Security Server RACF コマンド言語解説書 - TOK2図 1....

z/OS

Security Server RACFコマンド言語解説書

SA88-8617-09

(英文原典：SA22-7687-12)

��

お願い本書および本書で紹介する製品をご使用になる前に、 763ページの『特記事項』に記載されている情報をお読みください。

本書は、SA88-8617-08 (英文原典: SA22-7687-11) の改訂版です。

本書は、z/OS (5694-A01) バージョン 1 リリース 10、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　

原典： SA22-7687-12z/OS

Security Server RACF

Command Language Reference

発行：日本アイ・ビー・エム株式会社

担当：ナショナル・ランゲージ・サポート

第13版第1刷 2008.12

© Copyright International Business Machines Corporation 1994, 2008.

目次

図 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

本書について . . . . . . . . . . . . . . . . . . . . . . . . . xiii本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . xiii本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . xiii本書の使用法 . . . . . . . . . . . . . . . . . . . . . . . . . xiii追加情報の入手先 . . . . . . . . . . . . . . . . . . . . . . . . xivソフトコピー資料 . . . . . . . . . . . . . . . . . . . . . . . xivIBM システム・センターの資料 . . . . . . . . . . . . . . . . . xiv他の情報ソース . . . . . . . . . . . . . . . . . . . . . . . . xvIBM 関連資料の入手方法 . . . . . . . . . . . . . . . . . . . . xvii

変更の要約 . . . . . . . . . . . . . . . . . . . . . . . . . . xix

第 1 章はじめに . . . . . . . . . . . . . . . . . . . . . . . . 1コマンドおよびそれらの機能の要約 . . . . . . . . . . . . . . . . . . 2

第 2 章 RACF コマンドの発行に関する基本情報 . . . . . . . . . . . . 9RACF コマンドの入力方法 . . . . . . . . . . . . . . . . . . . . . 9

RACF TSO コマンド . . . . . . . . . . . . . . . . . . . . . . 9RACF オペレーター・コマンド . . . . . . . . . . . . . . . . . . 9コマンド・ダイレクトおよび自動コマンド・ダイレクト . . . . . . . . . 9RACF パラメーター・ライブラリー . . . . . . . . . . . . . . . . 10R_admin 呼び出し可能サービス . . . . . . . . . . . . . . . . . . 10要約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

RACF コマンドおよびオペランドの構文 . . . . . . . . . . . . . . . 11RACF コマンドからの戻りコード . . . . . . . . . . . . . . . . . . 13RACF プロファイルの非基本セグメントに対する RACF コマンドの制限 . . . 14RACF コマンドからのインストール・システム出口ルーチン . . . . . . . . 15属性および権限の要約 . . . . . . . . . . . . . . . . . . . . . . 15グループ権限. . . . . . . . . . . . . . . . . . . . . . . . . 15データ・セットのアクセス権限 . . . . . . . . . . . . . . . . . . 16

第 3 章 RACF TSO コマンド . . . . . . . . . . . . . . . . . . . 19RACF TSO コマンドの入力方法 . . . . . . . . . . . . . . . . . . 20

RACF TSO コマンドと ISPF パネルのどちらを使用するかの選択 . . . . . 20フォアグラウンドでの RACF TSO コマンドの入力 . . . . . . . . . . 22バックグラウンドでの RACF TSO コマンドの入力 . . . . . . . . . . 23

第 4 章 RACF オペレーター・コマンド . . . . . . . . . . . . . . . 25RACF オペレーター・コマンドの入力規則 . . . . . . . . . . . . . . . 26

第 5 章 RACF コマンド構文 . . . . . . . . . . . . . . . . . . . 29ADDGROUP (グループ・プロファイルの追加) . . . . . . . . . . . . . 30ADDSD (データ・セット・プロファイルの追加). . . . . . . . . . . . . 41ADDUSER (ユーザー・プロファイルの追加) . . . . . . . . . . . . . . 60ALTDSD (データ・セット・プロファイルの変更) . . . . . . . . . . . . 114ALTGROUP (グループ・プロファイルの変更) . . . . . . . . . . . . . 131

© Copyright IBM Corp. 1994, 2008 iii

ALTUSER (ユーザー・プロファイルの変更) . . . . . . . . . . . . . . 145CONNECT (ユーザーのグループへの接続) . . . . . . . . . . . . . . 224DELDSD (データ・セット・プロファイルの削除) . . . . . . . . . . . . 234DELGROUP (グループ・プロファイルの削除) . . . . . . . . . . . . . 240DELUSER (ユーザー・プロファイルの削除) . . . . . . . . . . . . . . 244DISPLAY (signed-on-from リストの表示) . . . . . . . . . . . . . . . 249HELP (RACF ヘルプの表示) . . . . . . . . . . . . . . . . . . . 254LISTDSD (データ・セット・プロファイルのリスト) . . . . . . . . . . . 256LISTGRP (グループ・プロファイルのリスト) . . . . . . . . . . . . . 272LISTUSER (ユーザー・プロファイルのリスト) . . . . . . . . . . . . . 283PASSWORD または PHRASE (ユーザー・パスワードまたはパスワード・フレーズの指定) . . . . . . . . . . . . . . . . . . . . . . . . . 307

PERMIT (リソース・アクセス・リストの保守) . . . . . . . . . . . . . 314RACDCERT (RACF ディジタル証明書の管理) . . . . . . . . . . . . . 329RACDCERT ADD (証明書の追加) . . . . . . . . . . . . . . . . . 336RACDCERT ADDRING (鍵リングの追加) . . . . . . . . . . . . . . . 347RACDCERT ADDTOKEN (トークンの追加) . . . . . . . . . . . . . . 350RACDCERT ALTER (証明書の変更) . . . . . . . . . . . . . . . . . 352RACDCERT ALTMAP (マッピングの変更) . . . . . . . . . . . . . . 355RACDCERT BIND (証明書のトークンへのバインド) . . . . . . . . . . . 358RACDCERT CHECKCERT (証明書の検査) . . . . . . . . . . . . . . 363RACDCERT CONNECT (鍵リングへの証明書の接続) . . . . . . . . . . 366RACDCERT DELETE (証明書の削除) . . . . . . . . . . . . . . . . 370RACDCERT DELMAP (マッピングの削除) . . . . . . . . . . . . . . 373RACDCERT DELRING (鍵リングの削除) . . . . . . . . . . . . . . . 376RACDCERT DELTOKEN (トークンの削除) . . . . . . . . . . . . . . 378RACDCERT EXPORT (証明書パッケージのエクスポート). . . . . . . . . 380RACDCERT GENCERT (証明書の生成) . . . . . . . . . . . . . . . 384RACDCERT GENREQ (要求の生成) . . . . . . . . . . . . . . . . . 397RACDCERT IMPORT (証明書のインポート) . . . . . . . . . . . . . . 400RACDCERT LIST (証明書のリスト) . . . . . . . . . . . . . . . . . 406RACDCERT LISTMAP (マッピングのリスト) . . . . . . . . . . . . . 413RACDCERT LISTRING (鍵リングのリスト) . . . . . . . . . . . . . . 416RACDCERT LISTTOKEN (トークンのリスト) . . . . . . . . . . . . . 419RACDCERT MAP (マッピングの作成) . . . . . . . . . . . . . . . . 422RACDCERT REKEY (証明書の鍵再設定) . . . . . . . . . . . . . . . 430RACDCERT REMOVE (鍵リングからの証明書の除去) . . . . . . . . . . 437RACDCERT ROLLOVER (証明書のロールオーバー) . . . . . . . . . . . 440RACDCERT UNBIND (トークンからの証明書のアンバインド) . . . . . . . 443RACLINK (ユーザー ID アソシエーションの管理) . . . . . . . . . . . 446RACPRIV (書き込み特権の設定) . . . . . . . . . . . . . . . . . . 454RALTER (一般リソース・プロファイルの変更) . . . . . . . . . . . . . 456RDEFINE (一般リソース・プロファイルの定義) . . . . . . . . . . . . 518RDELETE (一般リソース・プロファイルの削除) . . . . . . . . . . . . 578REMOVE (グループからのユーザーの除去) . . . . . . . . . . . . . . 583RESTART (RRSF 機能の再始動) . . . . . . . . . . . . . . . . . . 587RLIST (一般リソース・プロファイルのリスト) . . . . . . . . . . . . . 591RVARY (RACF データベースの状況の変更) . . . . . . . . . . . . . . 614SEARCH (RACF データベースの探索) . . . . . . . . . . . . . . . . 625SET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640SETROPTS (RACF オプションの設定) . . . . . . . . . . . . . . . . 657SIGNOFF (セッションのサインオフ). . . . . . . . . . . . . . . . . 713

iv z/OS V1R10.0 Security Server RACF コマンド言語解説書

STOP (RRSF のシャットダウン) . . . . . . . . . . . . . . . . . . 717TARGET (RRSF ノードの定義) . . . . . . . . . . . . . . . . . . 719

