RDEFINE (一般リソース・プロファイルの定義)

目的

RDEFINE コマンドは、次の目的で使用します。

クラス記述子テーブルに指定されているクラスに属するすべてのリソースを RACF® に定義する。
グローバル・アクセス検査テーブルの項目を作成する。
セキュリティー・カテゴリーおよびセキュリティー・レベルを定義する。
RACF が RACF データベース上に RACLIST 処理した結果を保管するクラスを (RACGLIST クラス内のプロファイルとして) 定義する。
動的クラス記述子テーブルでクラスの属性を定義する。
カスタム・フィールドおよびその属性を定義する。

RDEFINE コマンドは、リソースへのアクセスを制御するために、リソースに関するプロファイルを RACF データベースに追加します。また、このコマンドは、コマンド・ユーザーのユーザー ID をアクセス・リストに入れて、 SETROPTS NOADDCREATOR が有効でない限り、そのユーザーにリソースへの ALTER 権限を与えます。

RDEFINE コマンドを使用して、ユーザー、グループ、データ・セット、証明書、証明書鍵リング、または証明書マッピングを定義することはできません。

クラスが、SETROPTS RACLIST または RACROUTE REQUEST=LIST,GLOBAL=YES のいずれかにより RACLIST 処理されていない場合に、総称プロファイルを定義した後に変更内容を有効にするには、次のステップのいずれかを行う必要があります。

セキュリティー管理者が、次の SETROPTS コマンドを出す。
```
SETROPTS GENERIC(class-name) REFRESH
```
許可要件については、SETROPTS コマンドを参照してください。
リソースのユーザーが、ログオフし、再度ログオンする。

クラスが RACLIST 処理されている場合に、総称プロファイルを定義した後に変更内容を有効にするには、セキュリティー管理者は次のコマンドを出します。

SETROPTS RACLIST(class-name) REFRESH

詳しくは、z/OS Security Server RACF セキュリティー管理者のガイドを参照してください。

重要:

RDEFINE コマンドが ISPF から出される場合、 TSO コマンド・バッファー (SESSKEY と SSIGNON を含む) は ISPLOG データ・セットに書き込まれます。したがって、ユーザーは ISPF からこのコマンドを出してはならず、 ISPLOG データ・セットを注意深く制御する必要があります。
RDEFINE コマンドが RACF オペレーター・コマンドとして出される場合、コマンドおよびすべてのデータはシステム・ログに書き込まれます。したがって、RDEFINE の RACF オペレーター・コマンドとしての使用を制御するか、ユーザーがコマンドを TSO コマンドとして出す必要があります。

オプションの発行

次の表で、RDEFINE コマンドを出す場合に使用できるオプションが確認できます。

RACF TSO コマンドとしては?	RACF オペレーター・コマンドとしては?	コマンド・ダイレクトでは?	自動コマンド・ダイレクトでは?	RACF パラメーター・ライブラリーからは?
可	可	可	可	可

RACF TSO コマンドとしてこのコマンドを出す場合については、RACF TSO コマンドを参照してください。

RACF オペレーター・コマンドとしてこのコマンドを出す場合については、RACF オペレーター・コマンドを参照してください。

RACF オペレーター・コマンドとしてこのコマンドを出すには、ユーザーがコンソールにログオンしている必要があります。

必要な権限

このコマンドを RACF オペレーター・コマンドとして出す場合、ユーザーは OPERCMDS クラスの適切なリソースに対する十分な権限が必要となります。OPERCMDS リソースの詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」のオペレーター・コマンド使用の制御を参照してください。

RDEFINE コマンドを使用するには、クラスに対して SPECIAL 属性か、最低でも CLAUTH 権限を備えている必要があります。

CLAUTH 権限は持っているが SPECIAL 属性はない場合は、以下のようにして許可を受ける必要がある場合があります。

コマンド・ユーザーが、GLOBAL クラスに対する CLAUTH 権限とグループ内にグループ SPECIAL 属性を持っている場合は、その高位修飾子がグループ名であるメンバーまたはグループのスコープ内にあるユーザー ID であるメンバーを追加することができます。これは、DATASET などの高位修飾子に依存するクラスにのみ適用されます。
定義するリソースが、リソース・グループのメンバーとして RACF にすでに定義されている個別の名前のときに、これをリソースとして RACF に定義できるのは、コマンド・ユーザーが ALTER 権限を持っている場合、コマンド・ユーザーがグループ SPECIAL 属性を備えているグループのスコープ内にリソース・グループ・プロファイルがある場合、あるいはコマンド・ユーザーがリソース・グループ・プロファイルの所有者である場合です。リソースが複数のグループのメンバーであり、これらのグループにおけるユーザーの権限が異なるために権限の対立が生じる場合、RACF は (インストール・システムで修正変更されていない限り) 最も制限が少ない権限を使用して、この対立を解決します。
定義するメンバー・クラス・プロファイルが、リソース・グループのメンバーとして RACF に定義済みの総称名である場合、このプロファイルは、コマンド・ユーザーがグループ SPECIAL 属性を備えているグループのスコープ内にリソース・グループ・プロファイルがあるか、コマンド・ユーザーがリソース・グループ・プロファイルの所有者であるという条件で定義できます。複数のグループ・クラス・プロファイルに定義対象の総称名が含まれ、これらのプロファイルの所有者が異なる場合、権限検査で使用される所有者は未定義です。
ユーザーに SPECIAL 属性がなく、SETROPTS GENERICOWNER オプションが有効である場合、さらにユーザーが定義するプロファイル名が既存の総称プロファイルによって保護される場合は、特定度の低いプロファイルを所有している必要があります。
- ユーザーがグループ SPECIAL を持っているグループのスコープ内に、特定度の低いプロファイルがある場合は、ユーザーはプロファイルを所有しているとみなされます。
- GENERICOWNER は、PROGRAM 一般リソース・クラスには適用されません。
- GENERICOWNER オプションの追加情報および一般リソース・プロファイル作成制限については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
セキュリティー・カテゴリーをプロファイルに割り当てるには、コマンド・ユーザーは、コマンド・ユーザーのユーザー・プロファイルにそのカテゴリーを持たなければなりません。
セキュリティー・レベルをプロファイルに割り当てるには、コマンド・ユーザーのユーザー自身のプロファイルが、定義しようとするセキュリティー・レベル以上のセキュリティー・レベルを持っていなければなりません。
ADDMEM オペランドを使用するには、そのオペランドを使用するために必要な権限に関する情報の、ADDMEM オペランドの説明を参照してください。
AT キーワードを指定する場合、ユーザーは RRSFDATA クラスの DIRECT.node リソースに対し READ 権限を備えていなければならず、さらに、ユーザー ID アソシエーションが、指定済みの node.userid のペア間に設定されていなければなりません。
ONLYAT キーワードを指定する場合、ユーザーは SPECIAL 属性を備えている必要があり、ONLYAT キーワード上に指定された userid は、SPECIAL 属性を備えていなければなりません。また、ユーザー ID が同一でない場合、指定した node.userid ペア間にユーザー ID アソシエーションが設定されていなければなりません。
基本セグメント以外のセグメント (DLFDATA など) を定義するには、ユーザーが SPECIAL 属性をもっているか、もしくはご使用のシステムがフィールド・レベル・アクセス検査を介してユーザーにそれを許可する必要があります。
プロファイルにセキュリティー・ラベルを指定するには、コマンド・ユーザーは、セキュリティー・ラベル・プロファイルへの READ アクセス権を持っていなければなりません。ただし、セキュリティー・ラベルの割り当ては、SPECIAL 属性を備えているユーザーにしかできないように、セキュリティー管理者によって制限されていることもあります。
SPECIAL ユーザーのみが (リソースを保護するプロファイルの APPLDATA に RACF-DELEGATED ストリングを指定して) 代行リソースを定義できますが、それを行えるのはリソースに SECLABEL があり、SETROPTS SECLABELCONTROL が有効である場合です。

FILE または DIRECTRY クラスのプロファイルを定義するには、以下のいずれかの条件に該当している必要があります。

プロファイル名の 2 番目の修飾子はコマンド・ユーザーのユーザー ID でなければならない。
コマンド・ユーザーが SPECIAL 属性を備えている。
プロファイル名は、コマンド・ユーザーがグループ SPECIAL 属性を持っているグループのスコープに入っている必要がある。

モデル・プロファイル: モデル・プロファイルを (必要に応じて FROM、 FCLASS、FGENERIC、および FVOLUME を使用して) 指定するには、モデル・プロファイル (取り出し元 プロファイル) に対して十分な権限を持っていなければなりません。RACF は、次の条件のいずれかが満たされるまで以下の検査を行います。

コマンド・ユーザーが SPECIAL 属性を備えている。
コマンド・ユーザーがグループ SPECIAL 属性を備えているグループのスコープ内に、取り出し元 プロファイルがある。
コマンド・ユーザーが、取り出し元 プロファイルの所有者である。
FCLASS オペランドが DATASET の場合は、プロファイル名の高位修飾子 (または命名規則ルーチンかコマンド・インストール・システム出口から提供される修飾子) が、コマンド・ユーザーのユーザー ID である。
個別プロファイルの場合、コマンド・ユーザーが、取り出し元プロファイルのアクセス・リストに入っていて、ALTER 権限を持っている。(コマンド・ユーザーの権限のレベルがこれよりも低い場合には、このプロファイルをモデルとして使用することはできません。)
個別プロファイルの場合、コマンド・ユーザーの現行接続グループ (または、グループ・リスト検査がアクティブなときは、コマンド・ユーザーが接続される任意のグループ) が取り出し元 プロファイル内のアクセス・リストに入っていて、ALTER 権限を持っている。
個別プロファイルの場合、汎用アクセス権限 (UACC) が ALTER である。

構文

コマンド構文図で使用されるシンボルの手引きについては、RACF コマンドおよびオペランドの構文を参照してください。RDEFINE コマンドの完全な構文は、次のとおりです。

[subsystem-prefix]{RDEFINE | RDEF}

class-name

(profile-name-1 ...)

[ ADDCATEGORY(category-name ...) ]

[ ADDMEM(member ...) ]

[ APPLDATA('application-data') ]

[ AT([node].userid ...) | ONLYAT([node].userid ...) ]

[ AUDIT( access-attempt[(audit-access-level)] ...) ]

[ CSDATA(
[ custom-field-name(custom-field-value) | NOcustom-field-name ] ...
)
| NOCSDATA ]

[ DATA('installation-defined-data') ]

[ DLFDATA(
[ RETAIN( YES | NO ) ]
[ JOBNAMES(jobname-1 ...) ]
) ]

[ EIM(
[ DOMAINDN(eim_domain_dn) ]
[ OPTIONS( ENABLE | DISABLE ) ]
[ LOCALREGISTRY(registry_name) ]
[ KERBREGISTRY(registry_name) ]
[ X509REGISTRY(registry_name) ]
) ]

[ FCLASS(profile-name-2-class) ]

[ FGENERIC ]

[ FROM(profile-name-2) ]

[ FVOLUME(profile-name-2-serial) ]

[ ICTX(
[ USEMAP( YES | NO ) ]
[ DOMAP( YES | NO ) ]
[ MAPREQUIRED( YES | NO ) ]
[ MAPPINGTIMEOUT(nnnn) ]
) ]

[ IDTPARMS(
[ SIGTOKEN( pkcs11-token-name ) ]
[ SIGSEQNUM( pkcs11-sequence-number ) ]
[ SIGCAT( pkcs11-category ) ]
[ SIGALG(HS256 | HS384 | HS512) ]
[ ANYAPPL(YES | NO) ]
[ IDTTIMEOUT(timeout-minutes) ]
) ]

[ JES(
[ KEYLABEL(key-label) ]
) ]

[ LEVEL(nn) ]

[ MFA ]

[ MFPOLICY(
[ FACTORS(factor-name...) ]
[ TOKENTIMEOUT(timeout-seconds) ]
[ REUSE(YES|NO)])
) ]

[ NOTIFY(userid) ]

[ OWNER(userid or group-name) ]

[ PROXY(
[ LDAPHOST(ldap_url) ]
[ BINDDN(bind_distinguished_name) ]
[ BINDPW(bind_password) ]
) ]

[ SECLABEL(seclabel-name) ]

[ SECLEVEL(seclevel-name) ]

[ SESSION(
[ CONVSEC( NONE | CONV | ALREADYV | PERSISTV | AVPV ) ]
[ INTERVAL(n) ]
[ LOCK ]
[ SESSKEY(session-key) ]
) ]

[ SINGLEDSN ]

[ SSIGNON(
[ KEYMASKED(key-value)
| KEYENCRYPTED(key-value)
| KEYLABEL(label-value) ]
) ]

[ SVFMR(
[ SCRIPTNAME(script-name) ]
[ PARMNAME(parm-name) ]
) ]

[ TIMEZONE( {E | W} hh[.mm]) ]

[ TME(
[ CHILDREN(profile-name ...) ]
[ GROUPS(group-name ...) ]
[ PARENT(profile-name) ]
[ RESOURCE(resource-access-specification ...) ]
[ ROLES(role-access-specification ...) ]
) ]

[ TVTOC ]

[ UACC(access-authority) ]

[ WARNING ]

[ WHEN( [DAYS(day-info) ] [TIME(time-info) ] ) ]

RACF TSO コマンドとしてこのコマンドを出す場合については、RACF TSO コマンドを参照してください。

RACF オペレーター・コマンドとしてこのコマンドを出す場合については、RACF オペレーター・コマンドを参照してください。

パラメーター

subsystem-prefix

RACF サブシステムがコマンドの処理環境であることを指定します。サブシステム接頭部は、インストール先定義の RACF 接頭部 (1 文字から 8 文字) とするか、または接頭部が定義されていない場合には、RACF サブシステム名の後にブランクを 1 つ付けたものにすることができます。コマンド接頭部が CPF で登録されている場合には、 MVS コマンド D OPDATA を使用して、その接頭部を表示することができます。または、RACF セキュリティー管理者に問い合わせすることもできます。

このコマンドを RACF オペレーター・コマンドとして発行する場合は、サブシステム接頭部のみを指定してください。サブシステム接頭部は、RACF オペレーター・コマンドを出す場合に必要です。

class-name

リソースが属しているクラスの名前を指定します。有効なクラス名は、クラス記述子テーブルに定義されているクラス名です。 IBM® 提供のクラス記述子テーブルに定義されている一般リソース・クラスのリストについては、提供される RACF リソース・クラスを参照してください。

このオペランドは必須であり、RDEFINE に続く第 1 オペランドでなければなりません。

このコマンドは、以下のクラスのプロファイルに使用されることを意図するものではありません。

DCEUUIDS
DIGTCERT
DIGTNMAP
DIGTRING
IDIDMAP
NDSLINK
NOTELINK
ROLE
UNIXMAP

注: メンバーまたはグループ・クラスに対して CLAUTH 属性 (クラス権限) がある場合、メンバーまたはグループ・クラスにプロファイルを定義するには、そのクラスがアクティブでなければなりません。

profile-name-1

指定したクラスに追加したい個別プロファイルまたは総称プロファイルの名前を指定します。 RACF は、クラス記述子テーブルを使用して、クラスが RACF に定義されているかどうか、クラス内のリソース名の構文、ならびにリソースがグループ・リソースかどうかを判別します。詳しくは、リソース・プロファイルの命名に関する考慮事項および「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

大/小文字混合のプロファイル名は、静的クラス記述子テーブルの CASE=ASIS で定義したクラス、または動的クラス記述子テーブルの CASE(ASIS) で定義したクラスを class-name が参照するときに受け入れられ、保存されます。

このオペランドは必須であり、RDEFINE に続く第 2 オペランドでなければなりません。

プロファイル名を複数指定する場合は、名前のリストを括弧で囲まなければなりません。
通常、ほとんどのクラスでは単一引用符内にプロファイル名を指定することはできないため、このような指定は行うべきではありません。行った場合、RDEFINE コマンドは失敗します。 FACILITY などのクラス (または、クラス定義の先頭文字に すべての文字を使用できるその他のクラス) では、RDEFINE が機能しますが、この場合、名前に単一引用符が含まれるプロファイルを定義することになります。このため、許可検査中にプロファイルが、保護対象とされるべきリソースを保護しない場合があります。このようなプロファイルは、リソース名を単一引用符で囲むリソース・マネージャーがある場合にのみ機能しますが、実際、ほとんどのリソース・マネージャーはこれを行いません。
class-name を GLOBAL と指定した場合、 profile-name-1 は DATASET、またはクラス記述子テーブルに指定されている、有効なクラス名 (リソース・グループ・クラスを除く) でなければなりません。 class-name を GLOBAL または SECDATA と指定し、さらに ADDMEM も指定する場合、プロファイル名は 1 つしか指定できません。
RACF を使って、SETROPTS RACLIST または RACROUTE REQUEST=LIST,GLOBAL=YES からの結果を RACGLIST クラス内に保管する場合は、次の RDEFINE コマンドを発行してクラスについての基本プロファイルを定義します。ここで profile-name-1 は、クラス記述子テーブル内の有効なクラスです。
```
RDEFINE RACGLIST profile-name-1
```
そのクラスの profile-name-1 を RACLIST 処理した時に RACGLIST クラスがアクティブである場合、RACF は、RACLIST 処理した結果を RACF データベース上に profile-name-1_nnnnn プロファイルとして保管します。例えば、次の RDEFINE コマンドは、基本プロファイル DASDVOL を作成します。
例:
```
RDEFINE RACGLIST DASDVOL
```
次の SETROPTS コマンドは、RACLIST の結果を、DASDVOL_00001、DASDVOL_00002 などのプロファイルとして RACGLIST クラス内に保管します。
例:
```
SETROPTS RACLIST(DASDVOL)
```
制約事項： 以下のクラスは、RACGLIST のプロファイル名として指定することはできません。
- CDT、GLOBAL、RACGLIST、USER、CONNECT、GROUP、および DATASET クラス
- クラスでプロファイルを許可しないものとして提供される RACF リソース・クラスで注記されているすべてのクラス (例: DIRAUTH クラス)
- RACF コマンドで使用しないものとして提供される RACF リソース・クラスで注記されているすべてのクラス (例: SCDMBR クラス)
- リソース・グループ・クラス (許可されている NODES および RACFVARS グループ・クラスを除く)
class-name がリソース・グループ・クラス (NODES または RACFVARS 以外の) である場合には、総称 profile-name-1 を指定することはできません。 class-name が DLFCLASS である場合は、総称 profile-name-1 を指定してはなりません (DLF 処理により無視されるため)。
class-name に PROGRAM と指定した場合、指定できるプロファイル名は 1 つだけであり、 ADDMEM オペランドを指定しなければなりません。
class-name に PROGRAM と指定した場合、 profile-name はロード・モジュールの名前でなければなりません。ロード・モジュールのフルネームを指定すると、プロファイルはそのモジュールにのみ適用されます。名前の最後の文字にアスタリスク (*) を指定すると、プロファイルはその名前のアスタリスクの前までが一致するすべてのロード・モジュールに適用されますが、これらのロード・モジュールはすべて同じライブラリーに常駐している必要があります。例えば、IKF* は、IKF で始まるすべてのロード・モジュール名を識別します。profile-name にアスタリスク (*) を指定すると、プロファイルは、ADDMEM オペランドで識別されるライブラリーに常駐するすべてのロード・モジュールに適用されます。
フィールド・レベル・アクセス検査をアクティブにしている場合は、class-name に FIELD と指定しなければなりません。FIELD クラスにプロファイル (profile-name-1) を定義するには、「z/OS Security Server RACF セキュリティー管理者のガイド」のフィールド・レベル・アクセス検査で説明されているプロファイル命名規則に従う必要があります。
class-name を STARTED クラスとして指定する場合、プロファイル名に 2 つの修飾子を指定する必要があります。「z/OS Security Server RACF セキュリティー管理者のガイド」のSTARTED クラス・プロファイル名の指定で説明されているプロファイル命名規則に従ってください。
class-name を CFIELD として指定するには、「z/OS Security Server RACF セキュリティー管理者のガイド」のCFIELD クラスのプロファイルで説明されているプロファイル命名規則に従う必要があります。

注:

SETROPTS GENERIC (または SETROPTS GENCMD) が有効でない場合には、総称文字を指定しないでください。
指定した各リソースは RACF で個々に処理され、指定したオペランドはすべて、指定したリソースにそれぞれ適用されます。あるリソースの処理中にエラーが発生した場合、RACF はメッセージを出して、次のリソースの処理を続行します。

ADDCATEGORY(category-name ...)

