|
|
|
CA ACF2 for z/OS では、CAMSM リソース クラスを使用してグローバル システム オプション(GSO)の CLASMAP レコードを作成し、適切な CA CSM リソース プロファイルにユーザ許可を付与します。
注: CAMSM は SAF リソース クラスのデフォルトの名前です。 お使いのシステムでは、CA CSM のインストールに応じて別の名前が使用される場合があります。
CLASMAP レコードを定義するには、以下の CA ACF2 for z/OS コマンドを発行します。
SET C(GSO) INSERT CLASMAP.MSM ENTITYLN(246) MUSID() RESOURCE(CAMSM) RSRCTYPE(MSM)
CLASMAP レコードをリフレッシュするには、以下のコマンドを発行します。
F ACF2,REFRESH(CLASMAP),TYPE(GSO)
注: リソース プロファイルを使用して、CA CSM へのアクセスを拒否または許可します。
以下の例では、さまざまなロールのユーザに対してセキュリティをセットアップする方法を示します。
例: 管理者
ユーザ MSMUSR1 にすべてのアクションへのアクセス権を付与します。 アクションには、システム設定の管理、システム レジストリ、方法、展開、設定、およびユーザ設定などがあります。
以下の CA ACF2 for z/OS コマンドを発行します。
SET R(MSM) COMPILE STORE $KEY(LOGON) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(ADMIN) TYPE(MSM) SETTINGS.- UID(*****MSMUSR1) SERVICE(READ) ALLOW LMPKEY.- UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SC) TYPE(MSM) @ACTION.- UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SMPE) TYPE(MSM) @ACTION.- UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SYSREG) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(DEPLOY) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(METHOD) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(CONFIG) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(TM) TYPE(MSM) UID(*****MSMUSR1) SERVICE(READ) ALLOW
例: ユーザ
ユーザ MSMUSR2 にすべてのユーザ アクションに対するアクセス権を付与します。ただし、ユーザは環境内の SANDBOX システムのみにアクセスできます。 この設定を行ったユーザは、システムまたは他のユーザの設定の管理、システム レジストリの変更、または方法の作成を行うことはできません。 ユーザは、SANDBOX システムをターゲットとした展開を作成でき、他の CA CSM ユーザが定義した方法を使用できます。 ユーザは、定義済みシステム プロファイルの値を使用して SANDBOX リモート システムをターゲットとした設定を作成できますが、それらの設定を実行することはできません。
以下の CA ACF2 for z/OS コマンドを発行します。
SET R(MSM) COMPILE STORE $KEY(LOGON) TYPE(MSM) UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(ADMIN) TYPE(MSM) SETTINGS.USER.- UID(*****MSMUSR2) SERVICE(READ) ALLOW LMPKEY.- UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SC) TYPE(MSM) @ACTION.- UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SMPE) TYPE(MSM) @ACTION.- UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SYSREG) TYPE(MSM) @DISPLAY.- UID(*****MSMUSR2) SERVICE(READ) ALLOW @PROFILE.DISPLAY UID(*****MSMUSR2) SERVICE(READ) ALLOW @SYSTEM.SANDBOX UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(METHOD) TYPE(MSM) @DISPLAY.- UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(DEPLOY) TYPE(MSM) @DISPLAY.- UID(*****MSMUSR2) SERVICE(READ) ALLOW @BUILD.- UID(*****MSMUSR2) SERVICE(READ) ALLOW @EXECUTE.- UID(*****MSMUSR2) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(CONFIG) TYPE(MSM) @DISPLAY.- UID(*****MSMUSR2) SERVICE(READ) ALLOW @ACTION.CREATE UID(*****MSMUSR2) SERVICE(READ) ALLOW @ACTION.REMOVE UID(*****MSMUSR2) SERVICE(READ) ALLOW
例: 制限されたユーザ
ユーザ MSMUSR3 に以下のアクションに対してのみアクセス権を付与します。
以下の CA ACF2 for z/OS コマンドを発行します。
SET R(MSM) COMPILE STORE $KEY(LOGON) TYPE(MSM) UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(ADMIN) TYPE(MSM) SETTINGS.USER.- UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SC) TYPE(MSM) @ACTION.INSTPKG.- UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(SMPE) TYPE(MSM) @ACTION.MIGRATE.- UID(*****MSMUSR3) SERVICE(READ) ALLOW @ACTION.REMOVECSI.- UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM)
COMPILE STORE
$KEY(SYSREG) TYPE(MSM)
UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(METHOD) TYPE(MSM) @DISPLAY.- UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(DEPLOY) TYPE(MSM) @SELF.- UID(*****MSMUSR3) SERVICE(READ) ALLOW
SET R(MSM) COMPILE STORE $KEY(CONFIG) TYPE(MSM) @ACTION.IMPL UID(*****MSMUSR3) SERVICE(READ) ALLOW
| Copyright © 2013 CA. All rights reserved. |
|