ユーザー・プロファイルにより
細かな権限設定が可能
IBM i におけるシステム・セキュリティの基本は図表1のとおり、「誰」が「どのオブジェクト」に「どんな操作」を実行させるかについて、規定・管理することである。
【図表1 画像をクリックすると拡大します】
このうち、「誰」を管理するための仕組みが、ユーザーIDである。このユーザーIDをIBM i では、「ユーザー・プロファイル」と呼ぶ。ほかのタイプのオブジェクトと同じように、ユーザー・プロファイルもオブジェクトとして存在し、ライブラリーQSYSに配置されている。
ユーザー・プロファイルはオブジェクトなので、当然テープに保管できるし、復元もできる(保管はSAVSECDTAコマンドを使って権限情報とともに保管し、RSTUSRPRFコマンドで復元し、RSTAUTコマンドで権限を復元する)。
ユーザー・プロファイル・オブジェクトには、このユーザーを用いてシステムにサインオンできるか、システム内でどんな操作が許されているか、どんなオブジェクトの所有者としてマークされているかといった情報が保持されている(図表2)。
【図表2 画像をクリックすると拡大します】
IBM i にアクセスする際には必ずユーザー・プロファイルを用いる必要がある。IBM i におけるジョブは、ジョブ番号/ユーザー・プロファイル名/ジョブ名の組み合わせで一意に識別される形となり、各ジョブで行える処理は基本的にそのジョブのユーザー・プロファイルに与えられている権限設定に依存する。
IBM i におけるユーザー・プロファイルは、単にシステムにアクセスする人物を区別するためだけではなく、システム上でどんな操作が行えるか、どんなオブジェクトにアクセスできるかを規定する、すなわち権限設定を行うために用いられる重要なオブジェクトとなる。システム上で行える操作を規定する設定を「特殊権限」、アクセスできるオブジェクトを規定する設定を「専用権限」と呼ぶ(これらの権限に関しては、次の「05 IBM iのセキュリティ」を参照)。
グループ・プロファイルで
専用権限の一括設定
IBM iにはグループ・プロファイルという考え方があり、ユーザー・プロファイルをグルーピングして、専用権限の一括設定などに利用できる。グループ・プロファイル自体は特殊な形式のユーザー・プロファイル・オブジェクトとして認識されるので、ユーザー・プロファイルと同じく、テープへ保管・復元できる。
グループ・プロファイルとユーザー・プロファイルは、基本的に2層の単純な階層構造となる。グループ・プロファイルは別のグループ・プロファイルには属せないが、ユーザー・プロファイルは最大16のグループ・プロファイル(1つの1次グループ・プロファイルと15個の補足グループ・プロファイル)に属することができる。
ユーザー・プロファイルの作成や設定変更は、5250エミュレータ画面ではWRKUSRPRFコマンドで表示される「ユーザー・プロファイルの処理」画面から実行する。作成・変更・削除の各処理単位でも、それぞれCRTUSRPRF、CHGUSRPRF、DLTUSRPRFコマンドが用意されている。これらのコマンドを活用して、ユーザーの一括登録や一括変更などの処理を行う「運用CLプログラム」を用意しておくことで、効率的な運用が実現する。
また「IBM i Navigator」や「IBM Navigator for i」(図表3)でも、ユーザー管理画面が用意されているので、日常の運用で突発的なユーザー登録や設定変更などが生じても、運用者はGUI画面を見ながら操作できる。
【図表3 画像をクリックすると拡大します】
WindowsやLinuxでもユーザーIDの考え方はあるが、OS上でどのような操作が行えるかは、たとえばWindowsであればAdministrators、Linuxであればrootといったように、「管理者とそれ以外」という大きな枠組みだけで構成されている。
これに対して、IBM i では特殊権限の設定でよりきめ細かに規定できる。オブジェクトへのアクセス権限はWindows、Linuxにおけるファイル・パーミッションに相当する。Linuxでのファイル・パーミッションでは所有者・グループ・一般の3階層でのアクセス権限付与になるが、IBM i におけるオブジェクト・アクセス権限は、ユーザー・プロファイルやグループ・プロファイル単位で付与できるなど、Linuxなどよりもっと細かな設定が可能である。
【中村陽一】