付録 A. リソース・プロファイルの命名に関する考慮事項 . . . . . . . . 735プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . 735個別プロファイル . . . . . . . . . . . . . . . . . . . . . . 735総称プロファイル . . . . . . . . . . . . . . . . . . . . . . 735完全修飾総称プロファイル (DATASET クラス専用) . . . . . . . . . . 736

RACF 保護の判別 . . . . . . . . . . . . . . . . . . . . . . . 736データ・セットのプロファイル名 . . . . . . . . . . . . . . . . . . 737個別プロファイル . . . . . . . . . . . . . . . . . . . . . . 737総称プロファイルの規則 - 拡張総称命名機能が非アクティブの場合 . . . . 737総称プロファイルの規則 - 拡張総称命名機能がアクティブな場合 . . . . . 738個別プロファイルと総称プロファイルの使い分け . . . . . . . . . . . 741

一般リソースのプロファイル名 . . . . . . . . . . . . . . . . . . 742GENERICOWNER クラスの場合のプロファイルの許可 . . . . . . . . . 745VM ファイル共用システム・プロファイルを管理するコマンド . . . . . . 746

付録 B. 提供される RACF リソース・クラス . . . . . . . . . . . . . 749z/OS システム用に提供されるリソース・クラス . . . . . . . . . . . . 749z/VM システム用に提供されるクラス . . . . . . . . . . . . . . . . 757

付録 C. アクセシビリティー . . . . . . . . . . . . . . . . . . . 761支援機能の使用 . . . . . . . . . . . . . . . . . . . . . . . . 761ユーザー・インターフェースのキーボード・ナビゲーション . . . . . . . . 761z/OS 情報 . . . . . . . . . . . . . . . . . . . . . . . . . . 761

特記事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 763サポート対象外ハードウェアに関するポリシー . . . . . . . . . . . . . 765商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

目次 v

||

vi z/OS V1R10.0 Security Server RACF コマンド言語解説書

図

1. コマンド構文図内のシンボルの注意事項 . . . . . . . . . . . . . . . . . . . . . . 122. RACF の ISPF パネルの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 213. OMVS セグメントに関する ALTUSER コマンドの出力 . . . . . . . . . . . . . . . . 2234. 例 1: DISPLAY コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 2525. 例 2: DISPLAY コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 2536. 例 3: DISPLAY コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 2537. 例 4: DISPLAY コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 2538. 例 5: DISPLAY コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 2539. 例 1: LISTDSD コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 268

10. 例 2: LISTDSD コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 27011. 例 3: LISTDSD コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 27012. 例 4: LISTDSD コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . 27113. 例 1: LISTGRP RESEARCH に対応する出力 . . . . . . . . . . . . . . . . . . . . 27914. 例 2: LISTGRP * に対応する出力 . . . . . . . . . . . . . . . . . . . . . . . . 28015. 例 3: LISTGRP DFPADMIN DFP に対応する出力 . . . . . . . . . . . . . . . . . . 28116. 例 4: LISTGRP DFPADMIN DFP NORACF に対応する出力 . . . . . . . . . . . . . . 28117. 例 5: LISTGRP OMVSG1 OMVS NORACF に対応する出力 . . . . . . . . . . . . . . 28118. 例 6: LISTGRP NETGROUP に対応する出力 . . . . . . . . . . . . . . . . . . . . 28219. 例 1: LISTUSER に対応する出力 . . . . . . . . . . . . . . . . . . . . . . . . 29820. 例 2: LISTUSER に (IBMUSER CALTMAN DAF0) に対応する出力 . . . . . . . . . . . 29921. 例 3: LISTUSER DAF0 TSO に対応する出力 . . . . . . . . . . . . . . . . . . . . 30122. 例 4: LISTUSER NORACF TSO に対応する出力. . . . . . . . . . . . . . . . . . . 30123. 例 5: LISTUSER DAF0 DFP に対応する出力 . . . . . . . . . . . . . . . . . . . . 30224. 例 6: LISTUSER DAF0 NORACF DFP に対応する出力 . . . . . . . . . . . . . . . . 30225. 例 7: LISTUSER DAF0 NORACF CICS に対応する出力 . . . . . . . . . . . . . . . . 30326. 例 8: LISTUSER DAF0 NORACF LANGUAGE に対応する出力 . . . . . . . . . . . . . 30327. 例 9: LISTUSER DAF0 NORACF OPERPARM に対応する出力 . . . . . . . . . . . . . 30428. 例 10: OMVS ユーザー情報のリストに対応する出力 . . . . . . . . . . . . . . . . . 30429. 例 11: LISTUSER CSMITH OMVS NORACF に対応する出力 (デフォルトを使用) . . . . . . 30530. 例 12: LISTUSER CSMITH NORACF DCE に対応する出力 . . . . . . . . . . . . . . 30531. 例 13: LISTUSER RONTOMS NORACF KERB の出力 . . . . . . . . . . . . . . . . 30532. 例 14: LISTUSER MRSERVER PROXY NORACF の出力 . . . . . . . . . . . . . . . 30533. 例 15: LISTUSER KCROVE EIM NORACF の出力 . . . . . . . . . . . . . . . . . . 30634. 例 16: ユーザーのパスワードおよびパスワード・フレーズがそれぞれエンベロープされているこ

とを示す、LISTUSER の出力 . . . . . . . . . . . . . . . . . . . . . . . . . . 30635. 例 17: CSDATA ユーザー情報のリストに対応する出力 . . . . . . . . . . . . . . . . 30636. RACDCERT 機能へのアクセスの制御 . . . . . . . . . . . . . . . . . . . . . . . 33437. RACDCERT CHECKCERT コマンドの出力例 . . . . . . . . . . . . . . . . . . . . 36538. ラベルで証明書を指定する、RACDCERT LIST コマンドの出力例 . . . . . . . . . . . . 40939. コマンド発行者が所有するすべての証明書をリストする、RACDCERT LIST コマンドの出力例 41040. CERTAUTH 証明書の RACDCERT LIST コマンドの出力例 . . . . . . . . . . . . . . 41141. 割り当てられた PKDS ラベルを示す、RACDCERT LIST コマンドの出力例 . . . . . . . . 41142. 指定した PKDS ラベルを示す、RACDCERT LIST コマンドの出力例 . . . . . . . . . . . 41243. LISTMAP コマンドの出力例 . . . . . . . . . . . . . . . . . . . . . . . . . . 41544. LISTMAP LABEL コマンドの出力例 . . . . . . . . . . . . . . . . . . . . . . . 41545. RACDCERT LISTRING コマンドの出力例 . . . . . . . . . . . . . . . . . . . . . 41846. RACDCERT LISTTOKEN コマンドによる RACF 詳細情報の出力例 . . . . . . . . . . . 42147. 例 1: RACLINK LIST コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . 453

© Copyright IBM Corp. 1994, 2008 vii

|||||

48. 例 1: RLIST コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . . . 60749. 例 2: RLIST コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . . . 60850. 例 3: RLIST コマンドに対応する出力 (RESGROUP オプションの場合) . . . . . . . . . . 60851. 例 4: RLIST コマンドに対応する出力 (マスクされたアプリケーション鍵の場合) . . . . . . . 60952. 例 5: RLIST コマンドに対応する出力 (暗号化されたアプリケーション鍵の場合) . . . . . . . 60953. 例 6: RLIST コマンドに対応する出力 (STDATA セグメントの場合) . . . . . . . . . . . 60954. 例 7: RLIST コマンドに対応する出力 (KERB セグメントの場合) . . . . . . . . . . . . 60955. 例 8: PTKTDATA クラスの RLIST コマンドに対応する出力 . . . . . . . . . . . . . . 61056. 例 9: RLIST コマンドに対応する出力 (EIM セグメントの場合) . . . . . . . . . . . . . 61057. 例 10: RLIST コマンドに対応する出力 (CDTINFO セグメントの場合) . . . . . . . . . . 61158. 例 11: RLIST コマンドに対応する出力 (ICTX セグメントの場合) . . . . . . . . . . . . 61159. 例 12: RLIST に対応する出力 (AUTHUSER セグメントの場合) . . . . . . . . . . . . . 61260. 例 13: RLIST に対応する出力 (CFDEF セグメントの場合) . . . . . . . . . . . . . . . 61361. 例 1: RVARY LIST コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . 62262. 例 2: RACF.PRIM1 を非活動化し、割り振り解除した後の出力 . . . . . . . . . . . . . 62263. 例 3: RACF.BACK1 を活動化した後の出力 . . . . . . . . . . . . . . . . . . . . . 62364. 例 4: RVARY SWITCH,DATASET(RACF.PRIM1) コマンドに続く出力 . . . . . . . . . . . 62365. 例 5: RVARY NODATASHARE コマンドに続く出力 . . . . . . . . . . . . . . . . . 62366. 例 6: RVARY DATASHARE コマンドに続く出力 . . . . . . . . . . . . . . . . . . 62367. SET LIST コマンドの出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . 65668. SETROPTS LIST の出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71169. TARGET コマンドに対応する出力 . . . . . . . . . . . . . . . . . . . . . . . . 732

viii z/OS V1R10.0 Security Server RACF コマンド言語解説書

||

表

1. RACF コマンドの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22. RACF コマンドの出し方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103. ADDGROUP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394. ADDSD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575. ADDUSER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1086. ALTDSD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1297. ALTGROUP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1438. ALTUSER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2199. CONNECT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