インストール先定義のセキュリティー・カテゴリーの名前を 1 つ以上指定します。指定する名前は、SECDATA クラス内の CATEGORY プロファイルのメンバーとして定義されていなければなりません。 (セキュリティー・カテゴリーの定義については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。)

SECDATA クラスがアクティブで、ADDCATEGORY を指定した場合、RACF は、セキュリティー・カテゴリー検査を他の許可検査に追加して実施します。ユーザーがリソースへのアクセスを要求すると、RACF はユーザーのプロファイルにあるセキュリティー・カテゴリーのリストを、リソース・プロファイル内のセキュリティー・カテゴリーのリストと比較します。RACF がユーザーのプロファイルにないセキュリティー・カテゴリーをリソース・プロファイルから検出した場合、RACF は、そのリソースへのアクセスを拒否します。必要なセキュリティー・カテゴリーがユーザーのプロファイルにすべて含まれている場合、RACF は他の許可検査を続行します。

注: RACF 特権属性あるいは承認属性を持つ開始済みタスクについては、RACF はセキュリティー・カテゴリー検査を実施しません。RACF 特権属性または承認属性は、 RACF 開始済みプロシージャー・テーブルまたは STARTED クラスによって開始済みタスクに割り当てることができます。また、RACF は、PROGRAM クラス内のプロファイルに指定されたセキュリティー・カテゴリー情報を適用しません。

ADDMEM(member ...)

profile-name-1 によって示されるプロファイルに RACF で追加するメンバー名を指定します。メンバーの意味は、クラスによって異なります。

ADDMEM オペランドを使用すると、以下のセクションで説明するように、セキュリティー・カテゴリーとセキュリティー・レベル、グローバル・アクセス検査テーブル内の項目およびプログラム制御のための項目を定義するなどのタスクを実行したり、またはシステムごとにセキュリティー・ラベルをインプリメントすることができます。

ADDMEM を指定して複数のメンバーを追加する場合、メンバーは、RDEFINE コマンドの ADDMEM オペランドで指定したのと同じ順番で RACFVARS プロファイルに追加されます。例えば、RDEFINE コマンドで ADDMEM(A B) と指定した場合、メンバーは、RACFVARS プロファイルに A B として保管されます。

大/小文字混合のメンバー名は、静的クラス記述子テーブルの CASE=ASIS で定義したクラス、または動的クラス記述子テーブルの CASE(ASIS) で定義したクラスを class-name が参照するときに受け入れられ、保存されます。 class-name が GLOBAL であり、profile-name が静的クラス記述子テーブルの CASE=ASIS または動的クラス記述子テーブルの CASE(ASIS) で定義されたクラスの名前である場合、GLOBAL アクセス・テーブルのメンバー項目の名前部分は入力のたびに保存されます。

プロファイルを定義する時に、(*) などの総称文字を使用してプロファイルにメンバーを追加すると、RLIST RESGROUP は、総称文字の突き合わせをサポートしないため、一致するプロファイルを出力に戻しません。例えば、次の場合、

RDEF GIMS GIMSGRP ADDMEM(ABC*)

特定のメンバーを検索しようとして、次のように入力すると、

RLIST TIMS ABCD RESGROUP

GIMS プロファイル GIMSGRP は、出力に現れません。

注: この例については、プロファイル ABCD を定義できないのであれば、それは GIMS 内での総称定義が原因である可能性があります。

GLOBAL DATASET クラスで ADDMEM を使用する場合は、アスタリスク (*) および % 記号など総称文字を含まない文字と &RACUID 値とを一緒に組み合わせて、メンバー名の単一修飾子レベルを形成することができます。この制限は、GLOBAL DATASET 以外のクラスでの ADDMEM には存在しません。

RACFVARS クラスで ADDMEM を使用する場合には、以下の規則が適用されます。

アンパーサンド (&)、アスタリスク (*) およびパーセント記号 (%) などの総称文字を、メンバー名の中で指定しない。
SETROPTS RACLIST(RACFVARS) REFRESH コマンドを発行して、メンバーの変更をアクティブにする。
メンバーの変更が、RACLIST または GENLIST で処理される、ストレージ内のプロファイルを含むクラス内のプロファイルに影響を与える場合には、クラスもリフレッシュして変更をアクティブにすることが必要である。

重要なガイダンスについては、「z/OS Security Server RACF セキュリティー管理者のガイド」の RACF による RACFVARS メンバー・リスト使用方法を参照してください。

RDEFINE コマンドを出すために必要な権限に加えて、RDEFINE コマンドを使用してメンバーを追加するために次の権限のうちいずれか 1 つが必要です。

SECLABEL、PROGRAM、SECDATA、GLOBAL、RACFVARS、および NODES 以外のクラスでは、メンバー・リソースがすでにメンバー・クラス・プロファイルにより、または同じグループ・クラスにプロファイルのメンバーとして RACF 保護されている場合、次のいずれかの条件が満たされていなければなりません。
- コマンド・ユーザーがそのメンバーへの ALTER アクセス権限を持っている。
- コマンド・ユーザーがそのメンバー・リソースの所有者である。
- コマンド・ユーザーがグループ SPECIAL 属性を備えているグループのスコープ内にそのメンバー・リソースがある。
- コマンド・ユーザーが SPECIAL 属性を備えている。
SECLABEL、PROGRAM、SECDATA、GLOBAL、RACFVARS、および NODES 以外のクラスでは、メンバー・リソースが RACF 保護されていない (つまり、そのメンバーに定義されたプロファイルがない) 場合、次のいずれかの条件が満たされていなければなりません。
- コマンド・ユーザーがメンバー・リソース・クラス内のリソースを定義するための CLAUTH 権限を持っている。
- コマンド・ユーザーが SPECIAL 属性を備えている。
RACFVARS または NODES クラスのプロファイルにメンバーを追加するには、次のいずれかの条件が該当しなければなりません。
- コマンド・ユーザーが指定されたクラス (RACFVARS または NODES など) 内のリソースを定義するための CLAUTH 権限を持っている。
- コマンド・ユーザーが SPECIAL 属性を備えている。
- コマンド・ユーザーが profile-name-1 によって示されるプロファイルの所有者である。
- コマンド・ユーザーが profile-name-1 によって示されるプロファイルへの ALTER アクセス権限を持っている。
SECLABEL、PROGRAM または SECDATA クラスのプロファイルにメンバーを追加するには、次のいずれかの条件が該当しなければなりません。
- コマンド・ユーザーが指定されたクラス (PROGRAM または SECDATA など) 内のリソースを定義するための CLAUTH 権限を持っている。
- コマンド・ユーザーが SPECIAL 属性を備えている。
次のような構文を使用する GLOBAL クラス (GLOBAL DATASET、 GLOBAL DIRECTRY、または GLOBAL FILE プロファイル以外) のプロファイルにメンバーを追加するには、
```
RDEF GLOBAL class-name
   ADDMEM(resource-name/access-level)
```
- プロファイル resource-name がすでにクラス class-name のプロファイルによって RACF 保護されている場合、以下のいずれかに該当している必要があります。
  - コマンド・ユーザーがクラス class-name 内のプロファイル resource-name への ALTER アクセス権限を持っている。
  - コマンド・ユーザーがプロファイル resource-name の所有者である。
  - クラス class-name のプロファイル resource-name が、コマンド・ユーザーがグループ SPECIAL 属性を備えているグループのスコープ内にある。
  - コマンド・ユーザーが SPECIAL 属性を備えている。
- プロファイル resource-name がすでに RACF 保護されていない (つまり、クラス class-name 内のメンバーに定義されたプロファイルがない) 場合、
  - コマンド・ユーザーがクラス class-name 内のリソースを定義するための CLAUTH 権限を持っている。
  - コマンド・ユーザーが SPECIAL 属性を備えている。
GLOBAL DATASET プロファイルにメンバーを追加するには、次のいずれかの条件が該当しなければなりません。
- そのメンバーは、コマンド・ユーザーがグループ SPECIAL 属性を持っているグループのスコープ内にあるか、もしくはそのメンバー名の高位修飾子がコマンド・ユーザーのユーザー ID である。
- コマンド・ユーザーが SPECIAL 属性を備えている。
GLOBAL DIRECTRY または GLOBAL FILE プロファイルにメンバーを追加するには、SPECIAL 属性が必要です。

指定するクラス名がリソース・グループ・クラス、SECLABEL、GLOBAL、SECDATA、NODES、または PROGRAM でない場合、RACF は ADDMEM オペランドを無視します。

ADDMEM オペランドでのメンバーの指定:

次のセクションで、メンバーを次のクラスのそれぞれに指定する方法について説明しています。

リソース・グループ・クラス
SECLABEL
GLOBAL
SECDATA
NODES
PROGRAM

これらのクラスについて、以下で説明します。

リソース・グループ・クラスがクラス名である場合

リソース・グループ・クラス: クラス名がリソース・グループ・クラスである場合、ADDMEM オペランドによって指定するメンバーが、関連したメンバー・クラス内のリソースを保護します。

総称プロファイル検査が関連したメンバー・クラスに対してアクティブである場合は、総称文字 (*、**、&、または % のみ) をメンバーに含めて複数のリソースを保護することができます。

リソース・グループ・クラスおよび関連したメンバー・クラスについての詳細は、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

class-name が SECLABEL の場合

システムごとのセキュリティー・ラベル: 特定のシステムに、使用するセキュリティー・ラベルを定義できます。セキュリティー・ラベルを使用できるシステムのシステム ID (SMFID) を指定して、RDEFINE コマンドを発行してください。RACF 定義の SECLABEL (SYSHIGH、SYSLOW、SYSNONE および SYSMULTI) は、システムごとの SECLABEL の影響を受けないことを留意してください。

このコマンドの形式は、次のとおりです。

RDEFINE SECLABEL profile-name
   ADDMEM(system-identifier)

system-identifier は、SYS1.PARMLIB の SMFPRMxx メンバーの SID パラメーターに指定される 4 文字の値です。 SMFPRMxx の追加情報については、「z/OS MVS 初期設定およびチューニング解説書」を参照してください。 RACF は、指定した system-identifier が実際に SMFPRMxx に存在していることを検査しません。

SETR SECLBYSYSTEM オプションがアクティブである場合、セキュリティー・ラベルは ADDMEM によって指定されたシステムにのみ限定されます。このオプションがアクティブでない場合、または ADDMEM が指定されていない場合は、すべてのシステムでそのセキュリティー・ラベルを使用できます。SECLABEL クラスでのプロファイル変更は、SETR RACLIST(SECLABEL) REFRESH を発行すると活動化します。

GLOBAL がクラス名である場合

グローバル・アクセス検査: 次のオペランドを指定して RDEFINE コマンドを出すと、グローバル・アクセス検査テーブル内の項目を定義することができます。

class-name が GLOBAL の場合
該当するリソース・クラス名は、プロファイル名として指定します。
ADDMEM は、定義する項目の名前を (member として) 指定します。 (member として指定した名前に総称文字 (* または %) が入っている場合は、profile-name として指定したリソース・クラスについて、総称プロファイル検査 (SETROPTS コマンドに GENERIC オペランドを指定する) がアクティブでなければなりません。)
アクセス・レベルは、次の形式を使用して項目 (メンバー) に割り当てます。
```
member[/{ALTER|CONTROL|NONE|READ|UPDATE}]
```

このコマンドの形式は、次のとおりです。

RDEFINE GLOBAL profile-name 
   ADDMEM(member/access-level)

定義した各項目によって、その項目名と一致するリソースについてのグローバル・アクセス検査が制御されます。

重要: RACF ではセキュリティー区分処理の前にグローバル・アクセス検査を実施します。そのため、グローバル・アクセス検査テーブルの項目によって、セキュリティー・カテゴリーまたはセキュリティー・レベル (あるいはその両方) で保護しているリソースへのアクセスが許可される可能性があります。機密リソースのセキュリティーが危うくなることがないように、セキュリティー区分処理で保護しているリソースについては、グローバル・アクセス検査テーブルに項目を定義しないでください。

グローバル・アクセス検査テーブル内の項目を定義する場合、以降のセクションの説明に従って、 ADDMEM オペランドに member を指定してください。

データ・セットについてのグローバル・アクセス検査

データ・セットについてグローバル・アクセス検査テーブル内に項目を定義するときに、コマンド・ユーザーが、項目名の高位修飾子として自分の TSO 接頭部 (コマンド・ユーザーのユーザー ID のこともある) を使用したくない場合は、項目名を引用符で囲んでください。

例えば、ユーザー ID が SMITH であるとします。以下のコマンドを発行する場合、グローバル・アクセス・テーブルに項目 SMITH.ABC を定義します。

RDEFINE GLOBAL DATASET ADDMEM('SMITH.ABC'/READ)

項目名を引用符で囲まないと、コマンド・ユーザーの TSO 接頭部が、項目名の高位修飾子として使用されます。例えば、以下のコマンドを発行する場合、グローバル・アクセス・テーブルに項目 SMITH.ABC を定義します。

RDEFINE GLOBAL DATASET ADDMEM(ABC/READ)

指定した項目名に高位修飾子として * が入っている場合は、その名前を単一引用符で囲まなくても、RACF は指定されたとおり正確に項目を作成します (コマンド・ユーザーの TSO 接頭部が項目名の高位修飾子として使用されることはありません)。例えば、以下のコマンドを発行する場合、グローバル・アクセス・テーブルに項目 *.ABC を定義します。

*.

