데이터셋

TACF에서 등록된 모든 리소스는 관리가 필요하며, 리소스에 대한 관리의 편의성을 위해 크게 데이터셋(Data Sets)과 일반 리소스(General resources, 용어의 혼동을 막기 위해 본문에서 일반 리소스는 리소스로 표기한다)로 구분한다. 또한 데이터셋과 리소스는 각각 데이터셋 프로파일과 리소스 프로파일의 형태로 관리된다.

본 장에서는 데이터셋의 설정 방법과 사용법에 대해서 설명한다.

1. 개요

미리 등록된 데이터셋(Data Sets)의 접근 레벨에 따라 특정 데이터셋에 접근하려는 사용자로부터 해당 데이터셋을 보호하기 위해서는 해당 데이터셋 프로파일을 등록해야 한다.

다음은 TACF에서 지원하는 데이터셋 프로파일의 종류에 대한 설명이다.

  • 개별 데이터셋 프로파일(Discrete data set profile)

    한 개의 특정한 데이터셋을 하나의 유일한 프로파일로 관리한다.

    개별 프로파일은 해당하는 데이터셋의 이름과 정확하게 일치한다. 개별 프로파일을 이용해서 데이터셋을 관리하게 되면 각각의 데이터셋을 개별적인 프로파일로 세밀하게 관리 할 수 있는 장점이 있지만 많은 양의 프로파일을 관리해야 하는 단점도 존재한다.

  • 일반 데이터셋 프로파일(Generic data set profile)

    유사한 이름형식과 접근 권한을 가지고 있는 여러 개의 데이터셋을 한 개의 프로파일로 관리한다.

예를 들어 첫 번째 qualifier가 모두 TMAX로 시작하는 데이터셋이 동일한 사용자들에게 접근이 허용되어있다면, 해당 데이터셋에 대해 각각의 프로파일을 등록하지 않고 ‘TMAX.**’라는 하나의 프로파일로 등록해서 데이터셋을 관리할 수 있다. 일반 프로파일은 개별 프로파일처럼 각각의 프로파일을 세밀하게 관리할 수는 없지만, 하나의 프로파일로 다수의 데이터셋을 관리할 수 있다는 장점이 있다.

1.1. 개별 데이터셋 프로파일

개별 데이터셋 프로파일을 등록하기 전에 해당 데이터셋에 대해서 모든 사용자에게 동일한 접근 권한을 적용할 것인지 아니면 사용자 별로 접근제어를 할 것인지를 결정해야 한다. 데이터셋 프로파일에 모든 사용자에게 동일하게 적용할 수 있는 접근 권한 레벨인 UACC(Universal Access Authority)를 지정하여 해당 데이터셋에 대한 접근레벨을 설정할 수 있다.

데이터셋에 권한을 부여하는 방법 중 또 다른 방법은 사용자 별로 권한리스트를 등록하는 것이다. 동일한 데이터셋에 대해서는 사용자 별로 접근 권한을 설정할 수 있는 장점이 있기는 하지만 데이터셋별로 사용자 개개의 권한 프로파일을 관리해야 하는 불편함이 있다. 새로운 프로파일은 tacfmgr의 ADDSD(AD)명령을 이용해서 등록할 수 있다. 카탈로그되어 있지 않은 데이터셋은 ADDSD 옵션 중에 GENERIC을 지정하는 것이 좋다.

  1. 프로파일 내의 UACC는 모든 사용자에게 동일하게 적용이 되는 권한 레벨이기 때문에 사용자 별로 접근 권한을 설정하기 위해서는 UACC는 피하는 것이 좋다.

  2. ADDSD 명령에 대한 설명은 TACF 명령어를 참고하고, 카탈로그에 대한 자세한 내용은 OpenFrame Base "데이터셋 안내서"를 참고한다.

1.2. 일반 데이터셋 프로파일

일반 데이터셋 프로파일을 등록하기 전에 프로파일 이름을 등록하기 위한 형식을 결정해야 한다.

일반 데이터셋 프로파일에서 특수문자로 ‘%’나 ‘*’을 사용할 수 있으며, 특수문자의 의미와 각 예제는 다음의 표와 같다.

특수문자 의미 사용법

%

동일한 위치에 있는 한 개의 동일한 문자와 매치된다.

