리소스

리소스(General Resources)는 데이터셋을 제외한 OpenFrame 시스템에서 사용되는 모든 리소스를 의미한다. 리소스는 해당 리소스가 트랜잭션 종류의 리소스인지 터미널 종류의 리소스인지에 따라 리소스 유형별로 분류할 수 있으며, 이 분류를 CLASS라고 한다.

데이터셋과 동일하게 특정 리소스에 접근하려는 사용자로부터 미리 등록된 리소스의 접근 레벨에 따라 리소스를 보호하기 위해서는 해당 리소스 프로파일을 등록해야 한다. 리소스의 접근 레벨은 데이터셋 권한 설정을 참고한다. 리소스 프로파일의 내용은 데이터셋과 동일하지만 리소스에는 CLASS를 별도로 명시해주어야 한다.

CLASS는 TACF에서 미리 정의된 리소스의 유형별 분류로서 멤버 클래스와 리소스 그룹 클래스가 있으며, 멤버 클래스와 리소스 그룹 클래스는 서로 상호 참조할 수 있다. 리소스의 유형에 따라 다음과 같은 CLASS로 분류된다.

다음은 TACF에 미리 정의된 멤버 클래스와 리소스 그룹 클래스이다.

TACF에서 지원하는 리소스 프로파일로는 개별 리소스 프로파일과 일반 리소스 프로파일 그리고 그룹 리소스 프로파일이 있다.

새로운 리소스를 등록하는 경우 리소스 프로파일이 생성되며, 리소스를 등록할 때 지정한 정보가 프로파일의 각 필드에 저장된다. 리소스를 등록할 때 반드시 입력해야 하는 값은 CLASSNAME과 PROFILENAME이며, 그 외의 필드는 사용자가 정의한 설정값에 따라 자동적으로 설정된다.

다음은 리소스 프로파일에 저장되는 리소스 정보이다.

그룹 리소스 프로파일의 멤버들은 일반 프로파일로 관리되는 일반 리소스처럼 이름 규칙을 가지고 있지 않으므로, 리소스의 이름을 일반 프로파일로 작성할 수 없는 경우에 그룹 리소스 클래스라는 별도의 프로파일을 하나 등록하고 각각의 리소스를 해당 그룹 리소스 프로파일의 멤버로서 추가한다. 결국, 그룹 리소스 프로파일을 통해 해당 리소스의 접근 권한을 하나의 프로파일로 관리할 수 있다.

그룹 리소스 프로파일은 다음의 과정을 통하여 TACF에 등록된다.

데이터셋 권한 설정 방법과 동일하게 리소스의 권한은 다음과 같은 두 가지 방법으로 설정할 수 있다.

데이터셋의 권한을 체크할 때 각각의 데이터셋의 프로파일을 일일이 등록하지 않고 해당 데이터셋이 속한 볼륨을 이용해서 권한 체크를 할 수 있다. 볼륨을 UNIFYDS 클래스의 리소스로 등록할 경우, 데이터셋 프로파일에 의해 보호되지 않는 데이터셋의 경우엔 UNIFYDS에 등록된 볼륨의 정보를 가지고 권한 체크를 실시한다.

OpenFrame 환경설정의 TACF 서브젝트, AUTH_OPTION 섹션의 ENABLE_UNIFYDS 키의 VALUE 항목을 YES로 설정한 다음 해당 기능을 사용할 수 있다.

다음과 같이 볼륨을 UNIFYDS 클래스에 등록한다. 일반적인 리소스 프로파일을 등록하는 방법과 동일하다.

대리 작업 전송(Surrogated JOB Submit)이란 JOB을 submit하는 사용자와 실제 JOB을 실행하는 사용자가 다른 것을 말한다. JOB을 submit해서 실행할 때 일반적으로 JCL에 사용자 아이디와 비밀번호를 지정하여 submit된 JOB을 실행할 권한을 가진 사용자를 명시한다. 하지만 위탁 작업 전송은 JOB을 실행할 때 필요한 리소스의 접근 권한을 JOB을 전송한 사용자가 아닌 실제 JOB을 실행하는 사용자의 권한으로 체크하게 된다.

JOB을 전송하는 사용자와 실행하는 사용자가 시스템상에 별도로 존재할 수 있고, 또한 별도의 권한을 가질 수 있기 때문에 일반적으로 JOB을 전송하는 사용자와 JOB을 실행하는 사용자를 분리한다. 하지만 JOB을 submit 하는 사용자가 해당 JCL을 참조할 수 있는 권한이 있다면, JCL에 기술된 JOB 실행자의 비밀번호가 노출될 위험이 있기 때문에 이 경우에는 실행자의 비밀번호를 기술하지 않고 사용자 아이디만 기술하고, 대리권한을 등록하여 실행자의 비밀번호를 노출시키지 않고 해당 JOB을 실행할 수 있다.

다음은 대리 작업 전송의 리소스 등록과 권한 등록의 예이다. 리소스 등록 명령(RDEFINE)으로 대리 작업 전송 리소스를 등록한다.

해당 대리 작업 전송 리소스에 대한 권한을 등록한다.

TACF로 SUBMIT, STOP, REMOVE, HOLD, START, CANCEL, SUSPEND, RESUME, NICE에 대한 권한 체크, Spool 데이터셋에 대한 접근 권한 설정을 수행할 수 있다.

기능이 동작하기 위해서는 OpenFrame 환경설정의 tjes 서브젝트, TACF 섹션의 CHECK_JOBNAMEAUTH,CHECK_SPOOLAUTH 키의 VALUE 항목이 모두 YES로 되어 있어야 한다.

TACF는 특정 jobname을 갖는 작업의 실행조작 권한을 설정하므로 권한이 없는 사용자로부터의 작업에 대한 부적절한 조작을 방지할 수 있다.

특정 jobname을 갖는 작업의 SUBMIT 행위를 보호하기 위해서는 다음과 같은 작업이 필요하다.

특정 jobname을 갖는 작업의 REMOVE, STOP 행위를 보호하기 위해서는 다음과 같은 작업이 필요하다.

이 외에도 HOLD, START, CANCEL, SUSPEND, RESUME, NICE에 대해서도 jobname 단위로 실행 권한을 체크할 수 있다.

해당 명령 실행에 대한 권한을 설정하기 위해서는 다음과 같은 작업이 필요하다.

TACF는 다음과 같은 Spool 데이터셋에 대해서 사용자 별로 접근 권한을 설정하여 권한이 없는 사용자에 대한 접근을 제어할 수 있다. 이는 Spool 데이터셋의 생성을 제어하는 것이 아니라 단지 Spool 데이터셋의 읽기권한(조회)에 대한 제어만을 체크한다.

접근제어의 대상이 되는 Spool 데이터셋의 종류는 다음과 같다.

Spool 데이터셋의 접근 권한을 설정하는 방법은 다음과 같다.