データセット
TACFでは、登録されたすべてのリソースを効率よく管理するため、データセット(Data Sets)と一般リソース(General resources、以下、リソース)に区別して管理しています。また、データセットはデータセット・プロファイル形式で、リソースはリソース・プロファイル形式で管理されます。
本章では、データセットの設定方法と使用方法について説明します。
1. 概要
事前に登録されているデータセットの権限レベルに従って、特定のデータセットにアクセスしようとするユーザーからデータセットを保護するために、データセット・プロファイルを登録する必要があります。
以下は、TACFでサポートするデータセット・プロファイルについての説明します。
-
個別データセット・プロファイル(Discrete data set profile)
1つの特定のデータセットを一意のプロファイルとして管理します。
個別のプロファイルは、対応するデータセット名と一致します。個別プロファイルを使用してデータセットを管理すると、各データセットを個別のプロファイルでより細かく管理できるメリットがありますが、多くのプロファイルを管理しなければならないデメリットも存在します。
-
一般データセット・プロファイル(Generic data set profile)
類似した名前形式とアクセス権限を持つ複数のデータセットを1つのプロファイルとして管理します。
たとえば、最初の修飾子がTMAXで始まるすべてのデータセットに同じユーザーのアクセスが許可されている場合、データセットに対してそれぞれのプロファイルを登録せずに、「TMAX.**」という1つのプロファイルを登録してデータセットを管理することができます。一般プロファイルは、個別プロファイルのように各プロファイルを細かく管理することはできませんが、複数のデータセットを1つのプロファイルとして管理できるというメリットがあります。
1.1. 個別データセット・プロファイル
個別データセット・プロファイルを登録する前に、データセットに対してすべてのユーザーに同じアクセス権限を適用するか、あるいはユーザーごとにアクセスを制御するかを決める必要があります。データセット・プロファイルに対してすべてのユーザーに同じ権限を適用できるアクセス権限レベルのUACC(Universal Access Authority)を指定して、データセットへの権限レベルを設定することができます。
また、ユーザーごとに権限リストを登録して、同じデータセットに対してユーザーごとにアクセス権限を設定することができます。この方法は、データセットごとにユーザー権限プロファイルを管理しなければならないデメリットがあります。新しいプロファイルは、tacfmgrのADDSD(AD)コマンドを使用して登録できます。カタログ化されていないデータセットは、ADDSDのGENERICオプションを指定することをお勧めします。
|
1.2. 一般データセット・プロファイル
一般データセット・プロファイルを登録する前に、プロファイル名を登録するための形式を決める必要があります。
一般データセット・プロファイルでは、特殊文字の「%」と「*」を使用することができます。特殊文字の意味と例は以下のとおりです。
特殊文字 | 意味 | 使用方法 |
---|---|---|
% |
同じ場所に存在する1つの同じ文字とマッチされます。 |
ABC.%EF (有効) A%BC.EF (無効) |
* |
1つの修飾子または1つ以上の文字とマッチされます。ただし、最初の修飾子には使用できません。 |
ABC.DE* (有効) ABC.DE.* (有効) ABC.*.DE (有効) ABC.DE*.FG (有効) *.ABC.DE (無効) ABC*.DE (無効) |
** |
0または1つ以上の修飾子とマッチされます。ただし、最初の修飾子には使用できません。 |
ABC.** (有効) **.ABC.DE (無効) |
以下は、一般データセット・プロファイルのマッチング例です。
プロファイル名 | マッチする | マッチしない |
---|---|---|
ABC.%EF |
ABC.DEF ABC.XEF |
ABC.DEFGHI ABC.DEF.GHI ABC.DDEF |
AB.CD* |
AB.CD AB.CDEF |
AB.CD.EF AB.CD.EF.GH AB.CD.XY ABC.DEF |
AB.CD.* |
AB.CD.EF AB.CD.XY |
AB.CD AB.CDEF AB.CD.EF.GH ABC.DEF |
AB.*.CD |
AB.CD.CD AB.XY.CD |
AB.CD AB.CD.EF AB.CDEF ABC.DEF ABC.XY.CD ABC.XY.XY.CD |
AB.CD*.EF |
AB.CD.EF AB.CDEF.EF |
AB.CD.XY.EF AB.CD.EF.GH |
AB.CD.** |
AB.CD AB.CD.EF AB.CD.EF.GH AB.CD.XY |
AB.CDEF AB.CDE.FG ABC.DEF |
AB.**.CD |
AB.CD AB.XY.CD AB.X.Y.CD |