ABC.%EF (유효)

A%BC.EF (유효안함)

*

하나의 qualifier 또는 하나 이상의 문자와 매치된다. 단, 첫 번째 qualifier에는 사용할 수 없다.

ABC.DE* (유효)

ABC.DE.* (유효)

ABC.*.DE (유효)

ABC.DE*.FG (유효)

*.ABC.DE (유효안함)

ABC*.DE (유효안함)

**

0개 또는 한 개 이상의 qualifier와 매치된다. 단, 첫 번째 qualifier에는 사용할 수 없다.

ABC.** (유효)

**.ABC.DE (유효안함)

다음은 일반 데이터셋 프로파일 매칭 예제이다.

프로파일명 매칭 매칭하지 않음

ABC.%EF

ABC.DEF

ABC.XEF

ABC.DEFGHI

ABC.DEF.GHI

ABC.DDEF

AB.CD*

AB.CD

AB.CDEF

AB.CD.EF

AB.CD.EF.GH

AB.CD.XY

ABC.DEF

AB.CD.*

AB.CD.EF

AB.CD.XY

AB.CD

AB.CDEF

AB.CD.EF.GH

ABC.DEF

AB.*.CD

AB.CD.CD

AB.XY.CD

AB.CD

AB.CD.EF

AB.CDEF

ABC.DEF

ABC.XY.CD

ABC.XY.XY.CD

AB.CD*.EF

AB.CD.EF

AB.CDEF.EF

AB.CD.XY.EF

AB.CD.EF.GH

AB.CD.**

AB.CD

AB.CD.EF

AB.CD.EF.GH

AB.CD.XY

AB.CDEF

AB.CDE.FG

ABC.DEF

AB.**.CD

AB.CD

AB.XY.CD

AB.X.Y.CD

AB.CD.EF

AB.CDEF

AB.XY.CD.EF

ABC.DEF

ABX.YCD

AB.CD*.**

AB.CD

AB.CD.EF

AB.CDEF

AB.CDEF.GH

AB.CD.EF.GH

AB.CD.XY

ABC.DEF

AB.C.DEF

AB.CD.*.**

AB.CD.EF

AB.CD.EF.GH

AB.CD.EF.GH.IJ

AB.CD

AB.CDEF

AB.CDEF.GH

ABC.DEF

ABC.X.Y.EF

2. 데이터셋 권한 설정

TACF에서는 다음과 같은 두 가지 방법으로 데이터셋 권한을 설정할 수 있다.

  • 개별 데이터셋 프로파일을 생성할 때 UACC를 지정하는 방법

    모든 사용자에게 동일한 접근 레벨의 권한을 주도록 설정한다.

  • 접근 리스트 이용하여 개인별 권한을 설정하는 방법

    데이터셋을 사용할 사용자 또는 그룹을 지정하고 해당 데이터셋을 사용할 시간과 요일을 결정한 후에 PERMIT 명령을 이용해서 등록한다.

다음은 데이터셋 또는 리소스에 설정할 수 있는 권한 레벨이다.

권한 레벨 설명

NONE

해당 데이터셋 또는 리소스에 대해 어떠한 사용자도 접근이 불가능하다.

EXECUTE

해당 데이터셋 또는 리소스에 대해 LOAD와 EXECUTE가 가능하다.

READ

읽기 전용(Read only)으로만 접근이 가능하다. 해당 데이터셋에 대해서 COPY나 PRINT 권한이 없다.

UPDATE

READ, COPY, WRITE의 접근이 가능하다. 해당 데이터셋에 대해서 DELETE나 MOVE 또는 SCRATCH 권한은 없다.

CONTROL

VSAM 데이터셋에 대해서 control-interval access가 가능하며, 해당 데이터셋에 대한 레코드의 RETRIEVE, UPDATE, INSERT, DELETE가 가능하다.

Non-VSAM에 대해서는 UPDATE와 동일한 접근 권한을 갖는다.

현재 버전의 TACF에서는 지원하지 않는다.

ALTER

데이터셋에 대해서 READ, UPDATE, DELETE, RENAME, MOVE가 가능하다.

NONE < EXECUTE < READ < UPDATE < CONTROL < ALTER의 순으로 왼쪽에서 오른쪽으로 갈수록 상위 권한이며 상위 권한은 하위 권한을 포함한다.

