データセット

TACFでは、登録されたすべてのリソースを効率よく管理するため、データセット(Data Sets)と一般リソース(General resources、以下、リソース)に区別して管理しています。また、データセットはデータセット・プロファイル形式で、リソースはリソース・プロファイル形式で管理されます。

本章では、データセットの設定方法と使用方法について説明します。

1. 概要

事前に登録されているデータセットの権限レベルに従って、特定のデータセットにアクセスしようとするユーザーからデータセットを保護するために、データセット・プロファイルを登録する必要があります。

以下は、TACFでサポートするデータセット・プロファイルについての説明します。

個別データセット・プロファイル(Discrete data set profile)

1つの特定のデータセットを一意のプロファイルとして管理します。

個別のプロファイルは、対応するデータセット名と一致します。個別プロファイルを使用してデータセットを管理すると、各データセットを個別のプロファイルでより細かく管理できるメリットがありますが、多くのプロファイルを管理しなければならないデメリットも存在します。
一般データセット・プロファイル(Generic data set profile)

類似した名前形式とアクセス権限を持つ複数のデータセットを1つのプロファイルとして管理します。

たとえば、最初の修飾子がTMAXで始まるすべてのデータセットに同じユーザーのアクセスが許可されている場合、データセットに対してそれぞれのプロファイルを登録せずに、「TMAX.**」という1つのプロファイルを登録してデータセットを管理することができます。一般プロファイルは、個別プロファイルのように各プロファイルを細かく管理することはできませんが、複数のデータセットを1つのプロファイルとして管理できるというメリットがあります。

1.1. 個別データセット・プロファイル

個別データセット・プロファイルを登録する前に、データセットに対してすべてのユーザーに同じアクセス権限を適用するか、あるいはユーザーごとにアクセスを制御するかを決める必要があります。データセット・プロファイルに対してすべてのユーザーに同じ権限を適用できるアクセス権限レベルのUACC(Universal Access Authority)を指定して、データセットへの権限レベルを設定することができます。

また、ユーザーごとに権限リストを登録して、同じデータセットに対してユーザーごとにアクセス権限を設定することができます。この方法は、データセットごとにユーザー権限プロファイルを管理しなければならないデメリットがあります。新しいプロファイルは、tacfmgrのADDSD(AD)コマンドを使用して登録できます。カタログ化されていないデータセットは、ADDSDのGENERICオプションを指定することをお勧めします。

プロファイル内のUACCは、すべてのユーザーに同じく適用される権限レベルです。そのため、ユーザーごとにアクセス権限を設定する必要がある場合は、UACCは適切ではありません。
AADDSDコマンドの詳細については、TACFコマンド、カタログの詳細についてのは、OpenFrame Base『データセットガイド』を参照してください。

1.2. 一般データセット・プロファイル

一般データセット・プロファイルを登録する前に、プロファイル名を登録するための形式を決める必要があります。

一般データセット・プロファイルでは、特殊文字の「％」と「*」を使用することができます。特殊文字の意味と例は以下のとおりです。

特殊文字	意味	使用方法
%	同じ場所に存在する1つの同じ文字とマッチされます。	ABC.%EF (有効) A%BC.EF (無効)
*	1つの修飾子または1つ以上の文字とマッチされます。ただし、最初の修飾子には使用できません。	ABC.DE* (有効) ABC.DE.* (有効) ABC..DE (有効) ABC.DE.FG (有効) .ABC.DE (無効) ABC.DE (無効)
**	0または1つ以上の修飾子とマッチされます。ただし、最初の修飾子には使用できません。	ABC. (有効) .ABC.DE (無効)

特殊文字

意味

使用方法

同じ場所に存在する1つの同じ文字とマッチされます。

ABC.%EF (有効)

A%BC.EF (無効)

1つの修飾子または1つ以上の文字とマッチされます。ただし、最初の修飾子には使用できません。

ABC.DE* (有効)

ABC.DE.* (有効)

ABC.*.DE (有効)

ABC.DE*.FG (有効)

*.ABC.DE (無効)

ABC*.DE (無効)

0または1つ以上の修飾子とマッチされます。ただし、最初の修飾子には使用できません。

ABC.** (有効)

**.ABC.DE (無効)

以下は、一般データセット・プロファイルのマッチング例です。

プロファイル名	マッチする	マッチしない
ABC.%EF	ABC.DEF ABC.XEF	ABC.DEFGHI ABC.DEF.GHI ABC.DDEF
AB.CD*	AB.CD AB.CDEF	AB.CD.EF AB.CD.EF.GH AB.CD.XY ABC.DEF
AB.CD.*	AB.CD.EF AB.CD.XY	AB.CD AB.CDEF AB.CD.EF.GH ABC.DEF
AB.*.CD	AB.CD.CD AB.XY.CD	AB.CD AB.CD.EF AB.CDEF ABC.DEF ABC.XY.CD ABC.XY.XY.CD
AB.CD*.EF	AB.CD.EF AB.CDEF.EF	AB.CD.XY.EF AB.CD.EF.GH
AB.CD.**	AB.CD AB.CD.EF AB.CD.EF.GH AB.CD.XY	AB.CDEF AB.CDE.FG ABC.DEF
AB.**.CD	AB.CD AB.XY.CD AB.X.Y.CD	AB.CD.EF AB.CDEF AB.XY.CD.EF ABC.DEF ABX.YCD
AB.CD.*	AB.CD AB.CD.EF AB.CDEF AB.CDEF.GH AB.CD.EF.GH AB.CD.XY	ABC.DEF AB.C.DEF
AB.CD..*	AB.CD.EF AB.CD.EF.GH AB.CD.EF.GH.IJ	AB.CD AB.CDEF AB.CDEF.GH ABC.DEF ABC.X.Y.EF