ABC を単一引用符で囲んでも、同じ項目 (*.ABC) がグローバル・アクセス・テーブルに定義されます。

RDEFINE GLOBAL DATASET ADDMEM(*.ABC/READ)

一般リソースについてのグローバル・アクセス検査

一般リソースのグローバル・アクセス検査テーブルに項目を定義するには、クラス記述子テーブルにプロファイル名として任意の有効なクラス名を指定します。 (IBM 提供のクラス記述子テーブルに定義されている一般リソース・クラスのリストについては、提供される RACF リソース・クラスを参照してください。) ADDMEM オペランドに指定するメンバー名には、 1 つ以上の総称文字 (% または

または **) を含めることができます。総称文字の使用については、「リソース・プロファイルの命名に関する考慮事項z/OS Security Server RACF コマンド言語解説書」を参照してください。

class-name が SECDATA の場合

ユーザーおよびデータのセキュリティー区分: ご使用のシステムのセキュリティー・カテゴリーまたはセキュリティー・レベルを定義する場合は、 class-name に SECDATA と指定し、 profile-name として次のいずれかを指定してください。

CATEGORY は、セキュリティー・カテゴリーを定義する場合に指定します。
SECLEVEL は、セキュリティー・レベルを定義する場合に指定します。

SECDATA CATEGORY を指定する場合、ADDMEM オペランドにはインストール先定義のユーザー・カテゴリーの名前を指定します。

例えば、CODE、TEST および DOC という名前の 3 つのユーザー・カテゴリーを定義する場合は、次のように入力します。

RDEFINE SECDATA CATEGORY ADDMEM(CODE TEST DOC)

SECDATA SECLEVEL を指定する場合、ADDMEM オペランドには、インストール先定義のセキュリティー・レベルの名前とそのレベルに割り当てる番号の両方を、次の形式で指定します。

seclevel-name/seclevel-number

2 つの項目はスラッシュ文字 (/) で区切る必要があります。 seclevel-name には、1 文字から 44 文字までを入れることができますが、ブランク、コンマ、セミコロン、および右括弧のいずれも入れてはなりません。seclevel-number には、1 から 254 までの任意の数を指定できます。この番号が大きくなるほど、セキュリティー・レベルは高くなります。例えば、3 つのセキュリティー・レベル (最も制限されているレベルを CONFIDENTIAL とする) を定義する場合は、次のように入力します。

RDEFINE SECDATA SECLEVEL
   ADDMEM(GENERAL/10 EXPERIMENTAL/75 CONFIDENTIAL/150)

RACF は番号によってセキュリティー・レベルを追跡しているので、既存のセキュリティー・レベル名を置き換えても、セキュリティー・レベル番号によって提供される保護には影響を与えません。上記の例に示したセキュリティー・レベルを定義した後で、 GENERAL/10 を INTERNAL/10 に置き換えると、セキュリティー・レベル 10 を含むユーザー・プロファイルまたはリソース・プロファイルのリストには、新しい名前が示されます。セキュリティー・レベル番号は同じなので、リソース・プロファイルまたはユーザー・プロファイルを変更する必要はありません。

ただし、既存の CATEGORY プロファイルまたは SECLEVEL プロファイルを実際に変更すると、RACF は、既存のリソース・プロファイルまたはユーザー・プロファイルにはその変更が反映されていないことを示すために、警告メッセージを出します。この場合は、SEARCH コマンドを使用すれば、修正変更しなければならないプロファイルを見つけることができます。

NODES がクラス名である場合

ADDMEM オペランドに 1 つの値のみを指定します。複数の値を指定した場合、RACF はそれらの値を NODES プロファイルに保管しますが、最後に指定された値のみを使用して変換を行います。

制約事項: ADDMEM オペランドに 1 つの値のみを指定します。複数の値を指定した場合、RACF はそれらの値を NODES プロファイルに保管しますが、最後に指定された値のみを使用して変換を行います。

指針: 1 つ以上の値が既に NODES プロファイルに定義されている場合は、DELMEM オペランドを使用してこれらを削除してから、新しい値を指定してください。

NODES プロファイル設定に関しては、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

インバウンド・ジョブまたは SYSOUT でのユーザー ID、グループ名、またはセキュリティー・ラベルの変換:

クラス名が NODES の場合は、ユーザー ID、グループ名、およびセキュリティー・ラベルがどのように変換されるかを指定できます。プロファイル名の第 2 修飾子および第 3 修飾子に応じて、次のように変換が行われます。

第 2 修飾子	ADDMEM 値に指定する内容
RUSER	プロファイルが適用される NJE ノードから生成されるジョブに関して、このシステムで使用するユーザー ID
USERJ	プロファイルが適用されるインバウンド・ジョブに関して、このシステムで使用するユーザー ID
USERS	プロファイルが適用されるインバウンド SYSOUT に関して、このシステムで使用するユーザー ID
GROUPJ	プロファイルが適用されるインバウンド・ジョブに関して、このシステムで使用するグループ名
GROUPS	プロファイルが適用されるインバウンド SYSOUT に関して、このシステムで使用するグループ名
SECLJ	プロファイルが適用されるインバウンド・ジョブに関して、このシステムで使用するセキュリティー・ラベル
SECLS	プロファイルが適用されるインバウンド SYSOUT に関して、このシステムで使用するセキュリティー・ラベル

PROGRAM がクラス名である場合

プログラム制御: class-name を PROGRAM として指定した場合は、profile-name で 1 つ以上の制御対象プログラム (ロード・モジュールまたはプログラム・オブジェクト) を識別する必要があり、member では、プログラムが入っているライブラリー、そのライブラリーのボリューム通し番号、および処理オプションを識別します。追加として、APPLDATA に RACF が処理する情報を含めることができます。メンバー項目は次の形式で指定します。

library-name
/volume-serial/PADCHK

または

NOPADCHK

library-name

被制御プログラムが常駐するライブラリーの名前を指定します。 profile-name が * または ** の場合、RACF は、指定されたライブラリー内のすべてのロード・モジュールを、被制御プログラムと見なします。

システムの LPA か、または動的 LPA に常駐するプログラムを被制御プログラムとして定義する必要がある (例えば、そのプログラムに MAIN または BASIC 属性を与えるために) 場合は、最後が * で終わらない profile-name でプログラムを定義し、'LPALST' をライブラリー名として指定し、さらにボリューム通し番号を省略します。

LPA 内の 1 つのプログラムに特定のプロファイルを定義する必要がある場合は、'LPALST' をライブラリー名として使用し、ボリューム通し番号を省略します。

下記の値は、LPA ライブラリーの 1 つ、または動的 LPA に入っているプログラム XYZ に対する有効な ADDMEM の値です。

'LPALST'
'LPALST'//PADCHK
'LPALST'//NOPADCHK

volume-serial (optional)

ライブラリーが常駐するボリュームの通し番号を指定します。次のように、6 つのアスタリスクを単一引用符で囲んで使用すると、現行の SYSRES ボリュームを指定することができます。 library-name/'******'/PADCHK または NOPADCHK。

注:

'******' は、SYSRES が 2 つ以上のボリューム上に常駐しているときに使用できるが、それが機能するのはデータ・セットが IPL ボリュームにある場合だけです。
volume-serial を指定しない場合は、指定されたライブラリーはいずれのボリュームにあっても構いません。代わりの形式は次のとおりです。
library-name//NOPADCHK
または
library-name

PADCHK | NOPADCHK

このいずれかを指定することによって、ユーザーが被制御プログラムを実行する場合に、RACF で、プログラム・アクセスのデータ・セットの検査を行う (PADCHK) ようにしたり、行わない (NOPADCHK) ようにしたりします。PADCHK を指定すると、RACF は (1) プログラム・アクセス式データ・セットのプロファイルにある条件付きアクセス・リストがアクセスを許可すること、および (2) ユーザーのアドレス・スペース内のタスクがこれまでに被制御プログラム以外のプログラムをロードしていないことの検査を行います。

NOPADCHK を指定すると、RACF は、プログラム・アクセスのデータ・セットに被制御プログラム以外のプログラムがアクセスできないことを検査する、この特別な検査を行いません。NOPADCHK を用いると、例えば、モジュールのライブラリー全体 (ISPF など) を被制御プログラムとして定義するときに、多くのプログラム・アクセスのデータ・セットへのアクセス権を、これらの各モジュールに与える必要がなくなります。例は、被制御プログラムを定義する 2 つの方法を示しています。PROGRAM プロファイルを定義または変更する前に、「z/OS Security Server RACF セキュリティー管理者のガイド」のプログラム制御のセクションを参照してください。

APPLDATA('application-data')

指定した各リソースに関連付けるテキスト・ストリングを指定します。テキスト・ストリングには最大で 255 文字まで含められますが、このストリングは単一引用符で囲まなければなりません。 2 バイト文字セット (DBCS) データを含めることもできます。

規則:

PROGRAM クラスのプロファイルの場合、RACF は APPLDATA 値 (ある場合) を調べ、MAIN または BASIC (オプションでブランクが続く) が指定されていれば、特別の処理を行います。
- この処理が行われるのは、最後が * でない名前を持つプロファイルに対してだけであり、しかも拡張 PGMSECURITY モードが使用可能になっているときだけです。
- この処理の詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
FACILITY クラスの場合、RACF は下記のプロファイルに関する APPLDATA 値を調べます。
- BPX.UNIQUE.USER
  APPLDATA 値は、RACF が呼び出し可能サービスを使用して固有の UID を割り当てる際に OMVS セグメント情報 (UID 以外) をコピーできるユーザー・プロファイルの名前を指定します。
- BPX.DEFAULT.USER
  APPLDATA 値は、ユーザー ID と、RACF がデフォルトの OMVS セグメント情報を検索できるグループ名を指定します。z/OS® バージョン 1 リリース 11 以降では、 BPX.UNIQUE.USER プロファイルが定義されている場合、BPX.DEFAULT.USER プロファイルは無視されます。z/OS バージョン 2 リリース 1 以降では、BPX.DEFAULT.USER プロファイルはサポートされなくなりました。
- BPX.NEXT.USER
  APPLDATA 値は、RACF が OMVS UID および GID の自動割り当てに使用する情報を指定します。
- IRR.PGMSECURITY
  APPLDATA 値は、RACF が基本、拡張、または拡張警告 のどの PGMSECURITY モードで作動するかを指定します。
  - APPLDATA 値が正確に ENHANCED であれば、RACF は拡張 PGMSECURITY モードで実行します。
  - APPLDATA 値が正確に BASIC であれば、RACF は基本 PGMSECURITY モードで実行します。
  - APPLDATA が空であるか、上記以外の値が含まれていれば、RACF は拡張 PGMSECURITY モードで (しかも失敗モードではなく警告モードで) 実行します。
- IRR.PROGRAM.SIGNING.group.userid
- IRR.PROGRAM.SIGNING.userid
- IRR.PROGRAM.SIGNING.group
- IRR.PROGRAM.SIGNING
  いずれの IRR.PROGRAM.SIGNING プロファイルの場合も、APPLDATA 値は、プログラムの署名時に使用する署名ハッシュ・アルゴリズムと、SAF 鍵リングを指定します。
- IRR.PROGRAM.SIGNATURE.VERIFICATION
  APPLDATA 値は、署名されたプログラムの署名の検査時に使用する SAF 鍵リングを指定します。
- IRR.IDIDMAP.PROFILE.CODEPAGE
  APPLDATA 値は、RACMAP コマンドで USERDIDFILTER NAME 値と REGISTRY 値を処理するときに使用されるコード・ページを指定します。コード・ページは、APPLDATA(CCSID(nnnnn)) の形式で指定されます。
  
  コード・ページの有効な値は、nnnnn です。
  
  00037
  
  EBCDIC US 037
  
  00870
  
  EBCDIC LATIN 2
  
  00875
  
  EBCDIC GREEK
  
  00924
  
  EBCDIC US 1047 (ユーロ記号を含む)
  
  01047
  
  EBCDIC US 1047
  
  01140
  
  EBCDIC US 037 (ユーロ記号を含む)
  
  01153
  
  EBCDIC LATIN 2 (ユーロ記号 #2 を含む)
  
  04971
  
  EBCDIC GREEK (ユーロ記号を含む)
  注:
  - IRR.IDIDMAP.PROFILE.CODEPAGE プロファイルが存在しない場合、RACF はコード・ページ IBM-1047 を使用します。
  - IRR.IDIDMAP.PROFILE.CODEPAGE プロファイルが存在しないものの、サポート対象コード・ページ以外のコード・ページを参照する APPLDATA または APPLDATA が含まれていない場合には、RACF はコード・ページ IBM-1047 を使用します。
TIMS クラスおよび GIMS クラスの場合、profile-name オペランドまたは ADDMEM オペランドにリストした 1 つまたは複数のトランザクションが使用されるたびに、ユーザーにパスワードを再入力させるには、 application-data に REVERIFY と指定してください。
PTKTDATA クラスの場合、アプリケーション・データ・フィールドを使用して、 PassTicket サポートの再生保護機能を制御することができます。
- PassTicket 再生保護を使用すると、ユーザー ID を複数のユーザー間で共用して使用することはできません。ただし、場合によっては、この再生保護機能をバイパスする方が望ましい場合があります。
- アプリケーション・データ・フィールドに no replay protection を指定することにより、再生保護をバイパスします。例えば、以下のコマンドを発行すると、再生保護が正常にバイパスされます。
```
RDEFINE PTKTDATA profile-name
   APPLDATA('NO REPLAY PROTECTION')
```
  次の点に注意してください。
  - no と replay、および replay と protection の間には、スペースが 1 つ必要です。スペースがないまたは余分なスペースや文字があると、コマンドは無効になります。例えば、以下のコマンドを入力すると、再生保護はバイパスされません。
```
RDEFINE PTKTDATA profile-name
   APPLDATA('NOREPLAY PROTECTION')
```
  - テキスト・ストリング no replay protection は常に大文字に変換されます。
  - テキスト・ストリング no replay protection は、APPLDATA フィールドのどの位置にも指定することができます。
- PassTicket 機能の詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
APPL クラスで、APPLDATA 値に RACF-INITSTATS(DAILY) ストリングが含まれている場合、RACF は、このプロファイルによって保護されるアプリケーションに対する日次の最初のユーザー検査についてのみ統計を記録します。 RACF-INITSTATS(DAILY) ストリングは予約済みテキストであり、APPLDATA フィールド内の任意の場所に指定できます。統計収集の詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
APPLDATA に RACF-DELEGATED ストリングを指定すると、プロファイルにより保護されるリソースが代行リソースとして指定されます。これは、このリソースへのアクセスの検査時に、RACROUTE REQUEST=FASTAUTH が、ネストされた ACEE を尊重することを意味します。 RACF-DELEGATED ストリングは予約済みテキストであり、APPLDATA フィールド内の任意の場所に指定できます。ネストされた ACEE と代行リソースの詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

RACF は、RALTER 実行時に APPLDATA 値を妥当性検査しません。RACF は、後続の処理時に、予期しない値を検出した場合、機能に応じてメッセージを発行することもあればそうでないこともあります。

APPLDATA 値がある場合は、RLIST コマンドを使って表示できます。

各 APPLDATA 値の詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

AT | ONLYAT

AT および ONLYAT キーワードは、コマンドが RACF TSO コマンドとして実行される場合のみ有効です。

AT([node].userid ...): node によって指定されたノードに向けてコマンドが出されるように指定します。その場合コマンドは、RACF サブシステムのアドレス・スペース内の userid によって指定されたユーザーの権限のもとに実行されます。
node が指定されない場合、このコマンドはローカル・ノードに向けて出されます。
ONLYAT([node].userid ...): コマンドが node により指定されたノードに向けてのみ出されるものであることを指定します。その場合、コマンドは RACF サブシステムのアドレス・スペース内の userid により指定されたユーザーの権限のもとに実行されます。
node が指定されない場合、このコマンドはローカル・ノードに向けてのみ出されます。

AUDIT(access-attempt[( audit-access-level)])

SMF データ・セットにログをとるアクセスの試行およびアクセス・レベルを指定します。

access-attempt

SMF データ・セットにログをとるアクセスの試行を指定します。以下のオプションを使用できます。

ALL: 許可されたアクセスと、検出された無許可アクセスの試行の両方をログに記録することを指定します。
FAILURES: 無許可のアクセスの試行が検出された場合にそれをログに記録することを指定します。access-attempt を指定しない場合のデフォルトは、FAILURES です。
NONE: ロギングを行わないことを指定します。
SUCCESS: リソースへの許可されたアクセスをログに記録したいという指定です。

audit-access-level

SMF データ・セットにログをとるアクセス・レベルを指定します。指定できるレベルは以下のとおりです。

ALTER: ALTER アクセス・レベルでの試行のみについてログをとります。
CONTROL: CONTROL レベルおよび ALTER レベルでのアクセスの試行についてログをとります。
READ: すべてのレベルでのアクセスの試行についてログに記録します。アクセス・レベルを指定しない場合のデフォルトは、READ です。
UPDATE: UPDATE、CONTROL、および ALTER レベルでのアクセスの試行をログに記録します。

AUDIT オペランドをコマンドで省略した場合のデフォルトは、 FAILURES(READ) です。

EXECUTE レベルでのアクセスの試行を監査することはできません。

CDTINFO

動的クラス記述子テーブル (CDT) で、インストール先定義クラスの定義に使用される情報を指定します。動的 CDT 内でのクラスの定義については、「z/OS Security Server RACF セキュリティー管理者のガイド」の動的クラス記述子テーブル (CDT) の管理を参照してください。

注: CDTINFO は、CDT クラス内のプロファイルについてのみ指定する必要があります。

CASE ( UPPER | ASIS )

大/小文字混合プロファイル名がクラスで許可されるかどうかを指定します。

ASIS: ASIS を指定すると、RACF コマンドは指定したクラスのプロファイル名の大文字小文字を現状のまま保持します。FIRST および OTHER キーワードの文字制限に基づく場合、小文字はプロファイル名のうち英字が許可される任意の位置で許可されます。
UPPER: UPPER を指定すると、RACF は指定したクラスのプロファイル名を大文字に変換します。CASE を指定しない場合は、CASE(UPPER) がデフォルト解釈されます。

DEFAULTRC

RACF によって RACROUTE REQUEST=AUTH または REQUEST=FASTAUTH から提供される戻りコードを指定します。これが使用されるのは、RACF とクラスの両方がアクティブで、(必要な場合は) そのクラスが SETROPTS RACLIST を使用して処理済みであるが、RACF が AUTH または FASTAUTH 要求で指定されるリソースを保護するためにプロファイルを検出しない場合です。戻りコードの意味は次のとおりです。

0: アクセス要求が受け入れられました。
4: プロファイルは存在しません。
8: アクセス要求は拒否されました。

DEFAULTRC を指定しない場合は、DEFAULTRC(4) がデフォルト解釈されます。

DEFAULTUACC

DEFAULTUACC ( ALTER | CONTROL | UPDATE | READ | NONE ): リソース・プロファイルがクラスで定義されているが、アクセス・レベルが設定されていない場合に許可される最低限のアクセス権を指定します。
DEFAULTUACC ( ACEE ): プロファイル作成時に汎用アクセス・レベルが指定されないと、RACF は ADDUSER、ALTUSER または CONNECT コマンドの UACC オペランドで指定されているとおりに、コマンド発行者の ACEE からデフォルトの汎用アクセス権限を使用します。

DEFAULTUACC を指定しない場合は、DEFAULTUACC(NONE) がデフォルト解釈されます。

FIRST (characters-allowed ...)