10. DELDSD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23811. DELGROUP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24312. DELUSER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24713. DISPLAY の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25214. HELP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25515. LISTDSD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26716. LISTGRP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27717. LISTUSER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29418. PASSWORD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31319. PERMIT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32620. RACDCERT コマンドの処理時に使用する ICSF サービス (CSFSERV クラスのリソース) 33121. RACDCERT ADD 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . . 34022. RACDCERT ADD の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34623. RACDCERT ADDRING 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 34724. RACDCERT ADDRING の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 34825. RACDCERT ADDTOKEN の例 . . . . . . . . . . . . . . . . . . . . . . . . . 35126. RACDCERT ALTER 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 35227. RACDCERT ALTER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 35428. RACDCERT ALTMAP 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 35529. RACDCERT ALTMAP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 35730. RACDCERT BIND 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . . 35931. RACDCERT BIND の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36132. RACDCERT CHECKCERT 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . 36333. RACDCERT CHECKCERT の例 . . . . . . . . . . . . . . . . . . . . . . . . . 36534. RACDCERT CONNECT 機能に必要な権限 ― 自分自身の鍵リングへの接続 . . . . . . . . 36735. RACDCERT CONNECT 機能に必要な権限 ― 別のユーザーの鍵リングへの接続 . . . . . . . 36736. RACDCERT CONNECT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 36937. RACDCERT DELETE 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 37038. RACDCERT DELETE の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 37239. RACDCERT DELMAP 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 37340. RACDCERT DELMAP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 37541. RACDCERT DELRING 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 37642. RACDCERT DELRING の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 37743. RACDCERT DELTOKEN の例 . . . . . . . . . . . . . . . . . . . . . . . . . 37944. RACDCERT EXPORT 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 38145. RACDCERT EXPORT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 38346. GENCERT の subjectKeyIdentifier 拡張機能ロジック . . . . . . . . . . . . . . . . . 38447. GENCERT の authorityKeyIdentifier 拡張機能ロジック . . . . . . . . . . . . . . . . . 38448. GENCERT の keyUsage 拡張機能ロジック . . . . . . . . . . . . . . . . . . . . . 385

© Copyright IBM Corp. 1994, 2008 ix

||||

||

||

||||

||

49. GENCERT の basicConstraints 拡張機能ロジック . . . . . . . . . . . . . . . . . . . 38550. GENCERT の subjectAltName 拡張機能ロジック . . . . . . . . . . . . . . . . . . . 38551. GENCERT の issuerAltName 拡張機能ロジック . . . . . . . . . . . . . . . . . . . 38552. RACDCERT GENCERT 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 38653. RACDCERT GENCERT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 39654. RACDCERT GENREQ 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 39855. RACDCERT GENREQ の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 39956. RACDCERT IMPORT 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 40157. RACDCERT IMPORT の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40558. RACDCERT LIST 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . . 40759. RACDCERT LIST の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40960. RACDCERT LISTMAP 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 41361. RACDCERT LISTMAP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 41562. RACDCERT LISTRING 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 41663. RACDCERT LISTRING の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 41764. RACDCERT IMPORT 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 41965. RACDCERT LISTTOKEN の例 . . . . . . . . . . . . . . . . . . . . . . . . . 42166. RACDCERT MAP 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . . 42267. RACDCERT MAP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42868. RACDCERT REKEY 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . . 43169. RACDCERT REKEY の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43670. RACDCERT REMOVE 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . . 43771. RACDCERT REMOVE の例 . . . . . . . . . . . . . . . . . . . . . . . . . . 43972. RACDCERT ROLLOVER 機能に必要な権限 . . . . . . . . . . . . . . . . . . . . 44173. RACDCERT ROLLOVER の例 . . . . . . . . . . . . . . . . . . . . . . . . . 44274. RACDCERT UNBIND の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . 44575. RACLINK の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45276. RACPRIV の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45577. データ型に基づいた、MAXLENGTH キーワードの有効値または有効範囲 . . . . . . . . . 48478. RALTER の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51479. データ型に基づいた、カスタム・フィールドの内容を制限する属性のデフォルト値 . . . . . . 54780. データ型に基づいた、MAXLENGTH 属性の有効値または有効範囲、およびデフォルト値 55081. RDEFINE の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57482. RDELETE の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58283. REMOVE の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58684. RESTART の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58985. RLIST の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60486. RVARY の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62187. SEARCH の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63788. 呼び出し可能サービスとそれに関連した機能番号 . . . . . . . . . . . . . . . . . . 65189. SET の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65490. SETROPTS の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70891. SIGNOFF の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71592. STOP の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71893. TARGET の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73094. データ・セットの場合の総称命名 . . . . . . . . . . . . . . . . . . . . . . . . 73795. 拡張総称命名機能が非アクティブの場合のデータ・セットの総称命名 - アスタリスクが末尾にある場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738

96. 拡張総称命名機能が非アクティブの場合のデータ・セットの総称命名 - アスタリスクまたは %が中間にある場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738

97. 拡張総称命名機能がアクティブで作成された総称データ・セット・プロファイル名 - アスタリスクと 2 重アスタリスクが末尾にある場合 . . . . . . . . . . . . . . . . . . . . . 739

x z/OS V1R10.0 Security Server RACF コマンド言語解説書

||

||

||

||

||||

||

||||

98. 拡張総称命名機能がアクティブで作成された総称データ・セット・プロファイル名 - アスタリスク、2 重アスタリスクまたは % 記号が中間にある場合 . . . . . . . . . . . . . . . . 740

99. EGN を非活動化した後 - アスタリスクおよび % 記号が中間にある場合. . . . . . . . . . 740100. EGN を非活動化した後 - アスタリスクおよび二重アスタリスクが末尾にある場合 . . . . . . 740101. 一般リソースの総称命名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742102. 一般リソースの総称命名 - % 記号、アスタリスク、または二重アスタリスクが先頭にある場合 744103. 一般リソースの総称命名 - アスタリスクまたは二重アスタリスクが末尾にある場合 . . . . . . 745104. 一般リソースの総称命名 - アスタリスク、二重アスタリスクまたは % 記号が中間にある場合 745105. アスタリスク (*) を含んでいるプロファイル名の許可 . . . . . . . . . . . . . . . . . 746106. % 記号 (%) を含んでいるプロファイル名の許可. . . . . . . . . . . . . . . . . . . 746107. SFS プロファイルを管理するコマンド . . . . . . . . . . . . . . . . . . . . . . 747108. z/OS システム用のリソース・クラス . . . . . . . . . . . . . . . . . . . . . . . 749109. z/VM システムのリソース・クラス . . . . . . . . . . . . . . . . . . . . . . . . 757

表 xi

xii z/OS V1R10.0 Security Server RACF コマンド言語解説書

本書について

本書は z/OS (5694-A01) をサポートするものであり、z/OS Security Server の一部であるリソース・アクセス管理機能 (RACF) に関する情報を記載しています。

本書の目的本書では、RACF の各コマンドの構文と機能について説明しています。コマンドは、アルファベット順に並べてあり、各コマンドの記述の中のオペランドもアルファベット順に示されています。ただし、オペランドが定位置オペランドである場合、または代替オペランドがグループとしてひとまとめにされている場合、または代替オペランドをグループ化するほうが実際は見やすい場合、アルファベット順になっていません。

本書の付録には、データ・セットおよび一般リソースについての総称プロファイルと個別プロファイルに関する情報、そして RACF クラスのリストが含まれています。

本書の対象読者本書は RACF データベースのユーザー、グループ、データ・セット、および一般リソースのプロファイルの作成、更新、または保守を担当する RACF 定義ユーザーを対象としたものです。

本書をお読みになる際には、RACF の概念と用語を理解しておく必要があります。また RACF の多くの機能に関しては、「z/OS Security Server RACF セキュリティー管理者のガイド」に記載されている詳細な記述を理解している必要があります。

本書の使用法v すべての RACF コマンドを簡単な表にしたものが、 1ページの『第 1 章はじめに』に記載されています。

v RACF コマンド実行に関する一般情報が必要な場合は、 9ページの『第 2 章RACF コマンドの発行に関する基本情報』をご参照ください。

v コマンド構文図の見かたについては、 11ページの『RACF コマンドおよびオペランドの構文』を参照してください。

v RACF コマンドの RACF TSO コマンドとしての実行に関する情報が必要な場合は、 19ページの『第 3 章 RACF TSO コマンド』をご参照ください。

v RACF コマンドを RACF オペレーター・コマンドとして実行する場合の情報が必要な場合は、 25ページの『第 4 章 RACF オペレーター・コマンド』をご参照ください。

v 入力したいコマンドは分かっていても、構文が不確かな場合は、該当するコマンドについて解説している章を参照してください。

© Copyright IBM Corp. 1994, 2008 xiii

追加情報の入手先本書では、必要な個所では他の資料を参照しています。 z/OS® のすべてのエレメントに関する資料のタイトルと資料番号の詳細については、「z/OS 情報ロードマップ」を参照してください。