プロファイル名

マッチする

マッチしない

ABC.%EF

ABC.DEF

ABC.XEF

ABC.DEFGHI

ABC.DEF.GHI

ABC.DDEF

AB.CD*

AB.CD

AB.CDEF

AB.CD.EF

AB.CD.EF.GH

AB.CD.XY

ABC.DEF

AB.CD.*

AB.CD.EF

AB.CD.XY

AB.CD

AB.CDEF

AB.CD.EF.GH

ABC.DEF

AB.*.CD

AB.CD.CD

AB.XY.CD

AB.CD

AB.CD.EF

AB.CDEF

ABC.DEF

ABC.XY.CD

ABC.XY.XY.CD

AB.CD*.EF

AB.CD.EF

AB.CDEF.EF

AB.CD.XY.EF

AB.CD.EF.GH

AB.CD.**

AB.CD

AB.CD.EF

AB.CD.EF.GH

AB.CD.XY

AB.CDEF

AB.CDE.FG

ABC.DEF

AB.**.CD

AB.CD

AB.XY.CD

AB.X.Y.CD

AB.CD.EF

AB.CDEF

AB.XY.CD.EF

ABC.DEF

ABX.YCD

AB.CD*.**

AB.CD

AB.CD.EF

AB.CDEF

AB.CDEF.GH

AB.CD.EF.GH

AB.CD.XY

ABC.DEF

AB.C.DEF

AB.CD.*.**

AB.CD.EF

AB.CD.EF.GH

AB.CD.EF.GH.IJ

AB.CD

AB.CDEF

AB.CDEF.GH

ABC.DEF

ABC.X.Y.EF

2. データセットの権限設定

TACFでは、2つの方法でデータセットの権限を設定することができます。

個別データセット・プロファイルを作成する際にUACCを指定する方法

すべてのユーザーに同じアクセス権限を付与するように設定します。
アクセス・リストを使用して各ユーザーごとに権限を設定する方法

データセットを使用するユーザーまたはグループを指定し、そのデータセットを使用する曜日と時間を指定した後、PERMITコマンドを使用して登録します。

以下は、データセットまたはリソースに設定できる権限レベルです。

権限レベル	説明
NONE	いかなるユーザーもデータセットまたはリソースにアクセスできません。
EXECUTE	データセットまたはリソースに対してLOADとEXECUTEが可能です。
READ	読み込み専用でのみアクセスできます。データセットへのCOPYまたはPRINT権限はありません。
UPDATE	READ、COPY、WRITEが可能です。データセットへのDELETE、MOVE、SCRATCH権限はありません。
CONTROL	VSAMデータセットに対して制御インターバル・アクセスが可能であり、データセット・レコードへのRETRIEVE、UPDATE、INSERT、DELETEができます。非VSAMに対しては、UPDATEと同じアクセス権限を持ちます。現在のTACFバージョンではサポートされません。
ALTER	データセットへのREAD、UPDATE、DELETE、RENAME、MOVEが可能です。

権限レベル

説明

NONE

いかなるユーザーもデータセットまたはリソースにアクセスできません。

EXECUTE

データセットまたはリソースに対してLOADとEXECUTEが可能です。

READ

読み込み専用でのみアクセスできます。データセットへのCOPYまたはPRINT権限はありません。

UPDATE

READ、COPY、WRITEが可能です。データセットへのDELETE、MOVE、SCRATCH権限はありません。

CONTROL

VSAMデータセットに対して制御インターバル・アクセスが可能であり、データセット・レコードへのRETRIEVE、UPDATE、INSERT、DELETEができます。

非VSAMに対しては、UPDATEと同じアクセス権限を持ちます。

現在のTACFバージョンではサポートされません。

ALTER

データセットへのREAD、UPDATE、DELETE、RENAME、MOVEが可能です。

NONE < EXECUTE < READ < UPDATE < CONTROL < ALTERの順に右に進むほど上位権限です。上位権限は下位権限を含みます。

3. データセット・プロファイル

新しいデータセットを登録するとデータセット・プロファイルが作成され、データセットを登録する際に指定した情報がプロファイルの各フィールドに保存されます。データセットの登録時には、プロファイル名(PROFILENAME)とボリューム(VOLUME)を必ず指定してください。ボリュームを指定しない場合は、カタログからプロファイル名を使用して検索し、該当するデータセットとマッチするボリューム情報を見つけて保存します。その他のフィールドは、ユーザーが定義した設定値によって自動的に設定されます。