プロファイル名の最初の文字に対し、文字タイプ制限を指定します。以下のうち 1 つ以上を指定できます。

ALPHA - 英字(A から Z) が使用できます。
NUMERIC - 数字(0 から 9) が使用できます。
NATIONAL - 文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
SPECIAL - 次の文字を除く任意の文字が使用可能です。
- ブランク
- コンマ
- 括弧
- セミコロン
- ALPHA、NUMERIC または NATIONAL に属する文字。

注: このオプションには、ピリオド ('.') が含まれ、区切り文字として使用する場合に必要です。

FIRST を指定しない場合は、FIRST(ALPHA, NATIONAL) がデフォルト解釈されます。

GENERIC ( ALLOWED | DISALLOWED )

SETROPTS GENERIC および SETROPTS GENCMD がクラスで許可されるかどうかを指定します。SETROPTS GENERIC コマンドは、クラスの総称プロファイル検査をアクティブにします。SETROPTS GENCMD コマンドは、総称プロファイル・コマンド処理をアクティブにします。

GENERIC を指定しない場合は、デフォルトで GENERIC(ALLOWED) になります。 GENERIC(DISALLOWED) が指定された場合は、GENLIST(ALLOWED) も指定することはできません。

グループ・クラスに対しては総称処理ができないため、GENERIC(DISALLOWED) は、MEMBER(member-class-name) も指定された場合のみ指定してください。グループ・クラスに対して GENERIC(ALLOWED) が指定されるかまたはデフォルトで設定された場合、警告メッセージが出力されます。定義されている動的クラスおよびそのクラス内のプロファイルについての後続の処理は、GENERIC(DISALLOWED) が指定された場合と同じに扱われます。

規則: 定義する動的クラスが 1 つの POSIT 番号を他のクラスと共用する場合、その共用 POSIT 番号を使用するすべてのクラスが同じ GENERIC キーワード値を持たなければなりません。この理由は、SETROPTS GENERIC および SETROPTS GENCMD コマンドが、POSIT 番号を共用するすべてのクラスを処理するためです。少なくとも 1 つのクラスで GENERIC(DISALLOWED) が指定され、少なくとも 1 つのクラスで GENERIC(ALLOWED) が指定された場合、RACF は警告メッセージを出力します。その後、SETROPTS RACLIST(CDT) コマンドを使用してこのクラスを動的クラス記述子テーブルに追加すると、RACF は、POSIT 番号を共用するその他のクラスの GENERIC キーワード値に合わせるために、GENERIC キーワード値を変更することがあります。

この動的クラスが IBM 提供のクラスと POSIT 番号を共用する場合、RACF は動的クラスの GENERIC キーワード値を変更して、IBM クラスに合せます。(IBM 提供のクラス属性が優先します)
この動的クラスがインストール先定義のクラス (静的または動的) と POSIT 番号を共用する場合、RACF は、最も制約の少ない属性を判別して (GENERIC(ALLOWED) は GENERIC(DISALLOWED) よりも制約が少ない)、GENERIC(DISALLOWED) クラス属性を GENERIC(ALLOWED) に変更します。

例外: グループ化クラスとメンバー・クラスは POSIT 数値を共用できますが、GENERIC キーワード値が一致する必要はありません。グループ・クラスには GENERIC(DISALLOWED) を指定する必要があります。しかし、メンバー・クラスには、ALLOWED と DISALLOWED のいずれでも指定できます。

GENLIST ( ALLOWED | DISALLOWED )

SETROPTS GENLIST がクラスで許可されるかどうか指定します。SETROPTS コマンドでクラスを GENLIST 処理し、次に総称プロファイルによって保護されているリソースへのアクセスを要求すると、プロファイルのコピーを、ユーザーのアドレス・スペースではなく共通ストレージ域に持ってくることができます。RACF は共通ストレージにある総称プロファイルを使用して、リソースにアクセスしようとしているすべてのユーザーの権限を検査します。プロファイルは REFRESH が生じるまで共通ストレージに置かれたままになります。

GENLIST を指定しない場合は、GENLIST(DISALLOWED) がデフォルト解釈されます。

GROUP ( grouping-class-name )

指定したクラス内のリソースをグループ化するクラスの名前を指定します。GROUP が指定されないと、RACF はクラスのリソースのグループ化を許可しません。grouping-class-name は、1 文字から 8 文字でなければなりません。

GROUP が指定されると、定義されるクラスはメンバー・クラスになります。

GROUP が指定されている場合は、grouping-class-name も CDT クラスで定義されていなければならず、その MEMBER キーワードは定義されるクラスを参照する必要があります。 GROUP および MEMBER キーワードについては、一致したクラス項目を用意してから、動的 CDT を作成またはリフレッシュするために SETROPTS RACLIST(CDT) を発行したり、システムを再始動しなければなりません。これを行わないと、エラーのあるクラスが動的クラス記述子テーブルに追加されません。

KEYQUALIFIERS ( 0 | nnn )

個別プロファイルがリソース用に存在しない場合に、権限要求を満たすために総称プロファイル名をロードするときに RACF が使用する合致する修飾子の数を指定します。例えば、クラスに対し 2 を指定すると、ユーザーがリソースへのアクセスを要求したときに、エンティティー名の 2 つの最高位修飾子と合致する最高位修飾子を持っている総称プロファイル名がすべてユーザーのストレージにロードされます。nnn 値は 0 から 123 の数値でなければなりません。

KEYQUALIFIERS が指定されない場合、デフォルトは 0 で、クラス全体のプロファイル名がロードされ検索されます。

指定可能な最大値は 123 で、これは名前の長さが 246 文字である場合の修飾子の最大値です。

KEYQUALIFIERS(nnn) を指定すると、そのクラスで作成された総称プロファイルは、プロファイル名の最初の修飾子 nnn に総称文字を使用できません。

あるクラスの KEYQUALIFIERS(nnn) が 0 より大きい場合、そのクラスの個別プロファイルおよび総称プロファイルのすべては、各プロファイル名に少なくとも nnn+1 個の修飾子が必要です。プロファイル名の修飾子の数は、プロファイルのピリオド文字数を数えて判定され、さらに 1 が加えられます。先頭文字は検査されません。

KEYQUALIFIERS(2) の場合、有効なプロファイル名の例は次のとおりです。

A.B.C
A.B.**
A.B.C.D*

指針: 以下の特性があるクラスに対しては、0 より大きい KEYQUALIFIERS(nnn) を指定してください。

そのクラスは、通常は RACLIST 処理も GENLIST 処理も行われない。
クラスのプロファイル名は、多数の総称プロファイルがプロファイル名の先頭に同じ nnn 個の修飾子を持つ場合の命名規則に従う。

例えば、インストール先定義のクラスを使用して端末使用に関するレポートを保護するアプリケーションがある場合、z/OS システム上のユーザーごとに以下のようなプロファイルを持つことができます。

REPORTS.USER1.TERMUSE.*
REPORTS.USER1.TERMUSE.DEPT60.*
REPORTS.USER1.TERMUSE.2006.JAN.*
REPORTS.USER1.TERMUSE.2006.FEB.*
REPORTS.USER1.TERMUSE.2006.MAR.*
REPORTS.USER1.TERMUSE.2006.APR.*
REPORTS.USER1.TERMUSE.2006.MAY.*
REPORTS.USER1.TERMUSE.2006.JUN.*
REPORTS.USER1.TERMUSE.2006.JUL.*
REPORTS.USER1.TERMUSE.2006.AUG.*
REPORTS.USER1.TERMUSE.2006.SEP.*
REPORTS.USER1.TERMUSE.2006.OCT.*
REPORTS.USER1.TERMUSE.2006.NOV.*
REPORTS.USER1.TERMUSE.2006.DEC.*

この例では、KEYQUALIFIERS(3) を使用してインストール先のクラスを定義します。これにより、クラスのリソースに対する許可検査を RACF が検査するときに、レポートの最初の 3 つの修飾子が一致する総称プロファイル名のみが RACF による検査用にストレージへロードされるようにできます。

制約事項: FILE および DIRECTRY クラスには別の規則が適用されます。DIRECTRY および FILE クラスのプロファイル名に必要な構文については、VM システムの「RACF コマンド言語解説書」を参照してください。

MACPROCESSING ( NORMAL | REVERSE | EQUAL)

クラスに必要な必須アクセス管理 (MAC) 処理のタイプを指定します。 MACPROCESSING を指定しない場合、デフォルトは MACPROCESSING(NORMAL) です。

NORMAL - 通常の MAC 処理が必要であることを指定します。MAC 検査を実行する場合は、ユーザーの SECLABEL はリソースの SECLABEL の上位になければなりません。
REVERSE - MAC の逆処理が必要であることを指定します。MAC 検査を実行する場合は、リソースの SECLABEL はユーザーの SECLABEL の上位になければなりません。
EQUAL - 等しい MAC 処理が必要であることを指定します。MAC 検査を実行する場合は、ユーザーの SECLABEL はリソースの SECLABEL と同等でなければなりません。2 ウェイ通信が予測されるクラスでは、MACPROCESSING(EQUAL) を使用してください。書き込み (SETROPTS MLS) は、MACPROCESSING(EQUAL) が指定されるクラスには適用されません。

MAXLENGTH ( 8 | nnn )

MAXLENX が指定されていない場合に、指定したクラスのリソース名およびプロファイル名の最大長を指定します。MAXLENX が指定されている場合でも、RACROUTE マクロが ENTITY キーワードで呼び出される場合に限り、MAXLENGTH はリソース名の最大長を表します。nnn の値は、1 から 246 まででなければなりません。

MAXLENGTH が指定されていない場合、デフォルトは 8 です。

MAXLENX ( nnn )

RACROUTE マクロが ENTITYX キーワードで呼び出される場合、もしくはプロファイルが RACF コマンド・プロセッサーを通じて追加または変更される場合に、指定したクラスのリソース名およびプロファイル名の最大長を指定します。nnn の値は、1 から 246 まででなければなりません。

MAXLENX を指定してから動的 CDT を作成またはリフレッシュするために SETROPTS RACLIST(CDT) を発行したり、あるいはシステムを再始動しないと、MAXLENGTH に指定した値が動的クラスの後続の処理において MAXLENX で使用されます。

MEMBER ( member-class-name )

指定したクラス内のリソースによってグループ化されるクラスの名前を指定します。member-class-name は、1 文字から 8 文字でなければなりません。

MEMBER が指定されると、定義されるクラスはリソース・グループになります。

MEMBER が指定されている場合は、member-class-name も CDT クラスで定義されていなければならず、その GROUP キーワードは定義されるクラスを参照する必要があります。 GROUP および MEMBER キーワードについては、一致したクラス項目を用意してから、動的 CDT を作成またはリフレッシュするために SETROPTS RACLIST(CDT) を発行したり、システムを再始動しなければなりません。これを行わないと、エラーのあるクラスが動的クラス記述子テーブルに追加されません。

OPERATIONS ( YES | NO )

許可検査を実行するときに RACF が OPERATIONS 属性を考慮に入れるかどうかを指定します。YES が指定される場合、RACF は OPERATIONS 属性を考慮します。一方、NO が指定されると、RACF は OPERATIONS 属性を無視します。

OPERATIONS を指定しない場合は、OPERATIONS(NO) がデフォルト解釈されます。

OTHER ( characters-allowed ...)

プロファイル名の先頭文字以外の文字に対し、文字タイプ制限を指定します。以下のうち 1 つ以上を指定できます。

ALPHA - 英字(A から Z) が使用できます。
NUMERIC - 数字(0 から 9) が使用できます。
NATIONAL - 文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
SPECIAL - 次の文字を除く任意の文字が使用可能です。
- ブランク
- コンマ
- 括弧
- セミコロン
- ALPHA、NUMERIC または NATIONAL に属する文字。

注: このオプションには、ピリオド ('.') が含まれ、区切り文字として使用する場合に必要です。

OTHER を指定しない場合は、OTHER(ALPHA, NATIONAL) がデフォルト解釈されます。

POSIT ( nnn )

クラスに関連した POSIT 番号を指定します。クラス記述子テーブルの各クラスは指定する POSIT 番号を持ち、それにより、以下の RACF 処理オプションを制御するオプション・フラグのセットを識別します。

クラスに対し許可検査を行うかどうか (SETROPTS CLASSACT)。
クラス内のリソースに対し監査を行うかどうか (SETROPTS AUDIT)。
クラス内のリソースの統計を保持するかどうか (SETROPTS STATISTICS)。
クラスに対し、総称プロファイルへのアクセス検査をアクティブにするかどうか (SETROPTS GENERIC)。
クラスに対し、汎用コマンドの処理をアクティブにするかどうか (SETROPTS GENCMD)。
クラスに対し、グローバル・アクセス検査をアクティブにするかどうか (SETROPTS GLOBAL)。
リソース・クラスに対しユーザーが CLAUTH を持つかどうか。
特殊リソース・アクセス監査をクラスに適用するかどうか (SETROPTS LOGOPTIONS)。
このクラスで SETROPTS RACLIST を行うかどうか (RACLIST(ALLOWED) または RACLIST(REQUIRED) も指定されている場合)。
これらのオプションは、同じ POSIT 番号を指定したすべてのクラスを通じて共通となります。1 つのクラスに対しあるオプションを変更すると、この変更は同じ POSIT 番号を共有する他のすべてのクラスに影響します。

SETROPTS RACLIST(CDT) を発行して、動的クラス記述子テーブルを作成またはリフレッシュする前に、RACF のクラスごとに固有なオプション・フラグのセットを使用するか、あるいは同じオプション・フラグのセットを共用する 2 つ以上の RACF のクラスを持つかどうかを決定する必要があります。クラスに対し固有なオプション・フラグのセットを使用することを選択した場合は、固有の POSIT 番号を割り当ててください。いくつかのクラスで同じオプション・フラグのセットを共有することを選択した場合は、それらのクラスに同じ POSIT 番号を割り当ててください。

SETROPTS RACLIST(CDT) を発行する前に、RDEFINE コマンドで POSIT キーワードに有効な値を指定しなければなりません。これを行わないと、新規のクラスが動的クラス記述子テーブルに追加されません。

SETROPTS RACLIST(CDT) を発行して動的クラス記述子テーブルを作成 0 またはリフレッシュすると、それを含むクラスを活動化したり、SETROPTS コマンドで適当なキーワードを通じてそれぞれのオプション・フラグのセットを活動化できます。

POSIT 番号は 1024 あり、1024 のオプション・フラグのセットを識別できます。インストール・システムは、19 から 56 および 128 から 527 の POSIT 番号を指定できます。POSIT 番号 0 から 18、57 から 127、および 528 から 1023 はIBM で予約済みであるため、インストール先定義のクラスで指定しないでください (ただし、インストール先定義のいずれかのクラスと IBM 定義のクラスで SETROPTS オプションを共用することを意図している場合は除きます)。

指針: デフォルトの戻りコードが 8 の RACF クラスは、異なるデフォルトの戻りコードを持つ RACF クラスと POSIT 値を共用しないでください。デフォルトの戻りコード 8 のクラスが活動化されたが、プロファイルが未定義の場合、そのクラスでのアクセスを必要とするユーザー・アクティビティーは抑制されます。

PROFILESALLOWED ( YES | NO )

この RACF クラスに対しプロファイルが定義されることを RACF が許可するかどうかを指定します。PROFILESALLOWED(NO) を指定した場合、RACF はこの RACF クラスにプロファイルを定義することを許可しません。つまり、ユーザーがそのクラスに対しプロファイルを定義しようとしても、RDEFINE コマンドが応答し、該当メッセージが出されます。

PROFILESALLOWED を指定しない場合は、PROFILESALLOWED(YES) がデフォルト解釈されます。

RACLIST

SETROPTS RACLIST が指定したクラスに許可されるか、許可されないかまたは必要であるかを指定します。SETROPTS RACLIST を使用してこのクラスを処理すると、RACF はそのクラス内のすべての個別プロファイルおよび総称プロファイルのコピーを、データ・スペース内のストレージに置きます。RACF はストレージにあるそれらのプロファイルを使用して、リソースにアクセスしようとしているすべてのユーザーの権限を検査します。プロファイルは SETROPTS NORACLIST によって除去されるまでストレージに置かれたままになります。

ALLOWED: SETROPTS RACLIST をクラスで使用してもよいが、許可検査の必要はないことを指定します。
DISALLOWED: SETROPTS RACLIST をクラスで使用できないことを指定します。
REQUIRED: RACROUTE REQUEST=AUTH を使用するために、SETROPTS RACLIST を使用してクラスを処理する必要があることを指定します。このキーワードの目的は、I/O を受け入れることができないルーチンによる RACF の呼び出しを可能にすることです。このキーワードが指定され、クラスが SETROPTS RACLIST により処理されず、RACROUTE REQUEST=AUTH が試みられる場合、戻りコードは 4 です。
RACLIST を指定しない場合は、RACLIST(DISALLOWED) がデフォルト解釈されます。

SECLABELSREQUIRED ( YES | NO )

SETROPTS MLACTIVE がオンのときに、指定したクラスのプロファイルに SECLABEL が必要になることを指定します。

SECLABELSREQUIRED(NO) は、このクラスのプロファイルに RACF が SECLABEL を必要としないことを意味します。ただし、SECLABEL がこのプロファイル用に存在し、SECLABEL クラスがアクティブである場合、RACF は許可検査のときに SECLABEL を使用します。SECLABELSREQUIRED(NO) は DIRAUTH などプロファイルのない一般リソース・クラス、または OPERCMDS および SECLABEL などデータを含まないクラスに適用されます。

SECLABELSREQUIRED(YES) は、SETROPTS MLACTIVE がオンのときに、このクラスのプロファイル用に RACF で SECLABEL を必要とすることを意味します。

SECLABELSREQUIRED を指定しない場合は、SECLABELSREQUIRED (NO) がデフォルト解釈されます。

SIGNAL ( YES | NO )

RACLIST 処理されたプロファイルが許可検査で作成、更新または削除された場合に、ENF シグナルをリスナーに送信するかどうかを指定します。

SIGNAL(YES) を指定すると、クラスに対して SETROPTS RACLIST、 SETROPTS NORACLIST または SETROPTS RACLIST REFRESH が発行され、許可検査で使用されるプロファイルが活動化、非活動化または更新されたときに、RACF は ENF シグナルをリスナーに送信します。詳しくは、「z/OS Security Server RACF システム・プログラマーのガイド」のENF シグナルを参照してください。

SIGNAL(NO) を指定した場合、ENF シグナルは送信されません。

SIGNAL(YES) は、RACLIST(DISALLOWED) が指定されている場合は無効です。

SIGNAL を指定しない場合は、SIGNAL(NO) がデフォルト解釈されます。

CFDEF

CFIELD クラスのプロファイルにカスタム・フィールドを定義して、そのカスタム・フィールドの名前および属性を指定します。 CFDEF オペランドで定義したカスタム・フィールドは、RACF プロファイルの CSDATA セグメントで使用できます。プロファイル名のフォーマットなど、カスタム・フィールドの詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

新規カスタム・フィールドは、システム・プログラマーが IRRDPI00 UPDATE コマンドを使用して動的構文解析テーブルを再ビルドするまで有効にはなりません。 IRRDPI00 コマンドの使用方法については、「z/OS Security Server RACF システム・プログラマーのガイド」を参照してください。

規則: CFDEF は、CFIELD クラスのプロファイルにのみ指定します。

TYPE

カスタム・フィールドのデータ型を指定します。TYPE を指定しなかった場合は、デフォルトで CHAR になります。

データ型ごとに、表 1 で示された属性を使用して、カスタム・フィールドの内容を制限できます。示されている各属性について、データ型に基づいたデフォルト値は、以下のとおりです。