ソフトコピー資料RACF® ライブラリーは、以下の CD-ROM、DVD、およびオンライン・ライブラリー・コレクションで入手できます。コレクションには、ソフトコピー資料を表示するために使用する Softcopy Reader というプログラムが含まれています。

SK3T-4269 z/OS Version 1 Release 10 Collection

このコレクションには、z/OS の現行リリースの非ライセンス資料一式が、 BookManager® ファイルと PDF ファイルの両方の形式で収められています。PDF ファイルは、Adobe Reader で表示したり印刷することができます。

SK3T-4272 z/OS Security Server RACF Collection

このソフトコピー・コレクション・キットには、複数のリリースのz/OS の Security Server ライブラリーが、BookManager および PDFの両方の形式で収められています。また、かなりの RACF 情報が含まれた z/OS ソフトウェア製品資料も収められています。このコレクションには、ライセンス出版物は含まれていません。

SK3T-7876 IBM eServer zSeries Redbooks Collection

このソフトコピー・コレクションには、 zSeries® サブジェクト・エリアに属する IBM Redbooks® と呼ばれる一式の資料が収められています。このサブジェクト・エリアの範囲は、e-business アプリケーション開発および使用可能化から、ハードウェア、ネットワーキング、Linux®、ソリューション、セキュリティー、 ParallelSysplex®、その他の多くのものまでです。

SK2T-2177 IBM Redbooks S/390 Collection

このソフトコピー・コレクションには、 S/390® サブジェクト・エリアに属する IBM Redbooks と呼ばれる一式の資料が収められています。このサブジェクト・エリアの範囲は、アプリケーション開発および使用可能化から、ハードウェア、ネットワーキング、セキュリティー、 Parallel Sysplex、その他の多くのものまでです。

IBM システム・センターの資料IBM® システム・センターは、RACF のセットアップと使用に役立つ、 IBMRedbooks® という資料を作成しています。これらの資料は、正式なレビューや技術的な正確性の検査も受けていませんが、プロダクトの最新の (資料発行時の) 内容をもとに、 RACF の広範なトピックについて貴重な情報を説明しています。これらの資料は RACF と一緒には出荷されません。必要な場合は、別途注文する必要があります。これらの資料の一部を以下に示します。他にも資料は用意されていますが、提供する情報が IBM プロダクト資料に組み込まれているか、または技術的に内容が古くなっているため、このリストには含まれていません。

前書き

xiv z/OS V1R10.0 Security Server RACF コマンド言語解説書

GG24-4282 Secured Single Signon in a Client/Server EnvironmentGG24-4453 Enhanced Auditing Using the RACF SMF Data Unload UtilityGG26-2005 RACF Support for Open Systems Technical Presentation GuideSG24-4704 OS/390 Security Services and RACF-DCE InteroperationSG24-4820 OS/390 Security Server Audit Tool and Report ApplicationSG24-5158 Ready for e-business: OS/390 Security Server EnhancementsSG24-6840 Communications Server for z/OS V1R2 TCP/IP Implementation Guide Volume

7: Security

他の情報ソースIBM はカスタマーがアクセスできるディスカッションの場を用意し、カスタマーとIBM の両方の参加者により RACF について意見を交換できるようにしています。他にも、インターネットを通じて利用できる情報もあります。

IBM ディスカッション・エリアIBM は、RACF 関連のトピックについてのディスカッションのために、ibm.servers.mvs.racf ニュースグループを用意しています。このニュースグループは、ユーザーのお気に入りのニュース・リーダー・クライアントを使用して、ニュース (NNTP) サーバー news.software.ibm.com で検索することができます。

インターネットの情報源インターネットを通して、以下のリソースが利用可能で、RACF ライブラリーおよびその他のセキュリティー関連のトピックについての追加情報を得ることができます。

v オンライン・ライブラリー

z/OS 資料のオンライン・バージョンを表示したり印刷するには、次のアドレスを使用してください。

http://www.ibm.com/systems/z/os/zos/bkserv/

v Redbooks

IBM Redbooks と呼ばれるこの資料は、 International Technical SupportOrganization (ITSO) によって作成され、次のアドレスで利用することができます。

http://www.redbooks.ibm.com

v エンタープライズ・システム・セキュリティー

Security Server を構成するエレメントを含め、S/390 プラットフォーム、OS/390®、および z/OS でのセキュリティーについて詳しくは、次のアドレスをご利用ください。

http://www.ibm.com/systems/z/advantages/security/

v RACF ホーム・ページ

次のアドレスを使用して、World Wide Web の RACF ホーム・ページにアクセスすることができます。

http://www.ibm.com/servers/eserver/zseries/zos/racf/

v RACF-L ディスカッション・リスト

前書き

本書について xv

http://www.ibm.com/systems/z/os/zos/bkserv/http://www.ibm.com/redbookshttp://www.ibm.com/systems/z/advantages/security/http://www.ibm.com/servers/eserver/zseries/zos/racf/

RACF-L ディスカッション・リストでは、カスタマーと IBM の担当者が RACFについてディスカッションすることができます。 RACF-L の主催、運営は IBMではなく、ジョージア大学 (University of Georgia) によって行われています。

RACF-L ディスカッションに申し込んで、通知を受け取ることができるようにするためには、下記のアドレスへノートを送付してください。

[email protected]

ノートの本文に次の行を記入してください (first name last name のところに読者の名前、姓を記入してください)。

subscribe racf-l first_name last_name

RACF-L へ質問または答を書き込むためには、適切な Subject (主題): 行を入れたノートを下記の宛先に送付してください。

[email protected]

v サンプル・コード

RACF を使用する際に役立つサンプル・コード、社内で開発されたツール、および出口ルーチンを入手することができます。このコードは、提供時にコードの開発環境で動くことが確認されていますが、正式にサポートされているものではありません。各ツールとサンプルには README ファイルが存在し、これらのツールまたはサンプルに関する説明と使用する上での制限事項が記述されています。

Web ブラウザーからこのコードにアクセスするには、RACF ホーム・ページにアクセスして、ナビゲーション・バーから『Downloads』というトピックを選択するか、 www.ibm.com/servers/eserver/zseries/zos/racf/goodies.html にアクセスしてください。

このコードは、anonymous を使用して、ftp.software.ibm.com から入手することもできます。アクセスするには、以下のようにします。

1. anonymous としてログインする。

2. ダウンロードしたいサンプル・コードやツールを含むサブディレクトリーを検索するには、ディレクトリーを次のように変更します。

cd eserver/zseries/zos/racf/

何らかの追加が行われたときには、RACF-L ディスカッション・リストとニュースグループ ibm.servers.mvs.racf に掲示されます。

注: Web ブラウザーや FTP クライアントの中には (特にグラフィカル・インターフェースを使用しているものは)、 ftp プロトコルの設定方法における不整合が原因で、 ftp.software.ibm.com の使用に問題が生じる可能性があります。問題が発生した場合には、次のいずれかを実行してください。

– Web ブラウザーおよび RACF のホーム・ページからのリンクを使用してアクセスを試みる。

– 別の FTP クライアントを試みる。状況に応じて、グラフィカル・インターフェースではなく、コマンド行インターフェースをベースとするクライアントを使用する。

前書き

xvi z/OS V1R10.0 Security Server RACF コマンド言語解説書

http://www.ibm.com/servers/eserver/zseries/zos/racf/http://www.ibm.com/servers/eserver/zseries/zos/racf/goodies.htmlhttp://www.ibm.com/servers/eserver/zseries/zos/racf/

– FTP クライアントがリモート・システム用の構成パラメーターをもっている場合は、 MVS™ の代わりに UNIX® として構成する。

制約事項サンプル・コードおよびツールは正式にサポートされているものではありません。このため以下の制約があります。

– 機能強化を保証していない。

– APAR を受け付けない。

IBM 関連資料の入手方法ご希望の関連資料につきましては、IBM 営業担当員またはお近くの IBM 営業所にお申し付けください。

前書き

本書について xvii

xviii z/OS V1R10.0 Security Server RACF コマンド言語解説書

変更の要約

変更の要約SA88-8617-09 (英文原典: SA22-7687-12)z/OS バージョン 1 リリース 10

この資料は、バージョン 1 リリース 9 をサポートする「z/OS Security Server RACFコマンド言語解説書」(SA88-8617-08) で以前に記載された内容を含んでいます。

