BASIC または ENHANCED モードでの SERVAUTH リソースへのプログラム・アクセス

ユーザーが IP アドレスにアクセスできるのは、SERVAUTH クラス・リソースを使用してネットワーク・セキュリティー・ゾーン (IP アドレスを含む) の名前を保護する場合に、特定のプログラムを実行するときのみです。 例えば、ネットワーク・セキュリティー・ゾーンへのアクセスを制御する場合、ping および traceroute コマンドを使用するときのみ、ネットワーク管理者が特定のゾーンにアクセスすることを許可できます。 ネットワーク・セキュリティー・ゾーンへのアクセスを制御するための SERVAUTH リソースの使用について詳しくは、 z/OS Communications Server: IP 構成ガイドを参照してください。

SERVAUTH リソース (ネットワーク・セキュリティー・ゾーンを表す) のプログラム制御をセットアップするには、UACC(NONE) を指定する SERVAUTH クラス内にプロファイルを作成するかまたは ID(*) ACCESS(NONE) を指定して、一般ユーザーがアクセスしないようにします。 その後、PERMIT コマンドで ID および ACCESS オペランドを指定して WHEN(PROGRAM(program-name)) を使用し、特定のユーザーを許可します。

: 
RDEFINE SERVAUTH resource-name UACC(NONE) 
PERMIT resource-name CLASS(SERVAUTH) ID(user or group or *) ACCESS(READ) 
   WHEN(PROGRAM(program-name))
この例は、指定されたプログラムまたはコマンドを実行する場合のみ、SERVAUTH リソースで保護されたネットワーク・セキュリティー・ゾーンへのアクセスを指定されたユーザーまたはグループに許可します。
ENHANCED プログラム・セキュリティー・モードでの SERVAUTH リソースへのプログラム・アクセスは、BASIC プログラム・セキュリティー・モードの場合と同じように動作しますが、1 つだけ例外があります。 ENHANCED プログラム・セキュリティー・モードで SERVAUTH リソースにプログラム・アクセスすることを RACF® が許可するのは、以下の条件のいずれかか満足される場合だけです。
  • 現行プログラム環境を設定したプログラムに、MAIN 属性が指定されている
  • 現行プログラムまたは現行タスクまたは親 MVS™ タスクで実行された最初のプログラムに BASIC 属性があります。
注: MAIN プログラムを検査するために、この環境は、ジョブ・ステップで実行された初期プログラム、または TSOEXEC または IKJEFTSR サービスによって実行された初期プログラム、または exec()したか spawn()した ( 非ローカル・ケースのみ) 初期 UNIX プログラムによって、 設立した と見なされます。

データ・セットに対するプログラム・アクセスの場合のように、SERVAUTH リソースへのプログラム・アクセスを制御するには、クリーンな環境を維持する必要があります。 ( 詳しくは、BASIC または ENHANCED モードでの クリーンな環境の保守を参照してください。 ) データ・セットに対するプログラム・アクセスとは異なり、PADCHK/NOPADCHK オペランドは意味がなく、無視されます。