ユーザー

本章では、ユーザーの属性、状態およびユーザー・プロファイルについて説明します。

1. 概要

OpenFrameシステムを使用するユーザーとして権限を取得するには、ユーザー情報をTACFに登録する必要があります。TACFに登録したユーザー情報を「ユーザー・プロファイル」と呼びます。TACFは、ユーザー情報をユーザー・プロファイル形式でデータベースに保存します。

TACFは、以下の3つのユーザー・タイプを提供します。

  • ルート・ユーザー(ROOT USER)

    ルート・ユーザーは、TACFが最初にインストールされるとき、自動的に登録されるユーザーです。UNIXオペレーティング・システムのスーパー・ユーザーと同じ意味を持つTACFのスーパー・ユーザーです。ルート・ユーザーは、すべてのリソースやレベルへのアクセス権限を持つため、セキュリティ管理者用としてのみ使用することをお勧めします。また、ルート・ユーザーはTACFシステム上で削除することができず、一部の属性は変更することもできません。

  • パスワード無しユーザー(NOPASSWORD USER)

    パスワード無しユーザーは、パスワードが設定されていないユーザーであり、正常な方法ではOpenFrameシステムにログインすることができません。そのため、パスワードの誤入力によるアカウント・ロックも発生しません。このようなユーザーの例として、CICS DEFAULT USERがあります。

  • 一般ユーザー

    一般ユーザーは自身のパスワードを設定することができます。システムにログインするたびに認証が必要となります。ルート・ユーザーによってユーザー・ステータスが変更されたり、TACFシステムから削除されたりすることがあります。

2. ユーザー属性

ユーザー属性とは、ユーザーに与えられた特別な機能や制限事項を意味します。ユーザー属性が特定のグループに接続されたことをグループ関連属性(group-relate attribute)といいます。

TACFで指定可能な属性には、NO、SPECIAL、AUDITOR、OPERATIONS、RESTRICTED、PRIVILEGED、AUTOMATIC DATASET PROTECTION、GROUP ACCESS FLAGなどがあります。現在のTACFでは、SPECIALとAUDITORのみ使用されます。

SPECIAL属性は、TACFに登録されているリソースだけでなく、すべてのリソースにアクセスできます。そのため、セキュリティ管理者にのみ設定される必要があります。

TACFでは、自身が所有者として指定されていないプロファイルを検索することができません。ただし、AUDITOR属性を持つユーザーは、すべてのユーザー、グループ、リソース、アクセス・リストなどのプロファイルを検索することができます。

3. ユーザー・ステータス

ユーザーは、REVOKE、NOPASSWORD、EXPIRED、ACCOUNTLOCKのいずれかのステータスを持ちます。

  • REVOKE

    TACFに登録されているユーザーであるが、OpenFrameシステムやリソースにアクセスできる権限がない状態です。

    SPECIAL属性を持つユーザー、ユーザー・プロファイルの所有者として指定されたユーザー、またはGROUP-SPECIAL属性を持つユーザーが、ALTUSERコマンドを使用して特定のユーザー・ステータスをREVOKE状態に変更することができます。

    REVOKE状態は、上述した権限を持つユーザーがALTUSERコマンドのRESUMEを使用して解除することができます。

  • NOPASSWORD

    パスワードが設定されていないユーザーです。OpenFrameシステムに接続する際、パスワードを認証することができないため、システムにアクセスすることができません。このようなユーザーIDを保護されたユーザーID(Protected USER ID)といいます。

    ADDUSERまたはALTUSERコマンドを使用して特定のユーザーをNOPASSWORD状態に設定することができます。

  • EXPIRED

    ユーザーのパスワードは定期的に変更する必要があります。指定された期間内にパスワードを変更しないと、該当のユーザーは自動的にEXPIRED状態になります。

    EXPIRED状態のユーザーは、OpenFrameシステムにアクセスする際、新しいパスワードの設定を要求されます。現在のパスワードを変更してから、システムにアクセスできます。

  • ACCOUNTLOCK

    ユーザーがシステムにアクセスする際、認証に失敗した回数が設定値を超えたため、一定期間の間システムへのアクセスが制限された状態です。

    ACCOUNTLOCK状態は、REVOKE状態と違って一定期間が過ぎるとアクセス制限が自動的に解除されます。

ADDUSERコマンドとALTUSERコマンドについては、TACFコマンドを参照してください。

4. ユーザー情報

本節では、ユーザーの登録時に管理されるユーザー情報のユーザー・プロファイル、CICSセグメント、ユーザー・プロファイルの所有者について説明します。

4.1. ユーザー・プロファイル

新しいユーザーを登録すると、そのユーザーのユーザー・プロファイルが作成されます。ユーザーを登録する際に指定された情報がプロファイルの各フィールドに保存されます。

ユーザーの登録時には、USERIDを必ず指定してください。その他のフィールドはユーザーが定義した設定値によって自動的に設定されます。

以下は、ユーザー・プロファイルに保存されるユーザー情報です。

フィールド 説明

USERID

TACFに接続するために作成したユーザーIDです。(必須項目)