新規の情報

v カスタム・フィールドをサポートするように、CSDATA オペランドが以下のコマンドに追加されました。– ADDGROUP

– ADDUSER

– ALTGROUP

– ALTUSER

– LISTGRP

– LISTUSER

v カスタム・フィールドをサポートするように、CFDEF オペランドが以下のコマンドに追加されました。– RALTER

– RDEFINE

– RLIST

変更された情報

v カスタム・フィールドのために、 14ページの『RACF プロファイルの非基本セグメントに対する RACF コマンドの制限』が更新されました。

v LISTUSER コマンドの KERB オペランドの説明および出力例が更新されました。

v パスワード・フレーズ・エンベロープのために、LISTUSER コマンドの目的および出力が更新されました。

v 以下のコマンドについて、パスワードのリセットおよびユーザー情報のリストの権限に関する詳細が更新されました。– ALTUSER

– LISTUSER

– SETROPTS (PASSWORD オプションの MINCHANGE サブオペランド)

v 以下をサポートするように、RACDCERT ADD および IMPORT コマンドのPCICC および ICSF オペランドの説明が更新されました。– あるシステムから別のシステムへの ICSF 秘密鍵を含んだ証明書のマイグレーション

– 4096 ビットの RSA 鍵

v 4096 ビットの RSA 鍵をサポートするように、RACDCERT GENCERT およびREKEY コマンドの PCICC および ICSF オペランドの説明が更新されました。

v IPv6 アドレスをサポートするように、RACDCERT GENCERT コマンドのALTNAME オペランドの説明が更新されました。

© Copyright IBM Corp. 1994, 2008 xix

v 以下のコマンドで、KERB セグメントの PASSWORD オプションの説明が更新されました。– RALTER

– RDEFINE

v パスワード・フレーズをサポートするように、SETROPTS コマンドのWARNING および NOWARNING オプションの説明が更新されました。

v 749ページの『付録 B. 提供される RACF リソース・クラス』のタイトルが変更されました。このトピックは、『提供されるクラス記述子テーブル・エントリー』というタイトルでした。また、このトピックは、新しいクラスの情報で更新されました。

再構成した情報

v 検索のしやすさと分かりやすさを向上させるために、以前は『RACDCERT(RACF ディジタル証明書)』というタイトルのトピックに記載されていた情報のほとんどが、各 RACDCERT 機能を個別に説明する、フル・セットのトピックで記載されるようになりました。

各トピックは、タイトルとして RACDCERT コマンド機能の名前が付けられ、目的、必要な権限、構文、パラメーターの説明、例、および各機能の使用に関する他の固有情報が含まれています。 329ページの『RACDCERT (RACF ディジタル証明書の管理)』を参照。

本書には、用語、細かな修正、および編集上の変更が含まれています。本文または図表に対して技術的な変更または追加が行われている場合には、その個所の左側に縦線を引いて示してあります。


本書は、バージョン 1 リリース 8 をサポートする「z/OS Security Server RACF コマンド言語解説書」SA88-8617-07 (英文原典: SA22-7687-10) で以前に記載された内容を含んでいます。

新規の情報

v 以下のコマンドの KERB ENCRYPT オペランドに AES128 と AES256 のオプションが追加されました。– ADDUSER

– ALTUSER

– RDEFINE

– RALTER

v z/OS PKCS #11 トークンをサポートするために、RACDCERT コマンドに以下の機能が追加されました。– ADDTOKEN

– DELTOKEN

– LISTTOKEN

– BIND

– IMPORT

– UNBIND

xx z/OS V1R10.0 Security Server RACF コマンド言語解説書

v RACDCERT コマンドの説明に、UTF-8 文字の新しいサポートに関する情報が追加されました。


v 以下のコマンドの PHRASE オペランドについての説明が更新されました。– ADDUSER

– ALTUSER

– PASSWORD または PHRASE

v 以下のコマンドの KERB オペランドについての説明と出力例が更新されました。– LISTUSER

– RLIST

v RACDCERT コマンドが、新しい RACDCERT 機能の権限の情報で更新されました。

v SETROPTS コマンドの KERBLVL オペランドの説明が変更されました。 z/OSバージョン 1 リリース 9 以降では、SETROPTS コマンドの KERBLVL オペランドは無視されます。

v 749ページの『付録 B. 提供される RACF リソース・クラス』に、APAROA20162 への対応を含む、新しいクラスについての情報が加えられ、更新されました。

v APAR OA18327 に対応して、ADDUSER および ALTUSER コマンドの NAMEオペランドの説明が更新されました。

v APAR OA19353 に対応して、SETROPTS コマンドの GENERIC およびNOGENERIC オペランドの説明が更新されました。

本書には、用語、細かな修正、および編集上の変更が含まれています。



新規の情報

v APAR OA17400 に対応して、CRITERIA 条件が PERMIT コマンドの WHEN オペランドに追加されました。


v APAR OA17400 に対応して、以下のコマンドのドキュメンテーションが更新されました。– ADDSD

– PERMIT

– RDEFINE

– RLIST

v 本書では、パスフレーズ (pass phrase) という用語をパスワード・フレーズ(password phrase) に変更します。


変更の要約 xxi



新規の情報

v RACDCERT ADD コマンドに PCICC オペランドが追加されました。v RDEFINE コマンドの CDTINFO オペランドに GENERIC サブオペランドが追加されました。

v RALTER コマンドの CDTINFO オペランドに GENERIC および NOGENERICサブオペランドが追加されました。

v ADDUSER コマンドに PHRASE オペランドが追加されました。v ALTUSER コマンドに PHRASE および NOPHRASE オペランドが追加されました。

v PASSWORD コマンドに PHRASE 別名が追加されました。v RDEFINE および RALTER コマンドに ICTX オペランドが追加されました。v ADDUSER コマンドの OPERPARM オペランドに以下のサブオペランドが追加されました。– HC

– INTIDS

– UNKNIDS

v ALTUSER コマンドの OPERPARM オペランドに以下のサブオペランドが追加されました。– HC および NOHC– INTIDS および NOINTIDS– UNKNIDS および NOUNKNIDS


v LISTUSER コマンドの用途および出力が拡張されました。v RACDCERT LIST コマンドの用途および出力が拡張されました。v PASSWORD コマンドの用途および別名が変更されました。PHRASE 別名が追加されました。

v RACDCERT ADD コマンドの ICSF オペランドの説明が変更されました。v RACDCERT GENCERT コマンドの PCICC、ICSF、および DSA オペランドの説明が変更されました。

v RACDCERT REKEY コマンドの PCICC および ICSF オペランドの説明が変更されました。

v RACDCERT EXPORT コマンドの FORMAT オペランドの説明が変更されました。

v DFSMSdfp™ および DFSMSrmm™ に対応するように、以下のコマンド・オペランドの説明が変更されました。– ADDSD ERASE

– ALTDSD ERASE

xxii z/OS V1R10.0 Security Server RACF コマンド言語解説書

– SETROPTS ERASE および CATDSNS

v SETROPTS コマンドの GENERIC および NOGENERIC オペランドの説明が変更されました。

v ADDUSER および ALTUSER コマンドの OMVS(FILEPROCMAX) オペランドの上限が 524287 に変更されました。

v SETROPTS コマンドの PASSWORD オペランドのHISTORY、REVOKE、INTERVAL、MINCHANGE、および WARNING サブオペランドの説明が変更されました。

v ALTUSER コマンドの EXPIRED および NOEXPIRED オペランドの説明が変更されました。

v ADDUSER および ALTUSER コマンドの ALTGRP、UD、および MIGID サブオペランドの説明が変更されました。

v PASSWORD コマンドの説明および PASSWORD コマンドの INTERVAL オペランドの説明が変更されました。

v RDEFINE および RALTER コマンドの EIM オペランドの LOCALREGISTRY サブオペランドの説明がされました。

v 以下のコマンドの WARNING オペランドの説明が変更されました。– ADDSD

– ALTDSD

– RALTER

– RDEFINE

v SETROPTS コマンドの MLACTIVE オペランドの説明に制約事項が追加されました。

v 以下の APAR のサポートが追加されました。– APAR OA11798

– APAR OA12378

– APAR OA13030

– APAR OA13916

– APAR OA14684

– APAR OA14737

– APAR OA15198


変更の要約 xxiii

xxiv z/OS V1R10.0 Security Server RACF コマンド言語解説書

第 1 章はじめに

RACF データベースのプロファイルには、RACF がリソースへのアクセスを制御するために必要な情報が含まれています。 RACF コマンドを使用すると、次のものに関するプロファイルを追加、変更、削除、およびリストすることができます。

v ユーザーv グループv データ・セットv 一般リソース (端末、DASD ボリューム、および RACF クラス記述子テーブル

(CDT) 内で定義された、その他のすべてのリソース・クラスを含む)

表 1 に、それぞれのコマンドとその機能をアルファベット順に示しています。

大部分の RACF 機能では、特別なバージョンまたはリリースのオペレーティング・システムやオペレーティング・システム・コンポーネントを必要としません。ただし、機能の中には、システムが特定のレベルにあることが必要なものもいくつかあります。特定の RACF 機能がユーザーのシステムに使用可能かどうかが明確でない場合は、セキュリティー管理者に問い合わせてください。

コマンドの中には、 RACF サブシステムがアクティブであるか、またはユーザーがそのコマンドを出す権限を持っていることが必要なものもあります。必要とされる権限についての詳細は、「必要とされる権限」のセクションを各コマンドと合わせて参照してください。