AB.CD.EF AB.CDEF AB.XY.CD.EF ABC.DEF ABX.YCD |
AB.CD*.** |
AB.CD AB.CD.EF AB.CDEF AB.CDEF.GH AB.CD.EF.GH AB.CD.XY |
ABC.DEF AB.C.DEF |
AB.CD.*.** |
AB.CD.EF AB.CD.EF.GH AB.CD.EF.GH.IJ |
AB.CD AB.CDEF AB.CDEF.GH ABC.DEF ABC.X.Y.EF |
2. データセットの権限設定
TACFでは、2つの方法でデータセットの権限を設定することができます。
-
個別データセット・プロファイルを作成する際にUACCを指定する方法
すべてのユーザーに同じアクセス権限を付与するように設定します。
-
アクセス・リストを使用して各ユーザーごとに権限を設定する方法
データセットを使用するユーザーまたはグループを指定し、そのデータセットを使用する曜日と時間を指定した後、PERMITコマンドを使用して登録します。
以下は、データセットまたはリソースに設定できる権限レベルです。
権限レベル | 説明 |
---|---|
NONE |
いかなるユーザーもデータセットまたはリソースにアクセスできません。 |
EXECUTE |
データセットまたはリソースに対してLOADとEXECUTEが可能です。 |
READ |
読み込み専用でのみアクセスできます。データセットへのCOPYまたはPRINT権限はありません。 |
UPDATE |
READ、COPY、WRITEが可能です。データセットへのDELETE、MOVE、SCRATCH権限はありません。 |
CONTROL |
VSAMデータセットに対して制御インターバル・アクセスが可能であり、データセット・レコードへのRETRIEVE、UPDATE、INSERT、DELETEができます。 非VSAMに対しては、UPDATEと同じアクセス権限を持ちます。 現在のTACFバージョンではサポートされません。 |
ALTER |
データセットへのREAD、UPDATE、DELETE、RENAME、MOVEが可能です。 |
NONE < EXECUTE < READ < UPDATE < CONTROL < ALTERの順に右に進むほど上位権限です。上位権限は下位権限を含みます。 |
3. データセット・プロファイル
新しいデータセットを登録するとデータセット・プロファイルが作成され、データセットを登録する際に指定した情報がプロファイルの各フィールドに保存されます。データセットの登録時には、プロファイル名(PROFILENAME)とボリューム(VOLUME)を必ず指定してください。ボリュームを指定しない場合は、カタログからプロファイル名を使用して検索し、該当するデータセットとマッチするボリューム情報を見つけて保存します。その他のフィールドは、ユーザーが定義した設定値によって自動的に設定されます。
以下は、データセット・プロファイルに保存されるデータセットの情報です。
フィールド | 説明 |
---|---|
PROFILENAME |
TACFで保護されるデータセット名を設定します。(必須項目) プロファイル名には、英文字、数字、特殊文字(%、*、**、***)を使用できます。英文字、数字、特殊文字が含まれたプロファイルを一般プロファイルといいます。 |
VOLUME |
登録するデータセットが存在するボリューム・シリアルを設定します。入力必須項目です。 入力しない場合、登録するデータセットが個別データセット・プロファイルならカタログでプロファイル名を使って検索を行い、該当するデータセットとマッチするボリューム情報を見つけて保存します。一方、一般データセット・プロファイルであれば「GNRC」、GDGの場合は「GDG」に設定されます。 |
DTYPE |
データセット・プロファイルのタイプを指定します。
|
OWNER |
データセット・プロファイルの所有者のユーザーIDまたはグループ名を設定します。 データセットの所有者はプロファイルを変更または削除することができます。また、データセット・プロファイルの所有者には、データセットにアクセスできる権限が付与されます。指定しない場合は、登録者のIDが設定されます 。 |
NOTIFY |
データセットへのアクセス拒否を通知するユーザーIDを設定します。 |
UACC |
データセットへの一般アクセス権限(Universal Access Authority)を設定します。 指定しない場合は、NONEに設定されます。アクセス権限の詳細については、権限レベルを参照して下さい。 |
AUDT |
データセットにアクセスする際の監査レベルを設定します。 以下は、監査レベルについての説明です。
現在のTACFでは、データセットの監査ログ(Audit Log)のCONTROL FAILUREに対しては、エラーを防ぐために構文のみサポートしています。 |
現在のTACFでは、データセット・プロファイルのCATEGORY、SECLEVEL、SECLABEL、DATA、FLAGS、LTMODDフフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。 |