OWNER

プロファイルの所有者であり、ユーザーIDまたはグループ名が設定されます。

プロファイルの所有者には、プロファイルを変更または削除できる権限が付与されます。新しいユーザーを登録するとき、所有者を指定しない場合は、登録者のユーザーIDが所有者として設定されます。

NAME

ユーザー名です。

PASSWORD

TACFに接続するために指定したパスワードです。

パスワードを指定しない場合は、デフォルトとしてグループ名が設定されます。システムに初めてログインする際、パスワードを変更してください。

DFLTGRP

TACFのすべてのユーザーは、1つ以上のグループに属している必要があり、ユーザーのデフォルト・グループ名を指定します。

デフォルト・グループを指定しない場合は、現在の登録者の接続グループが指定されます。接続グループについては、ユーザーとグループの接続を参照してください。

CLAUTH

ユーザーが定義できるプロファイルのクラス名を設定します。

指定できるクラスとして「USER」と「General Resource」があり、現在はユーザー・プロファイルの作成権限を持つ「USER」のみ指定できます。

WDAY (Week of Day)

ユーザーがシステムに接続できる曜日を設定します。

各ユーザーごとにシステムに接続できる曜日を設定して、設定していない曜日にはシステムに接続できないようにします。指定しない場合は、制限なく接続できます。

WTIME

ユーザーがシステムに接続できる時間帯を設定します。

各ユーザーごとにシステムに接続できる時間帯を設定して、設定していない時間帯にはシステムに接続できないようにします。指定しない場合は、制限なく接続できます。

ATTR

ユーザーの属性情報を設定します。

  • special attribute

  • auditor attribute

ユーザーの属性についての詳細は、ユーザー属性を参照してください。

PASSDATE

パスワードの最終変更日を設定します。

PASSINTV

パスワードの変更間隔を設定します。

パスワードによって認証されるすべてのユーザーは、PASSINTVに設定された期間内にパスワードを変更する必要があります。この期間内に変更しなかった場合は、ユーザー・ステータスが自動的にEXPIREDとなり、システムに接続する際にパスワードを強制的に変更させられます。

FLAGS

ユーザー・ステータス情報を設定します。

  • REVOKE

  • NOPASSWORD

  • EXPIRED

  • ACCOUNTLOCK

ユーザーを登録する際、自動的にEXPIREDが設定され、パスワードを変更するようにします。ユーザー状態についての詳細は、ユーザー・ステータスを参照してください。

RETCNT

ユーザー認証の再試行回数を設定します。

パスワードの不一致でシステム認証に失敗するとRETCNTの回数が増加し、システムが決めたしきい値を超えると、ユーザー状態がACOUNTLOCKに変更されます。

RETCNTは、環境情報に設定された時間が経過すると、自動的に0に初期化されます。

RESETDT

RETCNTが0に初期化される時間を設定します。

ALOCKDT

パスワードの誤入力回数が設定値を超えたため、ユーザー・アカウントがロックされる時間が設定されます。

LTACCDT

ユーザーがシステムにログインした最終時間が設定されます。

パスワード無しユーザーはシステムにログインできないため、この時間が更新されません。

現在のTACFでは、ユーザー・プロファイルのCATEGORY、SECLEVEL、SECLABEL、MODEL、DATA、UACC、CREATIONフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。

4.2. CICSセグメント

ユーザー・プロファイルが作成される際にCICS端末関連の情報を保存することができますが、CICSセグメントはこの情報を集めたものです。CICSセグメント情報は、CICS端末ユーザーがCICSにログインする際に使用されます。

以下は、CICSセグメントに保存される情報です。

フィールド 説明

OPCLASS

BMS(Basic Mapping Support)メッセージの送信先となるクラスを指定します。

OPIDENT

BMSで使用されるユーザーIDを指定します。

OPPRTY

CICS端末ユーザーの優先順位を指定します。

RSLKEY

CICS端末ユーザーに設定するRSL(Resource Security Level)キーを指定します。

TIMEOUT

CICS端末ユーザーのログイン時間を指定します。

TSLKEY

CICS端末ユーザーに設定するTSL(Transaction Security Level)キーを指定します。

XRFSOFF

XRF引継ぎが発生した場合に、CICS端末運用者をログオフするかどうかを指定します。

5. ユーザー・プロファイルの所有者

ユーザー・プロファイルの所有者(OWNER)とは、ユーザー・プロファイルの所有者フィールドに指定されたユーザーIDまたはグループ名です。プロファイルの所有者には、プロファイルを検索、変更または削除できる権限が付与されます。

各リソース・プロファイルには所有者が指定されており、ユーザーは所有者として指定されたリソースへのアクセス権限を持ちます。