以下の RACF コマンドは VM 用の RACF だけで使用できます。

v ADDFILEv ADDDIRv ALTFILEv ALTDIRv DELFILEv DELDIRv LFILEv LDIRECTv PERMFILEv PERMDIRv SRFILEv SRDIR

詳しくは、使用している VM システムに関する「RACF コマンド言語解説書」を参照してください。

© Copyright IBM Corp. 1994, 2008 1

コマンドおよびそれらの機能の要約RACF コマンドにより、ユーザー、グループ、接続項目、およびリソースのプロファイルをリスト、変更、追加、および削除することができます。表 1 に、それぞれのコマンドとその機能をアルファベット順に示しています。

表 1. RACF コマンドの機能RACF コマンドコマンド機能

ADDGROUP v 既存のグループのサブグループとして、新しいグループを 1 つ以上定義する。v グループのモデル・データ・セット・プロファイルを指定する。v グループのカスタム・フィールドを追加する。v グループのデフォルト DFP 情報を定義する。v グループの z/OS UNIX 情報を定義する。v ユニバーサル・グループとして、グループを定義する。

ADDSD v 既存データ・セット (1 つ以上) を RACF 保護する。v RACF 保護されているデータ・セットを 1 つ以上、別のシステムから移し、それらのデータ・セットを RACF 定義する。

v 総称データ・セット・プロファイルを RACF 定義する。v 新しいデータ・セット・モデル・プロファイルを作成する。

ADDUSER v 1 つ以上の新しいユーザーを定義し、それらのユーザーをデフォルト接続グループに接続する。v 1 つ以上のユーザーについて、パスワード、またはパスワードとパスワード・フレーズを定義する。v ユーザーに対するモデル・データ・セット・プロファイルを指定する。v CICS® オペレーター情報を定義する。v ユーザーのカスタム・フィールドを追加する。v ユーザーのデフォルト DFP 情報を定義する。v ユーザーの EIM 情報を定義する。v ユーザーの OMVS 情報を定義する。v 優先する各国語を定義する。v デフォルトのオペレーター情報を定義する。v ユーザーのデフォルト TSO ログオン情報を定義する。v デフォルトの作業属性を定義する。v ユーザーの z/OS UNIX 情報を定義する。v ユーザーの DCE 情報を定義する。v デフォルトの NetView® オペレーター情報を定義する。v ログオン・パネルの COMMAND フィールドを定義する。v ユーザーの LNOTES および NDS の情報を定義する。v RESTRICTED および NORESTRICTED キーワードでアクセス検査を定義する。v ユーザーの KERB 情報を定義する。v ユーザーの PROXY 情報を定義する。v ユーザーに割り当てるリソース・セキュリティー・レベル (RSL) キーを指定する。v ユーザーに割り当てるトランザクション・セキュリティー・レベル (TSL) キーを指定する。

ALTDSD v 1 つ以上の個別または総称データ・セット・プロファイルを変更する。v マルチボリューム非 VSAM DASD データ・セット内の 1 つのボリュームを保護する。v マルチボリューム非 VSAM DASD データ・セット内の 1 つのボリュームから保護を除去する。

ALTGROUP v 1 つ以上のグループ・プロファイルの情報 (上位グループ、所有者、またはモデル・プロファイル名など) を変更する。

v グループのカスタム・フィールドを変更または削除する。v グループのデフォルト DFP 情報を変更または削除する。v z/OS UNIX グループの情報を追加、変更、または削除する。

概要

2 z/OS V1R10.0 Security Server RACF コマンド言語解説書

|

|

|

表 1. RACF コマンドの機能 (続き)RACF コマンドコマンド機能

ALTUSER v 1 つ以上のユーザー・プロファイルの情報 (所有者、汎用アクセス権限、セキュリティー・レベルなど)を変更する。

v 1 つ以上のユーザーの、システムにアクセスする特権の取り消しまたは再設定を行う。v ユーザーに関する情報 (ユーザーが出したコマンドなど) のロギングを指定する。v 1 つ以上のユーザーについて、パスワードまたはパスワード・フレーズを変更する。v CICS オペレーター情報を変更または削除する。v ユーザーのカスタム・フィールドを変更または削除する。v ユーザーのデフォルト DFP 情報を変更または削除する。v ユーザーの EIM 情報を定義、変更、または削除する。v ユーザーの OMVS 情報を定義、変更、または削除する。v 優先する各国語を変更する。v デフォルト・オペレーター情報を変更または削除する。v ユーザーのデフォルト TSO ログオン情報を変更または削除する。v デフォルト作業属性を変更または削除する。v z/OS UNIX ユーザーの情報を追加、変更、または削除する。v ユーザーの DCE 情報を変更する。v NetView オペレーター情報を変更または削除する。v ログオン・パネルの COMMAND フィールドを操作する。v ユーザーの LNOTES および NDS の情報を変更する。v RESTRICTED および NORESTRICTED キーワードでアクセス検査方式を変更する。v ユーザーの KERB 情報を追加または変更する。v ユーザーの PROXY 情報を追加または変更する。v ユーザーに割り当てるリソース・セキュリティー・レベル (RSL) キーの完全リストを指定する。v ユーザーに割り当てるトランザクション・セキュリティー・レベル (TSL) キーの完全リストを指定する。

CONNECT v 1 つ以上のユーザーをグループに接続する。v 1 つ以上のユーザーの、グループへの接続を修正する。v 1 つ以上のユーザーの、システムにアクセスする特権の取り消しまたは再設定を行う。

DELDSD v 1 つ以上の個別または総称データ・セット・プロファイルを削除する。v TVTOC にデータ・セット名を残したまま、テープ・データ・セットの個別データ・セット・プロファイルを削除する。

v RACF を備えている別のシステムに RACF 保護データ・セットを移動する場合、データ・セット・プロファイルを除去するが、そのデータ・セットは RACF 標識付きのままにしておく。

DELGROUP v 1 つ以上のグループ、およびそれらのグループと上位グループとの関係を削除する。DELUSER v 1 つ以上のユーザーを削除し、それらのユーザーと RACF グループとの接続をすべて除去する。DISPLAY v RACF サブシステムにサインオンしているユーザーを表示する。HELP v RACF コマンドの機能および正しい構文を表示する。LISTDSD v 1 つ以上の個別または総称データ・セット・プロファイルの詳細 (データ・セットへのアクセスを許可

されたユーザーおよびグループを含む) をリストする。v データ・セットと、最もよく一致する総称プロファイルを判別する。v 総称 DATASET プロファイルのローカル・リフレッシュを実行する。

LISTGRP v 1 つ以上のグループ・プロファイルの詳細 (グループに接続されたユーザーを含む) をリストする。v グループ・プロファイルの特定のセグメント (例: OMVS または CSDATA) に含まれている情報のみをリストする。

v グループが UNIVERSAL グループの場合、限定情報を表示する。LISTUSER v 1 つ以上のユーザー・プロファイルの詳細 (各ユーザーが接続されているすべてのグループを含む) を

リストする。v ユーザー・プロファイルの特定のセグメント (例: OMVS または CSDATA) に含まれている情報のみをリストする。

概要

第 1 章はじめに 3

|

||

||


PASSWORD またはPHRASE

v 自身のユーザー・パスワードまたはパスワード・フレーズを変更する。v 1 つ以上のユーザーについて、パスワードおよびパスワード・フレーズの変更間隔を変更する。v 1 つ以上のユーザー・パスワードを、デフォルト値に再設定する。

PERMIT v 特定のユーザーまたはグループについて、リソースにアクセスする権限を付与または除去する。v 特定のユーザーまたはグループについて、リソースへのアクセス権限のレベルを変更する。v 許可ユーザーのリストを、あるリソース・プロファイルから別のリソース・プロファイルへコピーする。

v 既存のアクセス・リストを削除する。RACDCERT v 指定した RACF 定義のユーザー ID またはユーザー自身のユーザー ID の証明書についての情報をリ

ストする。v 証明書を追加し、それを指定の RACF 定義のユーザー ID またはユーザー自身のユーザー ID に関連付け、TRUST 状況を設定する。

v RACF に証明書が定義されているかどうかを検査する。v 証明書の TRUST 状況またはラベルを変更する。v 証明書を削除する。v データ・セット内に入っている証明書をリストし、それが、RACF が定義したユーザー ID と関連しているかどうかを確認する。

v 証明書を鍵リングへ追加するか、または鍵リングから除去する。v 鍵リングを作成、削除、またはリストする。v 公開鍵と秘密鍵のペアおよび証明書を生成するか、新規の公開鍵と秘密鍵のペアを持つデジタル証明書を複製するか、または既存の秘密鍵の使用を止める。

v データ・セットに証明書または証明書パッケージを書き込む (エクスポートする)。v 証明書要求を作成する。v 証明書名フィルター (ユーザー ID マッピング) を作成、変更、削除、またはリストする。v z/OS PKCS #11 トークンを追加、削除、またはリストする。v 証明書を z/OS PKCS #11 トークンにバインドする。v 証明書を z/OS PKCS #11 トークンから除去 (アンバインド) する。v 証明書を (存在する場合はその秘密鍵と共に) z/OS PKCS #11 トークンからインポートし、RACF に追加する。

