2 オフロード・データ・セット | NONE | |
| ロード・ライブラリー | READ | |
| マスター・カタログ | READ | |
| ページ・データ・セット | NONE | PLPA、共通データ・セット、ローカル・ページ・データ・セットを含む。z/OS MVS 初期設定およびチューニング ガイド を参照してください。 |
| PSF 保護フォント・データ・セット | NONE | |
| PSF 保護オーバーレイ・データ・セット | NONE | |
| PSF 保護ページ・セグメント・データ・セット | NONE | |
| RMF™ データ・セット | NONE | VSAM データ・セット |
| セキュリティー定義データ・セット | NONE | |
| SMP データ・セット | NONE | |
| スワップ・データ・セット | NONE | |
| SYS1.AMACLIB | READ | |
| SYS1.AMODGEN | READ | |
| SYS1.ASAMPLIB | READ | |
| SYS1.BRODCAST | READ | |
| SYS1.CMDLIB | READ | |
| SYS1.DAE | NONE | |
| SYS1.DUMPxx | NONE | z/OS MVS 初期設定およびチューニング 解説書 を参照してください。 |
| SYS1.HELP | READ | TSO オンライン・ヘルプ |
| SYS1.IMAGELIB | NONE | |
| SYS1.JESPARM | NONE | |
| SYS1.JES3LIB | READ | |
| SYS1.LINKLIB | READ | |
| SYS1.LOGREC | NONE | |
| SYS1.LPALIB | READ | インストール・システムのセキュリティー・ポリシーに応じて、UACC は NONE または READ になる。 |
| SYS1.MACLIB | READ | |
| SYS1.MANx | NONE | SMF データ・セット。z/OS MVS 初期設定およびチューニング 解説書 を参照してください。 |
| SYS1.MIGLIB | READ | |
| SYS1.MODGEN | READ | |
| SYS1.NUCLEUS | READ | |
| SYS1.OVERLIB | READ | |
| SYS1.PARMLIB | READ | パスワード、または TSOKEYxx メンバー内の ACBPW パスワードなどの他の機密情報を含む メンバーがある場合、UACC は NONE でなければならない。 |
| SYS1.PROCLIB | READ | |
| SYS1.RACF | NONE | アクティブおよびバックアップ RACF データベース、 IRRUT400 ユーティリティーで作成される分割データ・セット、およびアーカイブ・コピーからなるデータ・セットを 含む。ご使用のインストール・システムでは異なるデータ・セット名を使用できる。 |
| SYS1.SAMPLIB | READ | |
| SYS1.SAXREXEC | READ | REXXLIB 連結で定義されている System REXX ライブラリー、または任意のライブラリー。 インストール・システムのセキュリティー・ポリシーに応じて、UACC は NONE または READ になる。 |
| SYS1.SIEALNKE | READ | |
| SYS1.SIEAMIGE | READ | |
| SYS1.SIEASID | READ | |
| SYS1.STGINDEX | NONE | |
| SYS1.SVCLIB | NONE | |
| SYS1.TELCMLIB | READ | |
| SYS1.UADS | NONE | |
| SYS1.VTOCIX… | NONE | |
| SYS1.VVDS… | NONE | |
| SYS1.VTAMLIB | READ | |
| SYS1.VTAMLST | NONE | |
| トレース・データ・セット | NONE | |
| ユーザー・カタログ | UPDATE | |
| ユーザー・ダンプ・データ・セット | NONE |