3. 데이터셋 프로파일

새로운 데이터셋을 등록하는 경우 데이터셋 프로파일이 생성되며, 데이터셋을 등록할 때 지정한 정보가 프로파일의 각 필드에 저장된다. 데이터셋을 등록할 때 반드시 입력해야 하는 값은 PROFILENAME과 VOLUME이며, 만약 VOLUME을 입력하지 않은 경우에는 카탈로그에서 PROFILENAME으로 검색해서 해당 데이터셋과 매칭되는 볼륨 정보를 찾아 저장한다. 그 외의 필드는 사용자가 정의한 설정값에 따라 자동으로 설정된다.

다음은 데이터셋 프로파일에 저장되는 데이터셋 정보이다.

필드 설명

PROFILENAME

TACF상에 보호할 데이터셋 이름이 설정한다. 반드시 입력해야 하는 필수항목이다. 프로파일의 이름으로는 영문자, 숫자와 특수문자(‘%’, ‘*’, ‘**’, ‘***’)가 사용되고, 영문자, 숫자와 특수문자를 포함한 프로파일을 일반 프로파일이라 한다.

VOLUME

등록하려는 데이터셋이 위치한 볼륨 시리얼이 설정한다. 반드시 입력해야 하는 필수항목이다.

입력하지 않은 경우 해당 데이터셋이 개별 데이터셋 프로파일이면 카탈로그에서 PROFILENAME으로 검색해서 해당 데이터셋과 매칭되는 볼륨 정보를 찾아 저장한다. 등록하려는 데이터셋이 일반 데이터셋 프로파일인 경우 'GNRC', GDG인 경우에는 'GDG’로 설정된다.

DTYPE

데이터셋 프로파일의 종류를 나타내는 다음의 문자가 설정되어 있다.

  • ‘D’ : 개별 프로파일을 의미한다. (기본값)

  • ‘G’ : 일반 프로파일을 의미한다.

  • ‘M’ : 모델 프로파일을 의미한다.

  • ‘T’ : 테이프 데이터셋 프로파일을 의미한다.

OWNER

해당 데이터셋 프로파일 소유자의 사용자 아이디 또는 그룹 이름을 설정한다. 해당 데이터셋의 소유자는 프로파일을 변경하거나 삭제할 수 있다.

또한 데이터셋 프로파일의 소유자는 해당 데이터셋에 접근할 수 있는 권한이 부여된다. 지정하지 않은 경우 등록자의 아이디가 설정된다.

NOTIFY

해당 데이터셋에 대한 접근거부를 통보할 사용자 아이디를 설정한다.

UACC

해당 데이터셋에 대한 Universal Access Authority를 설정한다.

지정하지 않은 경우 NONE이 설정된다. 자세한 내용은 접근 권한 리스트를 참고한다.

AUDT

데이터셋을 접근할 때의 Audit Level을 설정한다.

다음은 Audit Level에 대한 설명이다.

  • READ FAILURE : 데이터셋의 READ에 실패했을 때 로그를 기록한다.

  • UPDATE FAILURE : 데이터셋의 UPDATE, READ, WRITE, COPY에 실패했을 때 로그를 기록한다.

  • ALTER FAILURE : 데이터셋에 대해서 READ, UPDATE, DELETE, RENAME, MOVE, SCRATCH를 실패했을 때 로그를 기록한다.

  • READ SUCCESS : 데이터셋의 READ에 성공했을 때 로그를 기록한다.

  • UPDATE SUCCESS : 데이터셋의 UPDATE, READ, WRITE, COPY에 성공했을 때 로그를 기록한다.

  • ALTER SUCCESS : 데이터셋에 대해서 READ, UPDATE, DELETE, RENAME, MOVE, SCRATCH에 성공했을 때 로그를 기록한다.

현재 TACF에서는 데이터셋 Audit Log 중 CONTROL FAILURE에 대해서는 오류를 발생시키지 않도록 형식적으로만 지원하고 있다.

현재 TACF에서는 데이터셋 프로파일 필드 중 CATEGORY, SECLEVEL, SECLABEL, DATA, FLAGS, LTMODDT에 대해서는 내부적으로 사용하는 값을 사용하거나 오류를 발생시키지 않도록 형식적으로만 지원하고 있다.