以下は、データセット・プロファイルに保存されるデータセットの情報です。

フィールド	説明
PROFILENAME	TACFで保護されるデータセット名を設定します。(必須項目) プロファイル名には、英文字、数字、特殊文字(％、、、**)を使用できます。英文字、数字、特殊文字が含まれたプロファイルを一般プロファイルといいます。
VOLUME	登録するデータセットが存在するボリューム・シリアルを設定します。入力必須項目です。入力しない場合、登録するデータセットが個別データセット・プロファイルならカタログでプロファイル名を使って検索を行い、該当するデータセットとマッチするボリューム情報を見つけて保存します。一方、一般データセット・プロファイルであれば「GNRC」、GDGの場合は「GDG」に設定されます。
DTYPE	データセット・プロファイルのタイプを指定します。 D : 個別プロファイルです。(デフォルト値) G : 一般プロファイルです。 M: モデル・プロファイルです。 T : テープ・データセット・プロファイルです。
OWNER	データセット・プロファイルの所有者のユーザーIDまたはグループ名を設定します。データセットの所有者はプロファイルを変更または削除することができます。また、データセット・プロファイルの所有者には、データセットにアクセスできる権限が付与されます。指定しない場合は、登録者のIDが設定されます。
NOTIFY	データセットへのアクセス拒否を通知するユーザーIDを設定します。
UACC	データセットへの一般アクセス権限(Universal Access Authority)を設定します。指定しない場合は、NONEに設定されます。アクセス権限の詳細については、権限レベルを参照して下さい。
AUDT	データセットにアクセスする際の監査レベルを設定します。以下は、監査レベルについての説明です。 READ FAILURE : データセットのREADに失敗した場合にログを記録します。 UPDATE FAILURE : データセットのUPDATE、READ、WRITE、COPYに失敗した場合にログを記録します。 ALTER FAILURE : データセットのREAD、UPDATE、DELETE、RENAME、MOVE、SCRATCHに失敗した場合にログを記録します。 READ SUCCESS : データセットのREADに成功した場合にログを記録します。 UPDATE SUCCESS : データセットのUPDATE、READ、WRITE、COPYに成功した場合にログを記録します。 ALTER SUCCESS : データセットへのREAD、UPDATE、DELETE、RENAME、MOVE、SCRATCHに成功した場合にログを記録します。現在のTACFでは、データセットの監査ログ(Audit Log)のCONTROL FAILUREに対しては、エラーを防ぐために構文のみサポートしています。

フィールド

説明

PROFILENAME

TACFで保護されるデータセット名を設定します。(必須項目)

プロファイル名には、英文字、数字、特殊文字(％、*、**、***)を使用できます。英文字、数字、特殊文字が含まれたプロファイルを一般プロファイルといいます。

VOLUME

登録するデータセットが存在するボリューム・シリアルを設定します。入力必須項目です。

入力しない場合、登録するデータセットが個別データセット・プロファイルならカタログでプロファイル名を使って検索を行い、該当するデータセットとマッチするボリューム情報を見つけて保存します。一方、一般データセット・プロファイルであれば「GNRC」、GDGの場合は「GDG」に設定されます。

DTYPE

データセット・プロファイルのタイプを指定します。

D : 個別プロファイルです。(デフォルト値)
G : 一般プロファイルです。
M: モデル・プロファイルです。
T : テープ・データセット・プロファイルです。

OWNER

データセット・プロファイルの所有者のユーザーIDまたはグループ名を設定します。

データセットの所有者はプロファイルを変更または削除することができます。また、データセット・プロファイルの所有者には、データセットにアクセスできる権限が付与されます。指定しない場合は、登録者のIDが設定されます。

NOTIFY

データセットへのアクセス拒否を通知するユーザーIDを設定します。

UACC

データセットへの一般アクセス権限(Universal Access Authority)を設定します。

指定しない場合は、NONEに設定されます。アクセス権限の詳細については、権限レベルを参照して下さい。

AUDT

データセットにアクセスする際の監査レベルを設定します。

以下は、監査レベルについての説明です。

READ FAILURE : データセットのREADに失敗した場合にログを記録します。
UPDATE FAILURE : データセットのUPDATE、READ、WRITE、COPYに失敗した場合にログを記録します。
ALTER FAILURE : データセットのREAD、UPDATE、DELETE、RENAME、MOVE、SCRATCHに失敗した場合にログを記録します。
READ SUCCESS : データセットのREADに成功した場合にログを記録します。
UPDATE SUCCESS : データセットのUPDATE、READ、WRITE、COPYに成功した場合にログを記録します。
ALTER SUCCESS : データセットへのREAD、UPDATE、DELETE、RENAME、MOVE、SCRATCHに成功した場合にログを記録します。

現在のTACFでは、データセットの監査ログ(Audit Log)のCONTROL FAILUREに対しては、エラーを防ぐために構文のみサポートしています。

現在のTACFでは、データセット・プロファイルのCATEGORY、SECLEVEL、SECLABEL、DATA、FLAGS、LTMODDフフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。