規則: 各データ型について、表 1でダッシュ (-) で注記された属性を指定してはなりません。

表 1. データ型に基づいた、カスタム・フィールドの内容を制限する属性のデフォルト値
属性	TYPE 属性に基づくデフォルト値
属性	CHAR	FLAG	HEX	NUM
FIRST	ALPHA	NONATABC	NONATNUM	NUMERIC
MAXLENGTH	1100	3	512	10
MAXVALUE	-	-	-	(注を参照。)
MINVALUE	-	-	-	0
MIXED	NO	-	-	-
OTHER	ALPHA	NONATABC	NONATNUM	NUMERIC

注: TYPE(NUM) で MAXVALUE を指定しなかった場合は、デフォルトで、MAXLENGTH 値に基づいて、最大値の長さになります。

CHAR

カスタム・フィールドが文字フィールドであることを指定します。

指針:

TYPE(CHAR) を指定した場合、以下の属性の値を指定します。
- FIRST: デフォルト値は ALPHA です。
- MAXLENGTH: デフォルト値は 1100 です。
- MIXED: デフォルト値は NO です。
- OTHER: デフォルト値は ALPHA です。
カスタム・フィールド値を引用符付きストリングとして指定できるようにするには、FIRST(ANY) および OTHER(ANY) を指定します。

規則: TYPE(CHAR) で MAXVALUE または MINVALUE を指定してはなりません。

FLAG

カスタム・フィールドがフラグ・フィールドであることを指定します。

規則: TYPE(FLAG) で属性を指定してはなりません。デフォルト値で必要十分です。デフォルト値は、FIRST(NONATABC)、OTHER(NONATABC)、および MAXLENGTH(3) です。

HEX

カスタム・フィールドが 16 進フィールドであることを指定します。

指針: TYPE(HEX) を指定した場合は、 MAXLENGTH 属性の値を指定します。デフォルト値は 512 です。16 進データは偶数の文字として保管されて表示されるため、偶数を指定します。

規則: FIRST、OTHER、MAXVALUE、MINVALUE、または MIXED を TYPE(HEX) とともに指定してはなりません。

NUM

カスタム・フィールドが数値フィールドであることを指定します。

指針:

TYPE(NUM) を指定した場合、MAXVALUE および MINVALUE 属性の値を指定します。
TYPE(NUM) では、MAXVALUE が数値を制限するため、MAXLENGTH を指定する必要はありません。

規則: FIRST、OTHER、または MIXED を TYPE(NUM) とともに使用してはいけません。

FIRST

カスタム・フィールドの最初の文字に対して、文字制限を指定します。

指針: FLAG、HEX、または NUM データ型のカスタム・フィールドには、FIRST を指定してはなりません。これらのデータ型で FIRST 値を間違って指定した場合、カスタム・フィールドが使用できなくなります。

規則: FIRST 属性の有効なオプションは、TYPE 値 (データ型) に基づいて、以下のように適用されます。

有効オプション	TYPE 属性に基づいたデータ型
有効オプション	CHAR	FLAG	HEX	NUM
ALPHA	許可
ALPHANUM	許可
ANY	許可
NONATABC	許可	許可
NONATNUM	許可		許可
NUMERIC	許可			許可

FIRST 属性の各オプションについて、カスタム・フィールドで使用可能な文字は、以下のとおりです。

有効オプション	使用可能な文字
有効オプション	英字文字 (`A から Z`)	国別文字 `#` (X'7B')、 `@` (X'7C')、および `$` (X'5B')	数値文字 (`0 から 9)`	その他の任意の文字
ALPHA	許可	許可
ALPHANUM	許可	許可	許可
ANY	許可	許可	許可	許可
NONATABC	許可
NONATNUM	許可		許可
NUMERIC			許可

ALPHA: 英字 (A から Z) および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
ALPHANUM: 英字 (A から Z)、数字 (0 から 9)、および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
ANY: 英字 (A から Z)、数字 (0 から 9)、国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B')、および任意の他の文字が使用できます。FIRST(ANY) と OTHER(ANY) の両方を指定した場合、引用符付きストリングも使用可能です。
NONATABC: 英字は使用できますが、数字および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') は除外されます。
NONATNUM: 英字および数字は使用できますが、国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') は除外されます。
NUMERIC: 数字 (0 から 9) が使用可能です。

FIRST を指定しなかった場合は、TYPE 値 (データ型) に基づいて、以下のようなデフォルト値になります。

データ型: デフォルト値
CHAR: ALPHA
FLAG: NONATABC
HEX: NONATNUM
NUM: NUMERIC

HELP( help-text )

このカスタム・フィールドのヘルプ・テキストを指定します。ヘルプ・テキストは、ユーザーが TSO PROMPT モードで PF1 キーを押した場合、または疑問符 (?) を入力した場合に表示されます。help- text 値の小文字の英字は、大文字に変換されます。

規則:

長さ: 1 から 255 文字。
ヘルプ・テキストが、括弧、コンマ、ブランク、またはセミコロンを含む場合は、テキスト・ストリング全体を単一引用符で囲まなければなりません。
単一引用符をヘルプ・テキストの一部にする場合、ストリング内の単一引用符のそれぞれについて、単一引用符を 2 つ続けて使用し、ストリング全体を単一引用符で囲む必要があります。
例: 顧客のアドレスのヘルプ・テキストを定義して、フィールドが最大 100 文字であることを示すには、以下の値を指定できます。
```
HELP('CUSTOMER''S ADDRESS. SPECIFY UP TO 100 CHARACTERS')
```

HELP を指定しなかった場合は、デフォルト値の、CFIELD プロファイル名に定義されたカスタム・フィールド名になります。

LISTHEAD( list-heading-text )

CSDATA セグメントがリストされるときに LISTUSER または LISTGRP コマンドの出力に常に表示するヘッディングを指定します。 list-heading-text 値の小文字の英字は、大文字に変換されます。

規則:

長さ: 1 から 40 文字。
見出しテキストが、括弧、コンマ、ブランク、またはセミコロンを含む場合は、テキスト・ストリング全体を単一引用符で囲まなければなりません。
単一引用符をヘルプ・テキストの一部にする場合、ストリング内の単一引用符のそれぞれについて、単一引用符を 2 つ続けて使用し、ストリング全体を単一引用符で囲む必要があります。
例:
```
LISTHEAD('CUSTOMER''S ADDRESS =')
```

指針: LISTHEAD 値を指定する場合は、以下の指針に従って、カスタム・フィールド値をリストするために LISTUSER または LISTGRP コマンドを使用するユーザーが混乱しないようにしてください。

各カスタム・フィールドに固有のヘッディングを必ず設定する。
LISTHEAD 値に等号 (=) または他の区切り文字を付加して、リスト出力でヘッディングの終了位置とデータの開始位置を示す。

LISTHEAD を指定しなければ、デフォルト値の CFIELD プロファイル名に定義されたカスタム・フィールド名になり、値の末尾に等号 (=) が付加されます。

MAXLENGTH( maximum-field-length )

カスタム・フィールドの最大長を指定します。MAXLENGTH は、すべての TYPE 値 (データ型) で指定することができます。

指針: 3 がデフォルト値かつ唯一の有効な値であるため、TYPE(FLAG) で指定してはなりません。

規則: 表 2に示す有効値または有効範囲は、データ型に基づいて適用されます。

表 2. データ型に基づいた、MAXLENGTH 属性の有効値または有効範囲、およびデフォルト値
データ型	有効値または範囲	デフォルト値
CHAR	1 - 1100	1100
FLAG	3	3
HEX	1 - 512	512
NUM	1 - 10	10

MAXLENGTH を指定しなかった場合は、データ型に基づいて、表 2 のデフォルト値が適用されます。

MAXVALUE( maximum-numeric-value )

TYPE(NUM) のカスタム・フィールドの最大の数値を指定します。

規則:

有効な範囲: 0 から 2 147 483 647 です。
CHAR、FLAG、または HEX データ型のカスタム・フィールドに MAXVALUE 値を指定してはなりません。
MINVALUE 値より小さい MAXVALUE 値を指定してはなりません。
MAXLENGTH 値に基づいた最大値より長い MAXVALUE 値を指定してはなりません。

MAXVALUE を指定しなかった場合は、デフォルトで、MAXLENGTH 値に基づいて、最大値の長さになります。例えば、


MAXLENGTH(4)

を指定した場合、デフォルトの MAXVALUE は 9999 です。

MINVALUE( minimum-numeric-value )

TYPE(NUM) のカスタム・フィールドの最小の数値を指定します。

規則:

有効な範囲: 0 から 2 147 483 647 です。
CHAR、FLAG、または HEX データ型のフィールドに MINVALUE 値を指定してはなりません。
MAXVALUE 値より大きな MINVALUE 値を指定してはなりません。
MAXLENGTH 値に基づいた最大値より長い MINVALUE 値を指定してはなりません。

MINVALUE を指定しなかった場合は、デフォルト値の 0 になります。

MIXED( YES | NO )

TYPE(CHAR) のカスタム・フィールドで大/小文字混合の英字を許可するかどうかを指定します。

YES: FIRST および OTHER 属性で指定された文字制限に基づいて、小文字は、英字が許可されたカスタム・フィールドの任意の位置で許可されます。 ADDUSER などの RACF コマンドで、フィールドの小文字の英字は大文字に変換されません。
規則: FLAG、HEX、または NUM データ型のカスタム・フィールドには、MIXED(YES) を指定してはなりません。
NO: RACF コマンドで、フィールドの小文字の英字は大文字に変換されます。

MIXED を指定しなかった場合は、デフォルト値の NO になります。

OTHER

カスタム・フィールドの先頭文字以外の文字に対して、文字制限を指定します。

指針: FLAG、HEX、または NUM データ型のカスタム・フィールドには、OTHER を指定してはなりません。これらのデータ型で OTHER 値を間違って指定した場合、カスタム・フィールドが使用できなくなります。

OTHER 属性の各オプションについて、カスタム・フィールドで使用可能な文字は、以下のとおりです。

有効オプション	使用可能な文字
有効オプション	英字文字 (`A から Z`)	国別文字 `#` (X'7B')、 `@` (X'7C')、および `$` (X'5B')	数値文字 (`0 から 9)`	その他の任意の文字
ALPHA	許可	許可
ALPHANUM	許可	許可	許可
ANY	許可	許可	許可	許可
NONATABC	許可
NONATNUM	許可		許可
NUMERIC			許可

ALPHA: 英字 (A から Z) および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
ALPHANUM: 英字 (A から Z)、数字 (0 から 9)、および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') が使用できます。
ANY: 英字 (A から Z)、数字 (0 から 9)、国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B')、および任意の他の文字が使用できます。FIRST(ANY) と OTHER(ANY) の両方を指定した場合、引用符付きストリングも使用可能です。
NONATABC: 英字は使用できますが、数字および国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') は除外されます。
NONATNUM: 英字および数字は使用できますが、国別文字 # (X'7B')、@ (X'7C')、および $ (X'5B') は除外されます。
NUMERIC: 数字 (0 から 9) が使用可能です。

規則: OTHER 属性の有効なオプションは、TYPE 値 (データ型) に基づいて、以下のように適用されます。

有効オプション	TYPE 属性に基づいたデータ型
有効オプション	CHAR	FLAG	HEX	NUM
ALPHA	許可
ALPHANUM	許可
ANY	許可
NONATABC	許可	許可
NONATNUM	許可		許可
NUMERIC	許可			許可

OTHER を指定しなかった場合は、TYPE 値 (データ型) に基づいて、以下のようなデフォルト値になります。

データ型: デフォルト値
CHAR: ALPHA
FLAG: NONATABC
HEX: NONATNUM
NUM: NUMERIC

VALREXX( REXX-exec-name )

割り当てられるときにカスタム・フィールドの値について検証を実行するために RACF が呼び出す REXX exec の名前を指定します。REXX exec はシステム rexx 連結に存在する必要があります。

CSDATA | NOCSDATA

CSDATA

この一般リソースのカスタム・フィールドに追加、変更、または除去する情報を指定します。

custom-field-name ... | NOcustom-field-name ...

custom-field-name(custom-field-value) ...

この一般リソースのカスタム・フィールドの名前および値を指定します。単一の RDEFINE コマンドで、複数のカスタム・フィールドの値を指定できます。

各カスタム・フィールドの使用法は、CFIELD クラスのリソース・プロファイルで、RDEFINE コマンドの CFDEF オペランドを使用して定義します。ご使用のシステムにおけるカスタム・フィールドの使用方法を確認するには、セキュリティー管理者にお問い合わせください。カスタム・フィールドの詳細については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

規則:

GENERAL.CSDATA.custom-field-name という名前の CFIELD プロファイルで定義されているのと同じ custom-field-name を使用する必要があります。(CFIELD プロファイルは、RDEFINE コマンドの CFDEF オペランドを使用して定義します。)
カスタム・フィールドの属性で有効な custom-field-value を指定する必要があります。(データ型などの属性は、CFIELD プロファイルの CFDEF セグメントで定義されます。)

NOcustom-field-name ...

この一般リソースのカスタム・フィールド情報を除去します。単一の RDEFINE コマンドで、複数のカスタム・フィールドの値を除去できます。

接頭部 NO をカスタム・フィールドの名前に付加すると、ユーザーのプロファイルからそのカスタム・フィールドの値が削除されます。例えば、ご使用のシステムで ADDRESS という名前のカスタム・フィールドが定義されていて、ユーザー SHANNON のプロファイルから ADDRESS フィールドを除去する場合には、以下のコマンドを発行します。

例:

GENERAL SHANNON CSDATA(NOADDRESS)

NOCSDATA

CSDATA セグメントを一般リソース・プロファイルから削除します。

DATA('installation-defined-data')

リソースのプロファイルに保管されるインストール先定義データを、255 文字以内で指定します。データは単一引用符で囲まなければなりません。 2 バイト文字セット (DBCS) データを含めることもできます。

この情報は、RLIST コマンドを使用してリストすることができます。

DLFDATA

DLFCLASS にあるプロファイルの場合に、DLF オブジェクトの制御に使用される情報を指定します。

RETAIN(YES | NO): DLF オブジェクトを、使用後に保存できるかどうかを指定します。
JOBNAMES(jobname-1 ...): このプロファイルによって保護されている DLF オブジェクトにアクセスできる、オブジェクトのリストを指定します。
ご使用のシステムで有効な、任意のジョブ名を指定することができます。ジョブ名の最後の文字にアスタリスク (*) を付けて総称ジョブ名を指定することもできます。例えば、JOBNAMES(ABC) を指定すると、プロファイルで保護されている DLF オブジェクトにジョブ ABC だけがアクセスできます。 JOBNAMES(ABC*) では、名前が ABC で始まるすべてのジョブ (例えば ABC、ABC1、ABCDEF など) が、DLF オブジェクトにアクセスできます。

DLFDATA を指定しないか、または RETAIN サブオペランドを指定せずに DLFDATA を指定した場合は、RETAIN(NO) がデフォルトとなります。

EIM

EIM および PROXY セグメントのキーワードとサブキーワードの組み合わせにより、EIM ドメイン、EIM ドメインが常駐する LDAP ホスト、および EIM サービスで EIM ドメインとの接続を確立するために必要とされるバインド情報が定義されます。 EIM サービスは、この情報が呼び出しパラメーターによって明示的に与えられていない場合に、この情報の検索を試みます。

DOMAINDN(eim_domain_dn)

EIM ドメインの識別名を指定します。有効な EIM ドメイン識別名は、ibm-eimDomainName= で始まります。大文字および小文字の両方を入力でき、入力された大/小文字が維持されます。 EIM ドメイン識別名は、EIM ドメイン・ネームの 1 つのコンポーネントです。

EIM ドメイン・ネームは、EIM ドメイン情報を保管する LDAP サーバーを識別します。 EIM ドメイン・ネームは、PROXY キーワードの LDAPHOST サブオペランドからの ldap_url で始まり、そのあとに/ が続き、最後は DOMAINDN サブオペランドからの eim_domain_dn で終わります。有効な EIM ドメイン・ネームの長さは、これらの項目の組み合わせで決められます。RACF では、ドメイン識別名に 1023 文字の入力が可能です。RACF は、LDAP URL と EIM ドメイン識別名から作成された EIM ドメイン・ネームが、有効な EIM ドメイン・ネームを形成しているかの確認は行いません。

LDAP 識別名について詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。

OPTIONS

EIM 構成を制御するオプションを指定します。

ENABLE | DISABLE

ENABLE: 指定された EIM ドメインに対して新規の接続を確立することを指定します。これがデフォルトです。
DISABLE: 指定された EIM ドメインに対して新規の接続を確立しないことを指定します。

LOCALREGISTRY(registry_name)

EIM ドメイン内のローカル RACF レジストリーの名前を指定します。このオペランドは、以下のプロファイルを使用する場合のみ有効であり、その他すべてのプロファイルについては無視されます。

FACILITY クラスの IRR.PROXY.DEFAULTS プロファイル
LDAPBIND クラスの IRR.ICTX.DEFAULTS.sysid プロファイル
LDAPBIND クラスの IRR.ICTX.DEFAULTS プロファイル

EIM は、IRR.PROXY.DEFAULTS プロファイルで定義された registry_name 値を使用します。ICTX ID キャッシュ registry_name は、IRR.ICTX.DEFAULTS.sysid または IRR.ICTX.DEFAULTS プロファイルで定義された値を使用します。

registry_name 値の長さは 1 文字から 255 文字です。この値は、任意の文字で構成でき、入力に際して単一引用符はあってもなくても構いません。以下の規則が適用されます。

括弧、コンマ、ブランク、またはセミコロンを registry_name の一部に使用する場合は、文字ストリング全体を単一引用符で囲む必要があります。
単一引用符を registry_name の一部にする場合、ストリング内の単一引用符のそれぞれについて、単一引用符を 2 つ続けて使用し、ストリング全体を単一引用符で囲む必要があります。
大文字および小文字はどちらも使用することができ、入力された状態のまま保持されます。

KERBREGISTRY(registry_name)