RACLINK v ユーザー ID アソシエーションを定義、承認、および削除 (定義取り消し) する。v ユーザー ID アソシエーションに関連した情報をリストする。v ユーザー ID 間のパスワード同期を設定する。

RACPRIV v ユーザーの書き込み設定をリスト化、活動化、非活動化する。v ユーザーの書き込み設定をインストール先定義のデフォルトにリセットする。

RALTER v クラス記述子テーブルに定義されているクラスに属する 1 つ以上のリソースの個別プロファイルまたは総称プロファイルを変更する。

v グローバル・アクセス検査テーブルを保守する。v セキュリティー・カテゴリー・テーブルおよびセキュリティー・レベル・テーブルを保守する。v プロファイルに KERB セグメントがある場合、使用する暗号鍵をリストする。v プロファイル内の CDTINFO、CFDEF、DLFDATA、SESSION、SSIGNON、および STDATA セグメント情報を保守する。

v EIM セグメントの DOMAINDN、OPTIONS、LOCALREGISTRY、KERBREGISTRY、およびX509REGISTRY 情報を定義、変更、または削除する。

v MVS アプリケーション用 SystemView® に関連するプロファイルを変更する。v PROXY セグメントの LDAPHOST アドレス、BINDDN および BINDPW 情報を定義、変更、または削除する。

v ICTX セグメントの ID キャッシュの構成オプションを保守する。

概要


|


RDEFINE v クラス記述子テーブルに定義されているクラスに属するリソースを、個別プロファイル単位または総称プロファイル単位で RACF 保護する。

v グローバル・アクセス検査テーブルの項目を定義する。v セキュリティー・カテゴリー・テーブルおよびセキュリティー・レベル・テーブルを定義する。v プロファイルに KERB セグメントがある場合、使用する暗号鍵を定義する。v プロファイル内の CDTINFO、CFDEF、DLFDATA、SESSION、SSIGNON、および STDATA セグメント情報を定義する。

v EIM セグメントと、そのセグメント用の DOMAINDN、 OPTIONS、 LOCALREGISTRY、KERBREGISTRY、および X509REGISTRY 情報を定義する。

v RACF が RACF データベース上に RACLIST 処理した結果を保管する際に使用するクラスのリストを定義する。

v MVS アプリケーション用 SystemView に関連するプロファイルを定義する。v 証明書名フィルターの追加基準を作成、変更、または削除する。v プロファイルに PROXY セグメントがある場合、LDAPHOST アドレス、BINDDN および BINDPW情報を定義する。

v ICTX セグメントの ID キャッシュの構成オプションを定義する。v UNIXPRIV クラスに SHARED.IDS プロファイルを定義する。これにより、OMVS セグメントでの

UID および GID の追加または変更のデフォルト動作を制御する。v UNIXPRIV クラスに下記のどちらかを行うプロファイルを定義することによって、 z/OS UNIX System

Services の処理を変更する。– システム単位のオプションとして機能する (例えば、CHOWN.UNRESTRICTED または

FILE.GROUPOWNER.SETGID プロファイル)。– 個々のスーパーユーザー機能を定義する (例えば、SUPERUSER.FILESYS.CHOWN リソースを使用して、ファイルの所有権を変更する機能)。スーパーユーザー機能は、UID(0) を割り当てる代わりに、ユーザーに付与することができる。

RDELETE v クラス記述子テーブルに定義されているクラスに属する 1 つ以上のリソースから RACF 保護を除去する。

v グローバル・アクセス検査テーブルを削除する。v セキュリティー・カテゴリー・テーブルおよびセキュリティー・レベル・テーブルを削除する。v RACF が RACF データベース上に RACLIST 処理した結果を保管する際に使用するクラスのリストの中から、クラスを削除する。

REMOVE v 1 つ以上のユーザーをグループから除去し、そのユーザーが所有していたグループ・データ・セットの新しい所有者を割り当てる。

RESTART v RACF サブシステムのアドレス・スペースの機能を再始動する。v 複数システム・ノードの固有のメンバー・システムへの接続を再始動する。

RLIST v クラス記述子テーブルに定義されているクラスに属する 1 つ以上のリソースの個別プロファイルまたは総称プロファイルの詳細をリストする。

v プロファイル内の CDTINFO、CFDEF、DLFDATA、SESSION、SSIGNON、および STDATA セグメントの内容をリストする。

v プロファイルに EIM セグメントがある場合、 DOMAINDN、 OPTIONS、 LOCALREGISTRY、KERBREGISTRY、および X509REGISTRY 情報をリストする。

v プロファイルに ICTX セグメントがある場合、ID キャッシュの構成オプションをリストする。v プロファイルに KERB セグメントがある場合、使用する暗号鍵をリストする。v プロファイルに PROXY セグメントがある場合、LDAPHOST アドレス、BINDDN 情報、および

BINDPW の存在の有無をリストする。v 総称一般リソース・プロファイルのローカル・リフレッシュを実行する。

RVARY v RACF 機能を動的に非活動化および再活動化する。v RACF 基本およびバックアップ・データベースを動的に非活動化および再活動化する。v RACF の基本データベースとバックアップ・データベースを切り替える。v RACF が非活動化されている間に、クラス記述子テーブルで定義されているクラスに属する任意のリソースのリソース保護を非活動化する。

v RACF がシスプレックス通信に使用可能である場合には、動作モードを選択する。

概要


|

|


SEARCH v リソース、ユーザー、またはグループのクラスの検索基準を満たす RACF プロファイル名のリストを取得する。次のようなプロファイル名をユーザーの端末に表示させることができます。– 特定の文字ストリングを含んでいるプロファイル名– 参照されないまま特定の日数を経過したリソースのプロファイル– モデル・プロファイルとして RACF が認識しているプロファイル– 指定したレベル以上のレベルを含むデータ・セット・プロファイルおよび一般リソース・プロファイル

– 指定したセキュリティー・ラベルに一致するセキュリティー・ラベルを含むユーザー・プロファイルおよびリソース・プロファイル。

– 指定したセキュリティー・レベルに一致するセキュリティー・レベルを含むユーザー・プロファイルおよびリソース・プロファイル

– 指定したアクセス・カテゴリーに一致するアクセス・カテゴリーを含むユーザー・プロファイルおよびリソース・プロファイル。

– ユーザーが指定した UID に等しい OMVS UID を含むユーザー・プロファイル。– ユーザーが指定した GID に等しい OMVS GID を含むグループ・プロファイル。– 指定した基準に一致する満了日が指定されているデータ・セットのみが入っているテープ・ボリュームのプロファイル。

– 特定のボリュームに常駐するデータ・セットのプロファイル (または特定のボリューム上のカタログに登録されている VSAM データ・セットのプロファイル)

– テープ・データ・セット、非 VSAM DASD データ・セット、または VSAM データ・セットの各プロファイル

v 選択されたプロファイル名を、特定の文字ストリングを用いて一連のコマンドまたはメッセージにフォーマット設定し、それらを CLIST データ・セットに保存する。

v リソースのクラスの検索基準を満たす RACF プロファイル名の CLIST を作成する。SET v ローカル・ノード上の RACF リモート共用機能 (RRSF) に関する情報をリストする。

v FMID/APAR 値に続くテンプレート・バージョンの rrrrrrrr.aaaaaaaa 値をリストする。v RACF パラメーター・ライブラリーのメンバー名を指定して、 RRSF により処理されるようにする。v 指定したオペランドに関してトレースを (SAFTRACE も含め) オンまたはオフに設定する。v 自動コマンド・ダイレクトのオプションを指定する。

