IBM Z Japan - Group home

#028【z/OS V2R2/V2R3新機能】「ワイルド・カード」指定(データセット名)によるHRECALLコマンド実行の制限

By Shigeki Kimura posted Wed March 17, 2021 08:37 AM

  
z/OS V1R5 DFSMShsm以降、HSMコマンド・セキュリティが変更され、RACF FACILITYクラスが活動化されている場合は、HSM独自方法(AUTHコマンド)による制御が行われず、RACF FACILITYクラスのプロファイルによる保護、および該当プロファイルへのアクセス許可(READ)なしではコマンド実行できなくなりました。
設定例①: 全てのユーザーに対して、全てのユーザー・コマンド(Hxxx)を利用可能とする: RDEFINE FACILITY STGADMIN.ARC.ENDUSER.* UACC(READ)
設定例②: 全てのユーザーに対して、HRECALLユーザー・コマンドを利用可能とする: RDEFINE FACILITY STGADMIN.ARC.ENDUSER.HRECALL UACC(READ)

一方、HRECALLコマンドを実行する際、データセット名の一部に、「*」、「%」のワイルド・カード指定を行うと、一度に多数のデータセットがRECALL対象になる可能性があり、パフォーマンスへの悪影響が懸念されます。

【z/OS V2R3 DFSMShsmの新機能】(標準機能: APAR OA52989)

  • データセット名の一部に「ワイルド・カード指定」(1つ以上の*指定、あるいは、2つ以上の%指定)を含むHRECALLコマンドは、RACF FACILITYクラスの新規プロファイル(STGADMIN.ARC.ENDUSER.HRECALL.MASK)に対する「READ」アクセス許可をもつユーザーのみが実行できます。
※HRECALLコマンド実行時のデータセット名に「ワイルド・カード指定」(1つ以上の*指定、あるいは、2つ以上の%指定)を禁止するための方法
RDEFINE FACILITY STGADMIN.ARC.ENDUSER.HRECALL.MASK UACC(NONE)
※必要な権限を持たないユーザーが、上記「ワイルド・カード」指定のHRECALLコマンドを実行した場合のエラー・メッセージ出力
ARC1608I NOT AUTHORIZED FOR HRECALL WITH AN * OR MORE THAN TWO % CHARACTERS IN THE DATA SET NAME PARAMETER.
  • 同様な新機能は、z/OS V2R2に対しても提供されました。(DFSMShsm APAR OA55975)
以上
0 comments
3 views