システムで使用するように設定されている EIM ドメイン内の Kerberos レジストリーの名前を指定します。このオペランドは、 IRR.PROXY.DEFAULTS FACILITY クラスのプロファイルにのみ有効です。他のプロファイルに対して使用されたときは、この値が無視されます。

Kerberos の registry_name の長さは 1 文字から 255 文字です。大文字と小文字を使用できますが、Kerberos のレジストリー名は RACF データベース内に大文字で格納されるため、どちらを使用してもかまいません。

X509REGISTRY(registry_name)

システムで使用するように設定されている EIM ドメイン内の X.509 レジストリーの名前を指定します。このオペランドは、 IRR.PROXY.DEFAULTS FACILITY クラスのプロファイルにのみ有効です。他のプロファイルに対して使用されたときは、この値が無視されます。

X.509 の registry_name の長さは 1 文字から 255 文字です。大文字と小文字を使用できますが、X.509 のレジストリー名は RACF データベース内に大文字で格納されるため、どちらを使用してもかまいません。

FCLASS(profile-name-2-class)

profile-name-2 が属しているクラスの名前を指定します。有効なクラス名は、DATASET およびクラス記述子テーブルに定義されているクラスです。 IBM 提供のクラス記述子テーブルに定義されている一般リソース・クラスのリストについては、提供される RACF リソース・クラスを参照してください。

このオペランドを省略すると、RACF は、profile-name-2 は profile-name-1 と同じクラスに属するものと見なします。このオペランドは、FROM オペランドを一緒に指定する場合に限り有効です。FROM を指定しない場合は、RACF はこれを無視します。

FGENERIC

これを指定すると、profile-name-2 が完全修飾名 (総称文字を含まないことを意味する) であっても、RACF はこの名前を総称名として扱います。このオペランドは、profile-name-2 が DATASET プロファイルの場合のみ必要です。

FROM(profile-name-2)

新しいプロファイルのモデルとして RACF が使用する、既存の個別プロファイルまたは総称プロファイルの名前を指定します。FROM オペランドに指定したモデル・プロファイル名は、ユーザー・プロファイルまたはグループ・プロファイルに指定されているモデル名よりも優先します。 FROM を指定して FCLASS を省略すると、RACF は、profile-name-2 が profile-name-1 と同じクラスにあるプロファイルの名前であると見なします。

大/小文字混合のプロファイル名は、静的クラス記述子テーブルの CASE=ASIS で定義したクラス、または動的クラス記述子テーブルの CASE(ASIS) で定義したクラスを FCLASS が参照するときに受け入れられ、保存されます。

FROM を指定するには、profile-name-1 と profile-name-2 の両方に対して、『必要な権限』に記載した十分な権限を持っていなければなりません。

モデル化が行われる際にコピー先のプロファイルに加えられる可能性のある変更: プロファイルをモデル化している間にプロファイルがコピーされると、新しいプロファイルは、次の点でモデルと異なっている可能性があります。

条件付きアクセス・リストのある種の条件は、特定のクラスに対してのみ有効です。例えば、WHEN(SYSID) は PROGRAM クラスに対してのみ有効で、WHEN(PROGRAM) はデータ・セットおよび SERVAUTH に対してのみ有効です。profile-name-2 の条件付きアクセス・リストにおける PROGRAM および SYSID 項目は、条件が profile-name-1 のクラスに対して有効な場合に限り、profile-name-1 の条件付きアクセス・リストにコピーされます。
RACF は、ユーザーの ID を ALTER アクセス権限に割り当てた上でアクセス・リストに入れます。また、そのユーザーの ID がすでにアクセス・リストに入っている場合は、RACF はユーザーのアクセス権限を ALTER に変更します。ただし、NOADDCREATOR が実施されている場合には、RACF は、モデルのアクセス・リストに表示されるのと全く同じようにアクセス・リスト権限をコピーします。
モデル・プロファイルに (ADDMEM オペランドで指定した) メンバーが入っている場合、そのメンバーは新しいプロファイルにはコピーされません。
SETROPTS MLS オプションが有効であれば、セキュリティー・ラベル (モデル・プロファイルに指定されている場合) はコピーされません。代わりに、ユーザーの現行セキュリティー・ラベルが使用されます。
例外: SETROPTS MLS および MLSTABLE が両方とも有効であり、ユーザーが SPECIAL 属性を備えている場合には、モデル・プロファイルに指定されているセキュリティー・ラベルが新しいプロファイルにコピーされます。
TAPEVOL プロファイルの場合、TVTOC 情報は新しいプロファイルにはコピーされません。
BASE 以外のセグメント (SESSION セグメントや DLFDATA セグメントなど) 内の情報はコピーされません。

自動プロファイル・モデル化については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

FVOLUME(volume-serial)

モデル・プロファイル (profile-name-2) を見つけるために、RACF が使用するボリュームを指定します。

FVOLUME を指定したときに、そのボリュームに関連付けられた profile-name-2 を RACF が見つけられない場合、コマンドは失敗に終わります。このオペランドを省略し、profile-name-2 が 2 回以上 RACF データ・セットに現れる場合には、コマンドは失敗に終わります。

FVOLUME が有効なのは、FCLASS に DATASET と指定するかデフォルト解釈によって DATASET が使用される場合、および profile-name-2 に個別プロファイルを指定した場合だけです。それ以外の場合には、RACF は FVOLUME を無視します。

ICSF

このプロファイルによって制御される鍵の ICSF 属性を指定します。ICSF 属性は、CSFKEYS、GCSFKEYS、XCSFKEY、および GXCSFKEY クラスのプロファイルに対してのみ有効です。

ASYMUSAGE

このプロファイルによって制御される非対称鍵は、どのような使用に適格であるかを指定します。ASYMUSAGE を指定しない場合、鍵はすべての使用に適格です。

SECUREEXPORT | NOSECUREEXPORT: 鍵が対称鍵のエクスポートまたはインポートに使用するのに適格であるかどうかを指定します。
HANDSHAKE | NOHANDSHAKE: 鍵が通信チャネルの保護に使用するのに適格であるかどうかを指定します。

SYMEXPORTABLE

このプロファイルによって制御される対称鍵のエクスポートに使用するために、どの公開鍵 (ある場合) が適格であるかを指定します。 SYMEXPORTABLE を指定しない場合、どの公開鍵も適格です。

BYANY: どの公開鍵も適格です。SYMEXPORTCERTS および SYMEXPORTKEYS の設定は無視されます。このオプションはデフォルトの設定値です。
BYLIST: SYMEXPORTCERTS または SYMEXPORTKEYS オプションで指定された公開鍵のみ適格です。この対称鍵に対していずれのオプションも設定されていない場合、どの公開鍵も適格でありません (BYNONE が指定されたのと同じです)。
BYNONE: どの公開鍵も適格でありません。SYMEXPORTCERTS および SYMEXPORTKEYS の設定は無視されます。

SYMEXPORTCERTS([qualifier]/label-name ... | *)

このプロファイルによって制御される対称鍵のエクスポートに使用するのに適格なデジタル証明書のラベルのリストを指定します。

リストされた各証明書は、ICSF 鍵ストア (ICSF 構成設定で指定された SAF 鍵リングまたは PKCS #11 トークン) 内に存在しなければなりません。ICSF 鍵ストアについては、「z/OS Cryptographic Services ICSF Administrator's Guide」を参照してください。

ICSF 鍵ストア内の任意の証明書が、このプロファイルによって制御される対称鍵のエクスポートに使用するのに適格であることを示すには、アスタリスク (*) を指定します。アスタリスク (*) の指定は、リストされたラベルを指定変更します。

qualifier/label-name 形式の証明書ラベル・ストリングを使用して、各証明書ラベルを指定します。

qualifier

複数の証明書が同じラベルを持っている場合、証明書ラベル・ストリングでオプションの修飾子を指定します。指定されている場合、RACF はプロファイルに保管する前に修飾子の値を大文字に変換します。修飾子の値の意味は、証明書のある場所によって異なります。

証明書のある場所	修飾子値の意味
SAF 鍵リング	証明書の所有者の RACF ユーザー ID。
PKCS #11 トークン	証明書の `CKA_ID` 属性の値。`CKA_ID` 値は、最高 64 文字の 16 進文字で構成されます。有効な文字は、`0 から 9` および `A から F` です。

/label-name

証明書の作成時に割り当てられた証明書ラベルを指定します。スラッシュ文字 (/) の後に証明書ラベルを指定する必要があります。

証明書ラベルにブランク、または TSO/E で問題が生じる特殊文字 (コンマ、括弧、またはコメント区切り (/*) など) が含まれている場合、証明書ラベル・ストリング全体を単一引用符で囲む必要があります。

label-name に指定されている先頭または末尾のブランクは、この値をプロファイルに保管する前に値から除去されます。

証明書ラベル・ストリングの例:

DENICE/CertForDenice
'ROGERS/Cert for Rogers'
'/DLR cert'

SYMEXPORTKEYS(ICSF-key-label ... | *)

このプロファイルによって制御される対称鍵のエクスポートに使用するのに適格な公開鍵の ICSF 鍵ラベルのリストを指定します。リストされた各公開鍵は、ICSF PKA 鍵データ・セット (PKDS) 内になければなりません。

ICSF PKDS 内の任意の公開鍵が、このプロファイルによって制御される対称鍵のエクスポートに使用するのに適格であることを示すには、アスタリスク (*) を指定します。アスタリスク (*) の指定は、リストされたラベルを指定変更します。

ICSF-key-label: 公開鍵の ICSF 鍵ラベルを指定します。ラベル名は 64 文字を超えることはできません。先頭文字は、英字または国別文字 (#、@、または $ ) でなければなりません。後続の文字には、ピリオド文字 (.)、任意の英数字、または国別文字を使用できます。

SYMCPACFWRAP

このプロファイルが制御する暗号化された対称鍵が、CPACF (CP Assist for Cryptographic Function) による再ラップの対象となるかどうかを指定します。SYMCPACFWRAP を指定しなかった場合は、鍵は対象になりません。

YES: このプロファイルが制御する暗号化された対称鍵が、CPACF による再ラップの対象となることを指定します。
NO: このプロファイルが制御する暗号化された対称鍵が、CPACF による再ラップの対象とならないことを指定します。このオプションはデフォルトの設定値です。

SYMCPACFRET

このプロファイルによって制御され、CP Assist for Cryptographic Function (CPACF) によって再ラップされている暗号化対称鍵を、許可呼び出し元に返すことができるかどうかを指定します。

ICSF オペランドを指定して新しい ICSF セグメントを作成し、SYMCPACFRET オプションを省略すると、NO がデフォルトの設定になります。

YES: このプロファイルによって制御され、CP Assist for Cryptographic Function (CPACF) によって再ラップされている暗号化対称鍵を、許可呼び出し元に返すことができると指定します。
NO: このプロファイルによって制御され、CP Assist for Cryptographic Function (CPACF) によって再ラップされている暗号化対称鍵を、許可呼び出し元に返すことができないと指定します。

ICTX

ICTX ID キャッシュを制御する ICTX 構成オプションを指定します。

ICTX ID キャッシュは、ストレージ内にある構成オプションのコピーを使用します。これらのオプションをアクティブにするには、LDAPBIND クラスの SETROPTS RACLIST 処理を使用します。(SETROPTS RACLIST 処理についての詳細は、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください)

ICTX 構成オプションについての詳細は、「z/OS Integrated Security Services エンタープライズ識別マッピング (EIM) ガイドおよび解説書」を参照してください。

以下のオペランドは、LDAPBIND クラスにある以下のプロファイルの場合のみ使用され、その他のプロファイルの場合は無視されます。

IRR.ICTX.DEFAULTS.sysid
IRR.ICTX.DEFAULTS

USEMAP (YES | NO)

z/OS ユーザー ID への有効な ID マッピングをアプリケーションから提供された場合、ICTX ID キャッシュでそれを保管するかどうかを指定します。これを指定しない場合、デフォルトで USEMAP(YES) になります。

YES: アプリケーションがローカル z/OS ユーザー ID への有効なマッピングを提供する場合、ICTX ID キャッシュはそのマッピングを保管します。(これがデフォルト値です。)
NO: アプリケーションから提供された ID マッピングは保管されません。

DOMAP (YES | NO)

認証ユーザーの z/OS ユーザー ID へのマッピングを検出するのに ICTX ID キャッシュが Enterprise Identity Mapping (EIM) サービスを使用し、そのマッピングを保管するかどうかを指定します。これを指定しない場合、デフォルトで DOMAP(NO) になります。

YES: EIM が認証ユーザーの z/OS ユーザー ID へのマッピングを検出した場合、ICTX ID キャッシュはそのマッピングを保管します。
NO: ICTX ID キャッシュは、ID マッピングを検出するのに EIM を使用しません。 (これがデフォルト値です。)

MAPREQUIRED(YES | NO)

ICTX ID キャッシュが認証ユーザーの z/OS ユーザー ID への ID マッピングを必要とするかどうかを指定します。これを指定しない場合、デフォルトで MAPREQUIRED(NO) になります。

YES: 有効なマッピングがアプリケーションからも提供されず、EIM を使用しても見つからなかった場合、ICTX ID キャッシュは要求に失敗します。
NO: 有効なマッピングがアプリケーションからも提供されず、EIM を使用しても見つからなかった場合でも、ICTX ID キャッシュは要求に失敗しません。

MAPPINGTIMEOUT(1 - 3600)

ICTX ID キャッシュが認証ユーザーの z/OS ユーザー ID への ID マッピングを保管する時間 (1 秒から 1 時間まで) を指定します。これを指定しない場合、デフォルトで MAPPINGTIMEOUT(3600) になります。

指針: 頻繁に EIM マッピングを変更する場合、MAPPINGTIMEOUT 値には小さな値を検討してください。タイムアウト期間を短くするほど、ICTX ID キャッシュは頻繁に EIM を呼び出します。これにより、キャッシュされたマッピングは、より頻繁にリフレッシュされ、現行性が向上します。

IDTPARMS

変更する IDTDATA クラス・プロファイルの情報を指定します。

SIGTOKEN(pkcs11-token-name)

このプロファイルに関連付けられる識別トークン (IDT) 署名の生成および検証のための ICSF PKCS#11 トークン名を指定します。

トークン名は英数字、国別文字 (@、#、$) およびピリオド記号で構成することができます。トークン名には、大/小文字の区別はありません。

トークン名の最小の長さは 1 です。トークン名の最大の長さは 32 です。

デフォルト値はありません。

SIGSEQNUM(pkcs11-sequence-number)

このプロファイルに関連付けられる識別トークン (IDT) 署名の生成および検証のための鍵の ICSF PKCS#11 シーケンス番号を指定します。

シーケンス番号は 16 進数である必要があります。

最小のシーケンス番号は 1 です。シーケンス番号の最大長は 16 進数で 8 桁です。デフォルト値は 1 です。

SIGCAT(pkcs11-categor)

このプロファイルに関連付けられる識別トークン (IDT) 署名の生成および検証のための鍵の ICSF PKCS#11 カテゴリーを指定します。

カテゴリーは以下のいずれかの値でなければなりません。

T - クリア・トークン・オブジェクトを指定します。
Y - セキュア・トークン・オブジェクトを指定します。

デフォルト値は T です。

SIGALG(HS256 | HS384 | HS512)

このプロファイルに関連付けられる識別トークン (IDT) 署名の生成のための署名アルゴリズムを指定します。デフォルト値は HS256 です。

HS256: 署名アルゴリズムを HMAC SHA256 に指定します。
HS384: 署名アルゴリズムを HMAC SHA-384 に指定します。
HS512: 署名アルゴリズムを HMAC SHA-512 に指定します。

ANYAPPL(YES | NO)

RACROUTE で生成された IDT をあらゆるアプリケーション名で使用できるか、認証を実行したアプリケーション名のみに使用できるかを指定します。デフォルト値は YES です。

ANYAPPL(YES) が指定された場合、RACROUTE は IDT をあらゆるアプリケーション名で使用できるように生成します。

ANYAPPL(NO) が指定された場合、RACROUTE は、認証を実行したアプリケーション名によってのみ使用できるように IDT を生成します。

IDTA パラメーター・フィールドを指定して IDTA_End_User_IDT をオフに設定することによって (エンド・ユーザー用ではない) IDT が RACROUTE によって生成される場合、RACROUTE はこの設定を無視し、あらゆるアプリケーション名で使用できるように IDT を生成します。

IDTTIMEOUT(timeout-minutes)

プロファイルに関連付けられる識別トークン (IDT) がアクティブな分数を指定します。

タイムアウトの分数の値は 1 から 1440 までです。デフォルト値は 5 です。

JES

追加するプロファイルについての JES 情報を指定します。

KEYLABEL(key-label): プロファイルによってカバーされるリソースのスプール・データを暗号化するときに使用される ICSF 鍵ラベルの名前を指定します。

KERB

REALM クラス・プロファイルに関する z/OS Integrated Security Services ネットワーク認証サービス情報を指定します。

CHECKADDRS

Kerberos サーバーが、チケット検証処理の一部としてチケット内のアドレスを検証するかどうかを指定します。

このキーワードは、ローカル・レルムの KERBDFLT REALM プロファイルを定義する場合にのみ適用できます。

YES: サーバーがチケット内のアドレスを検証します。
NO: サーバーは、チケット内のアドレスを無視します。これはデフォルト値です。

DEFTKTLFE(def-ticket-life)

ローカルの z/OS ネットワーク認証サービスのデフォルトのチケット存続時間を秒単位で指定します。DEFTKTLFE の値は、1 から 2 147 483 647 です。0 は、有効な値ではありません。

このキーワードは、ローカル・レルムの KERBDFLT REALM プロファイルを定義する場合にのみ適用できます。

DEFTKTLFE を指定した場合、MAXTKTLFE および MINTKTLFE も指定する必要があります。

ENCRYPT

定義する z/OS ネットワーク認証サービス・レルムで使用できる鍵を指定します。

ENCRYPT は、KERB を指定する場合のデフォルト値です。ENCRYPT のデフォルト値は、DES、DES3、DESD、AES128、AES256、AES128SHA2、および AES256SHA2です。