概要



SETROPTS リソース保護に関連してシステム全体に適用される、以下のオプションを動的に設定する。v RACF が保護を行うリソース・クラスを選択する。v RACF 統計を集めて表示する。v 端末の汎用アクセス権限 (UACC) をセットする。v プロファイルに KERB セグメントがある場合、使用する KERBLVL を設定する。 (z/OS V1R9 以降は、KERBLVL の設定は無視されます。)

v 特定の RACF コマンドおよびイベントのロギングを指定する。v グループ・リスト・アクセス検査を許可する。v 現在有効なオプションを表示する。v 総称プロファイル検査をクラスごとに使用可能または使用不可にする。v ユーザー・パスワードの構文規則を制御する。v 以前のパスワードおよびパスワード・フレーズの検査をアクティブにする。v 誤ったパスワードおよびパスワード・フレーズを使用してシステムにアクセスしようとする、不成功に終わる試行の回数を制限する。

v パスワードおよびパスワード・フレーズの最大変更間隔を制御する。v パスワードおよびパスワード・フレーズの最小変更間隔を制御する。v 大/小文字混合パスワードを制御する。v パスワード有効期限切れを警告する。v 汎用アクセス規則を選択し、それを用いて、選択した個別のリソースまたは総称名のグローバル・アクセス検査を制御する。

v RVARY コマンドの使用を許可するためのパスワードを設定する。v ストレージ内の総称プロファイル・リストおよびグローバル・アクセス検査テーブルのリフレッシュを開始する。

v 共通ストレージ内の一般リソースの共用総称プロファイルを使用可能または使用不能にする。v 一般リソースの RACLIST 処理を通じて、共用プロファイルを使用可能または使用不能にする。v インストール先定義のセキュリティー・レベルに基づいて行う RACF 保護リソースへのアクセスの試行の監査を、活動化または非活動化する。

v 拡張総称命名を活動化する。v 自動データ・セット保護 (ADSP) の使用を制御する。v GDG データ・セット、グループ・データ・セット、およびユーザー・データ・セットのプロファイルのモデル化を活動化する。

v 単一レベルの名前のデータ・セットの保護を活動化する。v 実データ・セット名のロギングを制御する。v ジョブ入力サブシステム (JES) のオプションを制御する。v テープ・データ・セットの保護を活動化する。v データ・セットを RACF 保護することが必要かどうかを制御する。v スクラッチされた DASD データ・セットの消去を制御する。v プログラム制御を活動化する。v プロファイル作成者のユーザー ID が自動的にプロファイルのアクセス・リストに追加されるかどうかを制御する。

v ローカル RACF レジストリーの名前を EIM サービスが使用できるようにする。v 動的クラス記述子テーブルの使用を制御する。v マルチレベル・セキュリティー・オプションを制御する。

SIGNOFF v RACF サブシステムからユーザーをサインオフする。STOP v RACF サブシステムのアドレス・スペースを停止する。

概要



TARGET v 指定されたターゲット RRSF ノードの制御および操作特性をリストする。v ターゲット RRSF ノードの名前を指定する。v ターゲット RRSF ノードに接続するための操作状態を要求する。v RRSF ノードをローカル・ノードから削除する。v ターゲット RRSF ノードの記述を指定する。v RACF サブシステム・アドレス・スペース内で RRSF により管理されるワークスペース・データ・セットを除去する。

v 2 つの RRSF ノード間の通信で使用される移送メカニズムのプロトコル・タイプを指定する。v ターゲット RRSF ノードと、構成されているノードとの間の関係を指定する。v 各ターゲット・ノード用に RRSF が割り振り、かつ使用するワークスペース・データ・セットの接頭部を指定する。

v RRSF に定義されているノードと関連したワークスペース・データ・セットの特性を指定する。v 複数システム・ノードの名前を指定する。v 複数システム RRSF ノードのメイン・システムを指定する。

注: データ共用モードまたは読み取り専用モードにおいて、RACF はグローバルENQ を使用して RACF データベースへのアクセスを逐次化し、その後でリソースから保護を追加または除去します。それ以外は (インストール先が明示的にGRS に変換しない限り)、RACF はハードウェア RESERVE/RELEASE を使用します。

概要


第 2 章 RACF コマンドの発行に関する基本情報

RACF コマンドを使用して、RACF プロファイルを追加、修正変更、または削除することができます。さらに、システム全体に適用されるオプションを定義することができます。ユーザーは、適切な権限のレベルを持つものとして RACF に対して定義されて初めて、 RACF コマンドを出すことができるようになります。

RACF コマンドの入力方法RACF コマンドを入力するにはいくつかの方法があります。

RACF TSO コマンドRACF コマンドの中には、RACF TSO コマンドとして入力できるものもあります。RACF コマンドを RACF TSO コマンドとして入力する場合の情報は、 19ページの『第 3 章 RACF TSO コマンド』を参照してください。RACF TSO コマンドとして入力できる RACF コマンドの全リストは、 10ページの表 2 を参照してください。

RACF オペレーター・コマンドRACF コマンドの中には、RACF オペレーター・コマンドとして入力できるものもあります。RACF コマンドを RACF オペレーター・コマンドとして入力する場合の情報は、 25ページの『第 4 章 RACF オペレーター・コマンド』を参照してください。 RACF オペレーター・コマンドとして入力できる RACF コマンドの全リストは、 10ページの表 2 を参照してください。

コマンド・ダイレクトおよび自動コマンド・ダイレクトRACF コマンドの中には、コマンド・ダイレクトを用いることにより、リモート・ノードまたは同一ノード上のユーザー ID の権限のもとに、実行することを指示できるものもあります。コマンド・ダイレクトには、コマンド上の AT キーワードを使用します。コマンド・ダイレクションについては、「z/OS Security Server RACFセキュリティー管理者のガイド」を参照してください。AT キーワードについては、使用できるコマンドの記述を参照してください。コマンド・ダイレクトで使用できる RACF コマンドの全リストは、 10ページの表 2 を参照してください。

ある (上位レベルの) システムで実行されて、手作業でまたは自動的に別の (下位レベルの) システムに、 RACF リモート共用によってダイレクトされたコマンドを実行しようとする場合、 RACF 2.2 のインストール以降では、失敗する可能性があります。この失敗は、次のいずれかの理由で起こることがあります。

v ターゲット・システムが認識しないクラスをコマンドが参照する (例えば、クラス記述子テーブルが異なる場合)。

v ターゲット・システムが認識しないセグメントまたはフィールドをコマンドが参照する (例えば、テンプレートまたは動的構文解析定義が異なる場合)。

v ターゲットが認識しないコマンド・キーワードをコマンドが使用する (例えば、動的構文解析定義またはコマンド・プロセッサー・コードが異なる場合)。あるいは、ターゲット・システムが受け入れられないプロファイル名またはメンバー名

© Copyright IBM Corp. 1994, 2008 9

をコマンドが指定している (例えば、クラス記述子テーブルが、プロファイル名の長さまたは構文について異なる構文要件をもっている場合)。

自動コマンド・ダイレクトを使用中に、非同期状態が発生した場合、その状態を修正する ONLYAT キーワードを指定して RACF TSO コマンドをダイレクトできます。このコマンドは ONLYAT キーワードに指定されたノード上で実行し、他のすべてのノードにも伝搬されます。 (AT キーワードを使用する場合、このコマンドは自動コマンド・ダイレクトにより、他のノードに伝搬される可能性があることに注意してください。) ONLYAT キーワードについては、使用できるコマンドの記述を参照してください。自動コマンド・ダイレクトで使用できる RACF コマンドの全リストは、表 2 を参照してください。

RACF TSO コマンドの中には、ノード間でプロファイルを同期化しておくために、リモート・ノードに向けて自動的に指示できるものもあります。自動コマンド・ダイレクトについては、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

RACF パラメーター・ライブラリーRACF コマンドの中には、RACF パラメーター・ライブラリーから処理できるものもあります。RACF パラメーター・ライブラリーの使用については、「z/OS SecurityServer RACF システム・プログラマーのガイド」を参照してください。 RACF パラメーター・ライブラリー内から処理できるコマンドの全リストは、表 2 を参照してください。

R_admin 呼び出し可能サービスR_admin 呼び出し可能サービス (IRRSEQ00) を呼び出すことによって、コマンドを出すこともできます。この呼び出し可能サービスの使用法についての詳細、およびこの方法で出すことのできるコマンドのリストについては、「z/OS Security ServerRACF 呼び出し可能サービス」を参照してください。

要約表 2 に、各 RACF コマンドの入力方法を示します。

表 2. RACF コマンドの出し方

RACFコマンド

RACF TSOコマンドとしては?

RACFオペレーター・コマンドとしては?

コマンド・ダイレクトでは?

自動コマンド・ダイレクトでは?

RACFパラメーター・ライブラリーからは?

ADDGROUP 可可可可可

ADDSD 可可可可可

ADDUSER 可可可可可

ALTDSD 可可可可可

ALTGROUP 可可可可可

ALTUSER 可可可可可

BLKUPD 1 可不可不可不可不可

CONNECT 可可可可可

DELDSD 可可可可可

基本情報


表 2. RACF コマンドの出し方 (続き)

RACFコマンド

RACF TSOコマンドとしては?

RACFオペレーター・コマンドとしては?

コマンド・ダイレクトでは?

自動コマンド・ダイレクトでは?

RACFパラメーター・ライブラリーからは?

DELGROUP 可可可可可

DELUSER 可可可可可

DISPLAY 不可可不可不可可

HELP 可不可不可不可不可

LISTDSD 可可可不可可

LISTGRP 可可可不可可

LISTUSER 可可可不可可

PASSWORD 可可可可可

PERMIT 可可可可可

RACDCERT 可不可不可不可不可

RACLINK 可可不可不可不可

RACPRIV 可不可不可不可不可

RALTER 可可可可可

RDEFINE 可可可可可

RDELETE 可可可可可

REMOVE 可可可可可

RESTART 不可可不可不可不可

RLIST 可可可不可可

RVARY 可可不可不可可

SEARCH 可可可 2 不可可

SET 不可可不可不可可

SETROPTS 可可可可 3 可

SIGNOFF 不可可不可不可可

STOP 不�

Security Server RACF コマンド言語解説書 - TOK2図 1....

Documents

Transcript of Security Server RACF コマンド言語解説書 - TOK2図 1....