従来、FTPサーバーでは、「JES」オペレーション・モードへのアクセス制御が行われていないため、「FILETYPE SEQ」(省略時値)で稼働中のFTPサーバーに接続して、「SITE FILETYPE=JES」コマンドによる「FTP JES」モードの活動化を自由に行うことが可能です。
※「FTP JES」モードでは、ジョブのサブミット、ジョブログの操作などが可能
■z/OS V2R5でのオペレーション例(RACF SERVAUTHクラス活動中)
【新機能】
■TCP/IP APAR PH42618 (PTF: 2022/03 CLOSE)
■対象: z/OS V2R3、V2R4、V2R5
■ドキュメント変更情報: https://www.ibm.com/support/pages/node/6551092
■RACF SERVAUTHクラスの新しい資源 「EZB.FTP.sysname.ftpdaemonname.ACCESS.JES」が登場し、「FTP JES」モードへのアクセス制御を行うことが可能になりました。
※「FTP JES」モードへのアクセス制御(サマリー)
※プロファイルに対する「READ」アクセス権限の検査は、「JESINTERFACELEVEL 1|2」パラメータ指定に無関係(FTP.DATA)
※RACFを利用している環境では、上表①、②の場合、従来と変わらず「FTP JES」モードが利用可能 ・・・ 「No SAF decision」(RC04)は「許可」扱い
【考慮事項】
■RACF SERVAUTHクラスでは、従来、次のような資源を保護するためのプロファイル定義が可能です。
EZB.FTP.sysname.ftpdaemonname.PORTxxxxx
EZB.FTP.sysname.ftpdaemonname.SITE.DUMP
EZB.FTP.sysname.ftpdaemonname.SITE.DEBUG
EZB.FTP.sysname.ftpdaemonname.ACCESS.HFS
■従って、RACF SERVAUTHクラスを活動化している場合、「EZB.FTP.sysname.ftpdaemonname.ACCESS.JES」資源を保護する総称プロファイル、例えば、「EZB.FTP.ZOS1.FTPD1.**」、「EZB.FTP.ZOS1.FTPD1.ACCESS.*」などの存在有無を、PTF適用前に確認する必要があります。
※存在する場合、該当プロファイルへの「READ」アクセス権限を持たないユーザーでは、APAR PH42618のPTF適用後、「FTP JES」モードが利用不可
■この場合の対応策としては、例えば「EZB.FTP.ZOS1.FTPD1.ACCESS.JES」個別プロファイルを「UACC(NONE)」指定で新しく定義し、「FTP JES」モードの利用を許可するユーザーに対してのみ「READ」アクセス権限を与えるのが推奨です。
※RACFコマンド実行(例)
RDEFINE SERVAUTH EZB.FTP.ZOS1.FTPD1.ACCESS.JES UACC(NONE)
PERMIT EZB.FTP.ZOS1.FTPD1.ACCESS.JES CLASS(SERVAUTH) ID(ftpuser) ACCESS(READ)
SETROPTS RACLIST(SERVAUTH) REFRESH
以上