DES | NODES: DES 暗号鍵が使用できるかどうか。
DES3 | NODES3: DES3 暗号鍵が使用できるかどうか。
DESD | NODESD: DESD 暗号鍵が使用できるかどうか。
AES128 | NOAES128: AES128 暗号鍵が使用できるかどうか。
AES256 | NOAES256: AES256 暗号鍵が使用できるかどうか。
AES128SHA2 | NOAES128SHA2: AES128 SHA2 暗号鍵を使用できます。
AES256SHA2 | NOAES256SHA2: AES256 SHA2 暗号鍵を使用できます。

レルムのパスワードが変更されると、それぞれのタイプの鍵が生成され、プリンシパルのユーザー・プロファイルに保管されます。それぞれの鍵は、z/OS ネットワーク認証サービスの構成に基づいて使用されます。

z/OS ネットワーク認証サービスによる鍵の使用の仕方、および鍵に関連した環境変数のカスタマイズの方法については、z/OS Integrated Security Services ネットワーク認証サービス管理ガイドを参照してください。

KERBNAME(kerberos-realm-name)

z/OS ネットワーク認証サービスのローカル・レルム名または認証関係を指定します。このフィールドの最大長は、117 文字です。

KERBDFLT レルムのローカル・レルム名を指定するときは、非修飾 形式のローカル・レルム名を使用して、KERBNAME を指定する必要があります。例えば、次のようになります。
```
RDEFINE REALM KERBDFLT KERB(KERBNAME(KRB2000.IBM.COM)
```
認証関係を指定するときは、以下の形式の完全修飾 プリンシパル名を指定する必要があります。
```
/.../kerberos_realm_name_1/krbtgt/kerberos_realm_name_2
```
認証関係の定義について詳しくは、「z/OS Integrated Security Services ネットワーク認証サービス管理ガイド」を参照してください。

ローカル・レルムの命名の構文規則:

RACF に対して定義するローカル・レルム名には、/ (X'61') 文字を除く、任意の文字を使用することができます。名前は、以下の規則に基づいて、単一引用符を付けて入力することも付けないで入力することもあります。

括弧、コンマ、ブランクまたはセミコロンを名前の一部として使用する場合は、その文字ストリングは単一引用符で囲む必要があります。
単一引用符を名前の一部として使用し、文字ストリング全体を単一引用符で囲む場合、文字ストリング内の各単一引用符を表すには、2 つの単一引用符を続けて使用する必要があります。
名前の最初の文字が単一引用符の場合、単一引用符の代わりに 2 つの単一引用符を入力し、そのストリング全体を単一引用符で囲む必要があります。

大文字小文字のどちらで入力されたかにかかわらず、RACF はローカルの z/OS ネットワーク認証サービス・レルムの名前を大文字に変換します。ただし RACF は、有効な kerberos-realm-name が指定されたかどうかは確認しません。

ローカル・レルムの命名の指針:

異なるコード・ページによる問題を避けるため、EBCDIC 異体文字は使用しないでください。
ローカル・レルム名の長さは慎重に検討してください。ローカルのプリンシパルの完全修飾名は、以下の形式を使用し、かつ 240 文字を超えることができないため、ローカル・レルム名の長さによって、ローカルのプリンシパル名の長さが制限されます。
```
/.../kerberos_realm_name/principal_name
```
RACF は、ローカルの kerberos-principal-name が追加または変更された場合にのみ、ローカルのプリンシパルの完全修飾名の長さを検査します。このため、プリンシパル名の最大長制限におさまり、ローカル・レルムの名前を変更しなくてもよいように、前もって計画してください。ローカル・レルムの名前を (RALTER コマンドを使用して) 変更すると、既存のプリンシパルの鍵が使用できなくなります。

MAXTKTLFE(max-ticket-life)

ローカル z/OS ネットワーク認証サービスの max-ticket-life を秒単位で指定します。MAXTKTLFE の値は、1 から 2 147 483 647 です。0 は、有効な値ではありません。

このキーワードは、ローカルの z/OS ネットワーク認証サービス・レルムの KERBDFLT REALM プロファイルを定義する場合にのみ適用できます。

MAXTKTLFE を指定した場合、DEFTKTLFE および MINTKTLFE も指定する必要があります。

MINTKTLFE(min-ticket-life)

z/OS ネットワーク認証サービスの min-ticket-life を秒単位で指定します。MINTKTLFE の値は、1 から 2 147 483 647 です。0 は、有効な値ではありません。

このキーワードは、ローカル Kerberos レルムの KERBDFLT REALM プロファイルを定義する場合にのみ適用できます。

MINTKTLFE を指定した場合、DEFTKTLFE および MAXTKTLFE も指定する必要があります。

PASSWORD(kerberos-password)

kerberos-password の値を指定します。この値の最大長は、128 文字です。 PASSWORD キーワードは、すべての REALM クラス・プロファイル定義に対して適用できます。パスワードは、認証関係の定義と関連付ける必要があり、そうしなければ定義は不完全なものになります。

指針: 異なるコード・ページによる問題を避けるため、EBCDIC 異体文字は使用しないでください。

RACF に定義するパスワードには、すべての文字を使用することができます。パスワードは、以下の規則に基づいて、単一引用符を付けて入力することも付けないで入力することもあります。

括弧、コンマ、ブランクまたはセミコロンをパスワードの一部として使用する場合は、その文字ストリングは単一引用符で囲む必要があります。
単一引用符をパスワードの一部として使用し、文字ストリング全体を単一引用符で囲む場合、文字ストリング内の各単一引用符には、2 つの単一引用符を続けて使用する必要があります。
パスワードの最初の文字が単一引用符の場合、文字の代わりに 2 つの単一引用符を入力し、そのストリング全体を単一引用符で囲む必要があります。

大文字および小文字はどちらも使用することができ、入力された状態のまま保持されます。

注: このキーワードは、管理者が kerberos-password とレルムの定義を関連付けるためのものです。これは RACF ユーザー・パスワードとは異なり、SETROPTS パスワード規則や、RACF ユーザー・パスワードに設定される変更間隔値によって制約を受けることはありません。 REALM クラス・プロファイルの暗号鍵は ICSF サービスを使用して生成されるので、ICSF はパスワードの変更前に使用可能になっている必要があります。

LEVEL(nn)

レベル標識 (nn は 0 から 99 までの整数) を指定します。デフォルトは 0 です。

ご使用のインストール済み環境によって値の意味が割り当てられます。これは、リソース・アクセスをログに記録するすべてのレコードに組み込まれるもので、 RLIST コマンドによってリストすることができます。

MFA

RACF が MFADEF クラス・プロファイル内に MFA セグメントを作成することを指定します。 MFA セグメントは、IBM Multi-Factor Authentication for z/OS によってのみ更新されることになっています。

MFPOLICY

変更される MFADEF クラス・プロファイルの多要素認証ポリシー情報を指定します。

FACTORS(factor-name1 ...)

認証ポリシーに対応するために必要な要素名のリストを指定します。

TOKENTIMEOUT(timeout-seconds)

ポリシーによるアウト・オブ・バンド認証が有効である秒数を指定します。つまり、IBM MFA へのポリシーによるアウト・オブ・バンド認証を実行した後に、ユーザーはこの秒数内で z/OS アプリケーションにログオンする必要があります。そうしないと、アウト・オブ・バンド認証レコードはタイムアウトになります。アウト・オブ・バンド認証レコードがタイムアウトになると、ユーザーはログオンするために IBM MFA でのアウト・オブ・バンド認証を再度実行する必要があります。

timeout-seconds の値は 1 から 86,400 (1 日の秒数) の範囲で指定できます。

デフォルト値は 300 です (5 分)。

REUSE(YES|NO)

このアウト・オブ・バンド認証ポリシーにより、TOKENTIMEOUT 設定内でアウト・オブ・バンド・トークンを使用して、複数の z/OS ログオンを許可するかどうかを指定します。 REUSE(NO) を指定した場合、ユーザーはすべての z/OS ログオンの前に、ポリシーを使用してアウト・オブ・バンド認証を行う必要があります。

REUSE(NO) がデフォルトです。

NOTIFY[(userid)]

RACF がこのプロファイルを使用した結果、リソースへのアクセスを拒否する場合に、必ず通知を受けるようにする、ユーザーのユーザー ID を指定します。ユーザー ID を指定せずに NOTIFY を指定すると、RACF は、コマンド・ユーザーのユーザー ID をデフォルトとして使用します。そこで、プロファイルがリソースへのアクセスを拒否した場合には、必ずコマンド・ユーザーへ通知されます。

NOTIFY メッセージを受け取るユーザーは、頻繁にログオンして、各メッセージに記述されている無許可のアクセスの試行に対して処置を行う必要があります。 RACF は SYS1.BRODCAST データ・セットに NOTIFY メッセージを送ります。リソース・プロファイルに WARNING も指定されている場合は、メッセージで識別されるユーザーに、RACF がリソースへのアクセスを認めている可能性があります。

RACF がリソースへのアクセスを拒否しても、次の場合はユーザーに通知されません。

リソースが PROGRAM クラスに属している場合
RACROUTE REQUEST=LIST を使用してアプリケーションがストレージ内にあるプロファイルを作成したクラスに、リソースがある場合
IMS や CICS® のようなアプリケーションの中には、与えられたクラスのすべてのプロファイルをストレージにロードするものもあります。これらのプロファイルがストレージに入ると、アプリケーションは、 RACROUTE REQUEST=FASTAUTH を使用して高速許可検査を行うことができます。 1 つの違いは、高速許可検査は警告メッセージや通知メッセージを発行せず、監査をサポートしない場合があります。そのような場合には、戻りコードおよび理由コードがアプリケーションに戻されて、これらの機能をサポートできるようにします。戻りコードおよび理由コードがアプリケーションに戻されて、これらの機能をサポートできるようにします。アプリケーションは、戻りコードと理由コードを調べ、 RACROUTE REQUEST=AUTH を使用してメッセージと監査レコードを作成することができます。アプリケーションが RACROUTE REQUEST=AUTH を使用して監査をサポートする場合は、指定のユーザーに対して通知が行われます。そうでない場合は、通知や警告などは行われません。

IMS での RACF の使用について詳しくは、「IBM Knowledge Center (IMS)」を参照してください。

CICS での RACF の使用について詳しくは、「CICS Transaction Server for z/OS 」を参照してください。
データ・セットの作成または削除ができないようにするために、プロファイルが使用された場合
NOTIFY はリソース・アクセス検査の目的でのみ使用され、リソースの作成や削除には使用されません。

OWNER(userid or group-name)

定義しているリソースの所有者として割り当てる、RACF 定義のユーザーまたはグループを指定します。このオペランドを省略する場合は、コマンド・ユーザーが所有者として定義されます。所有者として指定したユーザーでも、自動的にリソースへのアクセス権が与えられるわけではありません。 PERMIT コマンドを使用して、必要に応じて所有者をアクセス・リストに追加してください。

PROXY

z/OS LDAP サーバーが要求者のためにプロキシーとして動作する際に使用する情報を指定します。R_proxyserv (IRRSPY00) SAF 呼び出し可能サービスは、この情報が呼び出しパラメーターによって明示的に与えられていない場合に、この情報の検索を試みます。 R_proxyserv 呼び出し可能サービスを使用するアプリケーションまたは他のサービス (IBM Policy Director Authorization Services for z/OS and OS/390 など) は、その起動側に PROXY セグメント情報を定義するように指示する場合があります。

LDAPHOST(ldap_url)

z/OS LDAP サーバーが要求者のためにプロキシーとして動作する際に交信する LDAP サーバーの URL を指定します。LDAP URL は、ldap://123.45.6:389 または

ldaps://123.45.6:636

のようなフォーマットで、ldaps は、高水準のセキュリティーには SSL 接続が望ましいことを示しています。また、LDAP によって、URL のホスト名部分を、テキスト形式 (BIGHOST.POK.IBM.COM) または小数点付き 10 進数アドレス (123.45.6) のいずれかで指定することもできます。ポート番号がホスト名に追加されます。ポート番号とホスト名はコロン : (X'7A') で区切られます。

LDAP URL、および SSL 接続のために LDAP サーバーを使用可能にする方法の詳細については、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。

RACF に定義する LDAP URL は、10 文字から 1023 文字で構成できます。 ldap:// または ldaps:// のいずれかで始まる URL が有効です。 RACF では、URL の残りの部分に任意の文字を入力できますが、TCP/IP 規則に準拠した URL でなくてはなりません。例えば、括弧、コンマ、ブランク、セミコロン、および単一引用符は、通常はホスト名では使用できません。 LDAP URL を入力する際に単一引用符を付けても付けなくても構いませんが、いずれの場合も大文字に変換されます。

RACF は、有効な LDAP URL が指定されたかどうかを確認しません。

BINDDN(bind_distinguished_name)

z/OS LDAP サーバーが要求者のためにプロキシーとして動作する際に使用する識別名 (DN) を指定します。この DN は、z/OS LDAP サーバーが、別の LDAP サーバーとの BIND のために管理者またはユーザーを識別する必要がある場合に、BIND パスワードと共に使用されます。DN は、コンマで区切られた属性値ペアで構成します。例えば、次のようになります。

cn=Ben Gray,ou=editing,o=New York Times,c=US 
cn=Lucille White,ou=editing,o=New York Times,c=US 
cn=Tom Brown,ou=reporting,o=New York Times,c=US

BIND DN を RACF に定義する場合、1 文字から 1023 文字で定義できます。BIND DN は、任意の文字で構成することができ、単一引用符を付けても付けなくても構いません。次の規則が適用されます。

括弧、コンマ、ブランク、またはセミコロンを BIND DN の一部として入力する場合は、文字ストリングを単一引用符で囲まなければなりません。
単一引用符を BIND DN の一部にする場合、ストリング内の単一引用符のそれぞれについて、単一引用符を 2 つ続けて使用し、ストリング全体を単一引用符で囲む必要があります。

大文字および小文字はどちらも使用することができ、入力された状態のまま保持されます。LDAP 識別名について詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。

RDEFINE コマンドを RACF オペレーター・コマンドとして出し、小文字で BIND DN を指定する場合、その BIND DN は単一引用符で囲まなければなりません。

RACF は、有効な BIND DN が指定されたかの確認を行いません。

BINDPW

z/OS LDAP サーバーが、リクエスターに代わってプロキシーとして動作する際に使用するパスワードを指定します。

BIND パスワードを RACF に定義する場合、1 文字から 128 文字で定義できます。BIND パスワードは任意の文字 (下記の例外を参照) で構成でき、単一引用符付きで入力することも付けずに入力することもできます。次の規則が適用されます。

BIND パスワードは、左中括弧 { 文字 (X'8B') で始めることはできません。
括弧、コンマ、ブランク、またはセミコロンを BIND パスワードの一部として入力する場合は、文字ストリングを単一引用符で囲まなければなりません。
単一引用符を BIND パスワードの一部にする場合、ストリング内の単一引用符のそれぞれについて、単一引用符を 2 つ続けて使用し、ストリング全体を単一引用符で囲む必要があります。

大文字および小文字はどちらも使用することができ、入力された状態のまま保持されます。LDAP パスワードについて詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。

RDEFINE コマンドを RACF オペレーター・コマンドとして発行し、小文字で BIND パスワードを指定する場合、その BIND パスワードは単一引用符で囲まなければなりません。

RACF は、有効な BIND パスワードが指定されたかの確認を行いません。

重要:

コマンドを ISPF から発行すると、 TSO コマンド・バッファー (可能な BINDPW パスワード・データを含む) は ISPLOG データ・セットに書き込まれます。したがって、ユーザーは ISPF からこのコマンドを出してはならず、 ISPLOG データ・セットを注意深く制御する必要があります。
コマンドを RACF オペレーター・コマンドとして発行すると、コマンドおよび可能な BINDPW パスワード・データはシステム・ログに書き込まれます。したがって、RDEFINE の RACF オペレーター・コマンドとしての使用を制御するか、ユーザーがコマンドを TSO コマンドとして出す必要があります。

SECLABEL(seclabel-name)

このプロファイルのインストール先定義のセキュリティー・ラベルを指定します。

セキュリティー・ラベルは、特定のセキュリティー・レベル (CONFIDENTIAL など) に、一組以上のセキュリティー・カテゴリー (PAYROLL や PERSONNEL など) を組み合わせたものに対応します (セキュリティー・カテゴリーはない場合もあります)。

コマンド・ユーザーがその SECLABEL の使用を許可されている場合、RACF は指定したセキュリティー・ラベルの名前をリソース・プロファイルに保管します。

コマンド・ユーザーにその SECLABEL が許可されていない場合、または指定した名前が SECLABEL クラスに SECLABEL プロファイルとして定義されていない場合には、リソース・プロファイルは作成されません。

SECLABEL が指定されていない場合、作成されたプロファイルは、SETROPTS MLACTIVE オプションがオンになっている場合を除いて、リソースに関連付けられた SECLABEL を持ちません。この場合は、ユーザーの現在のログオン SECLABEL が自動的にプロファイルに割り当てられます。

SECLEVEL(seclevel-name)

インストール先定義のセキュリティー・レベルの名前を指定します。この名前は、ユーザーがリソースにアクセスするために少なくとも持っていなければならないセキュリティー・レベルの番号に対応しています。 seclevel-name は、SECDATA クラス内の SECLEVEL プロファイルのメンバーでなければなりません。

SECLEVEL が指定され、SECDATA クラスがアクティブである場合、RACF はセキュリティー・レベルの検査を他の許可検査に追加して実施します。グローバル・アクセス検査でアクセスが認められる場合、RACF は、ユーザー・プロファイルで認可されているセキュリティー・レベルを、リソース・プロファイルに必要なセキュリティー・レベルと比較します。ユーザー・プロファイル内のセキュリティー・レベルがリソース・プロファイル内のセキュリティー・レベルよりも低い場合、RACF はアクセスを拒否します。ユーザー・プロファイル内のセキュリティー・レベルがリソース・プロファイル内のセキュリティー・レベル以上であれば、RACF はその他の許可検査を続行します。 SECLEVEL オペランドは、SECLABEL クラスの場合は必須オペランドです。

注: RACF 特権属性あるいは承認属性を持つ開始済みタスクについては、RACF はセキュリティー・レベル検査を実施しません。RACF 特権属性または承認属性は、 RACF 開始済みプロシージャー・テーブルまたは STARTED クラスによって開始済みタスクに割り当てることができます。また、RACF は、PROGRAM クラス内のプロファイルに指定されたセキュリティー・レベル情報を適用しません。

SECDATA クラスがアクティブでない場合、RACF は指定された名前をリソース・プロファイルに保管します。SECDATA クラスが活動化され、指定した名前が SECLEVEL プロファイルとして定義されていれば、RACF は、リソース・プロファイルについてセキュリティー・レベルのアクセス検査を実施することができます。指定した名前が SECLEVEL プロファイルとして定義されていない場合は、有効な SECLEVEL 名を指定するようにというプロンプトが出ます。

SESSION

APPCLU リソース・クラスのみに有効です。これを指定すると、APPCLU クラスのプロファイルを変更するときに、以下のサブオペランドを用いて、SESSION セグメントのフィールド値の追加、変更、または削除を行うことになります。 SESSION セグメントは、LU6.2 のもとで論理装置間でのセッションの確立を制御するのに使用されます。

CONVSEC

このプロファイルによって保護されている LU を使用して会話が設定されるときに実施する、セキュリティー検査のレベルを 1 つまたは複数指定します。

指針: 各 APPCLU プロファイルには CONVSEC オプションを指定します。

ALREADYV: APPC/MVS RACF は、インバウンド割り振り要求のユーザー ID およびパスワードを検査しません。ALREADYV を指定する場合は、ユーザー ID およびパスワードが、パートナー LU によってすでに検査されていることが前提となります。これを指定するのは、パートナー LU が信頼できる場合だけにしなければなりません。
AVPV: ユーザー ID とパスワードはすでに検査されているので、さらに持続検査を要求します。
CONV: APPC/MVS は RACROUTE REQUEST=VERIFY を出して、すべてのインバウンド割り振り要求のユーザー ID およびパスワードを検査します。
NONE: すべてのインバウンド割り振り要求は、ユーザー ID が有効かどうかの検査を RACF で受けずにパスします。RACROUTE REQUEST=VERIFY は出されません。
PERSISTV: 持続検査を指定します。

INTERVAL(n)

セッション鍵が有効である最長日数を設定します。 n の値は 1 から 32767 までです。このキー間隔が (SETROPTS SESSIONINTERVAL を使用してセットした) インストール・システムの最長日数よりも長い場合、プロファイルが作成されます。

このキー間隔は指定されていないが、SETROPTS SESSIONINTERVAL 値がある場合、プロファイルはその値を使用して作成されます。 SETROPTS SESSIONINTERVAL 値がない場合には、セッション鍵が有効である日数に制限を設けません。

ロック (LOCK)

ロックされていることを示す印をプロファイルに付けます。これを指定すると、すべてのセッションの確立が正常に行われなくなります。

SESSKEY(session-key)

このプロファイルのキーを変更します。 session-key は、次の 2 つの方法で表すことができます。

X'y'。ここで y は 1 桁から 16 桁の 16 進数です。
z または 'z'。ここで z は 1 文字から 8 文字のストリングです。

16 桁すなわち 8 文字全部が使用されてはいない場合、このフィールドの右の部分は、2 進数のゼロで埋め込まれます。

注: セッション鍵は、64 ビット・データ暗号化規格 (DES) 鍵です。 DES では、64 ビット中 8 ビットがパリティー・ビットとして使用されるために予約されているので、これらの 8 ビットは 56 ビット鍵の一部ではありません。 16 進数表記における DES パリティー・ビットは、


X'0101 0101 0101 0101'

です。2 つの 64 ビット鍵の違いが、これら 1 つ以上のパリティー・ビットの違いのみであれば、両者は同等の DES 鍵です。例えば、以下の SESSKEY 値はかなり違うように見えますが、各バイトの最後のビットが違うだけなので、同じものです。

BDF0KM4Q は、X'C2C4 C6F0 D2D4 F4D8'
CEG1LN5R は、X'C3C5 C7F1 D3D5 F5D9'

SIGVER

この一般リソース・プロファイルによって保護されるプログラムの署名を検査するためのオプションを指定します。

規則: SIGVER は、PROGRAM クラスのプロファイルにのみ指定します。PROGRAM クラス以外のクラスのプロファイルの場合、SIGVER オペランドで指定されたオプションは無視されます。

制約事項: デジタル署名の検査は、拡張区分データ・セット (PDSE) ライブラリーのメンバーとして保管されているプログラム・オブジェクトに対してのみサポートされます。デジタル署名の検査は、区分データ・セット (PDS) ライブラリーのメンバーとして保管されているプログラムに対してはサポートされません。

SIGVER オペランドで指定されたオプションは、サポートされないプログラムの場合は無視されます。

注: SIGREQUIRED 設定に関係なく、FAILLOAD(NEVER) および SIGAUDIT(NONE) の指定は、SIGVER セグメントがないのと同等です。

詳しくは、「z/OS Security Server RACF セキュリティー管理者のガイド」のプログラムの署名および検査を参照してください。

SIGREQUIRED

このプロファイルによって保護されるプログラムにデジタル署名が必要かどうかを指定します。

YES

プログラムにデジタル署名が必要であることを指定します。

SIGREQUIRED(YES) を指定した場合、この一般リソース・プロファイルによって保護されるすべてのプログラムに以下の条件が適用されます。

プログラムにデジタル署名がある場合は次のとおりです。
- 署名検査処理が実行される。
- プログラムが FAILLOAD 設定に従ってロードを続行する。
- SIGAUDIT 設定に従ってロギングが実行される。
プログラムにデジタル署名がない場合は次のとおりです。
- 署名検査処理が実行され、その結果、署名検査は失敗する。
- プログラムが FAILLOAD 設定に従ってロードを続行する。
- SIGAUDIT 設定に従ってロギングが実行される。

NO

プログラムにデジタル署名が必要でないことを指定します。

SIGREQUIRED(NO) を指定した場合、この一般リソース・プロファイルによって保護されるすべてのプログラムに以下の条件が適用されます。

プログラムにデジタル署名がある場合は次のとおりです。
- 署名検査処理が実行される。
- プログラムが FAILLOAD 設定に従ってロードを続行する。
- SIGAUDIT オプションに従ってロギングが実行される。
プログラムにデジタル署名がない場合は次のとおりです。
- 署名検査は実行されない。
- プログラムはロードを続行する。FAILLOAD 設定は無視されます。
- ロギングは実行されない。SIGAUDIT 設定は無視されます。

SIGREQUIRED を指定しない場合は、SIGREQUIRED(NO) がデフォルト解釈されます。

FAILLOAD

署名検査障害が発生した場合にプログラムがロードに失敗する条件を指定します。

ANYBAD: 原因に関係なく、署名検査障害が発生するとプログラムがロードに失敗するように指定します。このような障害には、誤った署名または署名者の認証設定エラーの結果発生した障害が含まれます。この設定には、鍵リングの欠落や定義の誤りなど、管理エラーに関連した障害が含まれます。
ANYBAD 設定には、BADSIGONLY 設定の対象となる障害が含まれ、さらに署名者の信頼の確立時のエラーも含まれます。
BADSIGONLY: 署名検査障害の原因が誤ったデジタル署名にある場合にのみプログラムがロードに失敗するように指定します。このような障害には、署名の検査に失敗したり、署名構造が欠落しているまたは適切にフォーマットされていない結果発生する障害のみが含まれます。
ANYBAD とは異なり、BADSIGONLY 設定では、プログラムが信頼されていない署名者から発信された有効な署名を持っている場合、プログラムがロードに失敗することにはなりません。
NEVER: 署名検査障害が検出されてもプログラムが決してロードに失敗しないように指定します。

FAILLOAD を指定しない場合は、FAILLOAD(NEVER) がデフォルト解釈されます。

SIGAUDIT

どの署名検査イベントをログに記録するかを指定します。ログに記録される署名検査障害についてのみ、コンソールにメッセージが出されます。

ALL: 成否に関係なく、すべての署名検査をログに記録します。
SUCCESS: 署名検査に成功した場合にのみログに記録します。つまり、デジタル署名は有効であり、ルート CA 証明書は信頼できます。
ANYBAD: 障害の原因に関係なく、すべての署名検査障害をログに記録します。このような障害には、誤った署名または署名者の認証設定エラーの結果発生した障害が含まれます。この設定には、鍵リングの欠落や定義の誤りなど、管理エラーに関連した障害が含まれます。
ANYBAD 設定は、BADSIGONLY 設定の対象である障害をログに記録し、さらに署名者の信頼の確立時に検出されたエラーも記録します。
BADSIGONLY: 誤ったデジタル署名が原因の署名検査障害のみをログに記録します。このような障害には、署名の検査に失敗したり、署名構造が欠落しているまたは適切にフォーマットされていない結果発生する障害のみが含まれます。
ANYBAD とは異なり、BADSIGONLY 設定では、プログラムが信頼されていない署名者から発信された有効な署名を持っている場合、署名検査障害をログに記録しません。
NONE: デジタル署名検査イベントは何もログに記録しません。

SIGAUDIT を指定しない場合は、SIGAUDIT(NONE) がデフォルト解釈されます。

SINGLEDSN

これを指定すると、テープ・ボリュームにデータ・セットを 1 つしか入れられなくなります。 SINGLEDSN は、TAPEVOL プロファイルのみに有効です。すでに複数のデータ・セットがボリュームに含まれている場合、RACF はメッセージを出してこのオペランドを無視します。

SSIGNON

アプリケーション鍵または PassTicket 鍵を定義し、ホスト上の RACF データベース内にある鍵値を保護するために使用したい方式を指定します。プロファイルを定義する場合に、鍵をマスクもしくは暗号化することができます。key-value は、64 ビット (8 バイト) の鍵で表し、16 進文字で表示しなければなりません。有効な文字は、0 から 9 および A から F です。

注:

PassTicket 鍵を定義する前に、「z/OS Security Server RACF セキュリティー管理者のガイド」の PassTicket の資料 (特に『パスチケット鍵の保護』のトピック) を読んで理解してください。この資料には、特に暗号鍵による ICSF の使用に関係する、セットアップおよび権限の問題についての重要な情報が含まれています。
RACF パスワードと同様に、データベース・アンロード機能は、アプリケーション鍵および PassTicket 鍵をアンロードしません。ただし、これは鍵の保護方法を示し、鍵が暗号化されている場合は鍵ラベル名です。
RLIST コマンドは、アプリケーション鍵または PassTicket 鍵の値をリストしません。したがって、鍵を定義した時には、その値をメモして保護された場所に保管するようにしてください。ただし、RLIST は鍵の保護方法を示し、鍵が暗号化されている場合は鍵ラベル名です。

KEYMASKED(key-value)

マスキング・アルゴリズムを使用して、鍵値をマスクすることを指定します。

注:

IBM は、マスクされた PassTicket 鍵をテスト環境の外部で使用しないことを強く推奨します。
このオペランドは、アプリケーション鍵ごとに一度だけ指定することができます。
鍵をマスクすると、それを暗号化することはできません。マスクと暗号化は、同時には使用できません。

KEYENCRYPTED(key-value)

鍵値を暗号化することを指定します。

注:

KEYENCRYPTED キーワードを使用する前に、「z/OS Security Server RACF セキュリティー管理者のガイド」の『パスチケット鍵の暗号化』について記載された資料を読んで理解してください。
このオペランドは、アプリケーション鍵ごとに一度だけ指定することができます。
鍵を暗号化すると、それをマスクすることはできません。マスクと暗号化は、同時には使用できません。
ICSF をシステムにインストールしてアクティブにする必要があります。

RLIST コマンドを使用して、鍵が保護されていることを確認できます。

KEYLABEL(label-value)

PassTicket を生成または評価するときに使用される ICSF 鍵ラベルの名前を指定します。

ICSF がインストールされてアクティブである必要があり、鍵は使用時に ICSF CKDS で定義されている必要があります。ただし、KEYLABEL キーワードが指定された場合、これは検査されません。

KEYLABEL を使用しているとき、RACF は ICSF を呼び出しません。鍵ラベルは RACF データベースに保管されます。鍵を必要とする PassTicket 操作が発生する前に鍵が CKDS に追加されるかどうかはインストールによって決まります。鍵は DATA 型で長さ 8 バイトの DES 鍵を参照する必要があります。

注:

KEYENCRYPTED が指定されているとき、KEYLABEL オペランドは、RACF によって生成された鍵ラベルを指定変更するために使用できません。

STDATA

開始済みタスクのセキュリティーを制御するために使用されます。STDATA は、STARTED クラス内のプロファイルについてのみ指定する必要があります。

USER

USER(userid): この項目に関連付けるユーザー ID を指定します。
RACF は、指定した userid が存在しないか、または USER オペランドが指定されていない場合に、警告メッセージを出します。ただし、データは STDATA セグメントに書き出されます。エラーが訂正されなかった場合、RACF は、開始済みプロシージャー・テーブルを使用して START 要求を処理します (通常は、START 要求によりこの STARTED プロファイルが使用されます)。
USER(=MEMBER): プロシージャー名をユーザー ID として使用するということを指定します。 USER に =MEMBER を指定する場合は、GROUP オペランドに group-name 値を指定する必要があります。 USER および GROUP の両方に =MEMBER を指定すると、そのプロファイルが使用された時に、警告メッセージが出され、問題が生じる場合があります。詳しくは、z/OS Security Server RACF システム・プログラマーのガイドを参照してください。

GROUP

GROUP(group-name): この項目と関連付けるグループ名を指定します。
指定した group-name が存在しない場合、RACF は警告メッセージを出します。userid および group-name が指定されると、RACF は、ユーザーがグループに接続されていることを確認します。GROUP が間違って指定された場合、開始済みタスクは未定義ユーザーとして実行されます。
GROUP(=MEMBER): プロシージャー名をグループ名として使用するということを指定します。 GROUP に =MEMBER を指定する場合は、USER オペランドに userid 値を指定しなければなりません。または RACF が開始済みプロシージャー・テーブルを使用して、この開始済みタスクに ID を割り当てます。USER および GROUP の両方に =MEMBER を指定すると、そのプロファイルが使用された時に、警告メッセージが出され、問題が生じる場合があります。詳しくは、z/OS Security Server RACF システム・プログラマーのガイドを参照してください。

GROUP が指定されていない場合、開始済みタスクは指定したユーザー ID のデフォルト・グループを使って実行されます。

PRIVILEGED( YES | NO )

開始済みタスクに RACF PRIVILEGED 属性を使って実行するかどうかを指定します。PRIVILEGED 属性により、開始済みタスクに、ほとんどの許可検査をパスさせることができます。インストール・システム出口が呼び出されない場合には、SMF レコードは生成されず、かつ統計も更新されません。 (許可検査をバイパスすることには、ユーザーおよびデータのセキュリティー区分の検査をバイパスすることが含まれていることに注意してください。) 詳しくは、「z/OS Security Server RACF システム・プログラマーのガイド」の開始プロシージャーおよびジョブをユーザー ID に関連付けるを参照してください。

PRIVILEGED(NO) が指定されている場合、開始済みタスクは RACF PRIVILEGED 属性なしで実行されます。

PRIVILEGED が指定されていない場合、PRIVILEGED(NO) がデフォルト解釈されます。

TRACE( YES | NO )

この項目を使用して ID を開始済みタスクに割り当てる時に、メッセージをオペレーターに出すかどうかを指定します。

TRACE(YES) が指定されると、この項目が ID を開始タスクに割り当てるために使用されるときに、その使用を記録するよう、オペレーターに通知するメッセージを RACF が実行します。このレコードは、定義済みの特定な項目を持たない開始済みタスクを見つけるのに、また開始済みタスクに割り当てたユーザー ID の問題を診断するのに有用です。

TRACE(NO) が指定されると、RACF は、この項目が使用されるときに、通知メッセージを実行しません。

TRACE が指定されていない場合、TRACE(NO) がデフォルト解釈されます。

TRUSTED( YES | NO )

開始済みタスクに RACF 承認属性を使って実行するかどうかを指定します。承認属性は、監査を SETROPTS LOGOPTIONS コマンドを使用して要求できることを除き、特権属性と類似しています。 TRUSTED 属性について詳しくは、「z/OS Security Server RACF システム・プログラマーのガイド」の『開始プロシージャーおよびジョブをユーザー ID に関連付ける』を参照してください。

TRUSTED(NO) が指定されている場合、開始済みタスクは RACF 承認属性なしで実行されます。

TRUSTED が指定されていない場合、TRUSTED(NO) がデフォルト解釈されます。

SVFMR

MVS アプリケーションの特定の SystemView に関連したプロファイルを定義します。

SCRIPTNAME(script-name)

このアプリケーションに関連するデフォルト・ログオン・スクリプトのリストの名前を指定します。このオペランドは任意指定です。このオペランドを省略すると、このアプリケーションにはスクリプトが関連付けられません。

script-name は MVS 区分データ・セット (PDS) のメンバー名で、1 文字から 8 文字までの英数字です。RACF は、script-name として大文字も小文字も受け入れますが、小文字は大文字に変換されます。

script-name が指定する PDS メンバーには、このアプリケーションのプロファイルに関連付けられているスクリプトを含んでいる、他の PDS メンバーのリストも入っています。 PDS とメンバーは、他のメンバーのリストの入ったメンバーも含めて、 SystemView (MVS) 管理者が作成します。

PARMNAME(parm-name)

このアプリケーションに関連付けるパラメーター・リストの名前を指定します。このオペランドを省略すると、このアプリケーションにはパラメーターが関連付けられません。

parm-name は MVS 区分データ・セット (PDS) のメンバー名で、1 文字から 8 文字までの英数字です。RACF は、parm-name として大文字も小文字も受け入れますが、小文字は大文字に変換されます。

parm-name が指定する PDS メンバーには、このアプリケーションのプロファイルに関連付けられているパラメーターを含んでいる他の PDS メンバーのリストも入っています。 PDS とメンバーは、他のメンバーのリストも含めて、MVS 管理者のために System View が作成します。

TIMEZONE({E | W} hh[.mm])

端末が常駐する時間帯を指定します。 TIMEZONE は、TERMINAL クラス内のリソースにのみ有効です。RACF はこれ以外のリソースについては、無視します。

TIMEZONE を指定するのは、RACF が実行されているプロセッサーと端末とが同じ時間帯になく、さらに端末へのアクセスを特定の時間枠に制限するために WHEN も指定する場合だけにしてください。この状況において、TIMEZONE は、RACF で時刻の値を正確に計算するのに必要な情報を提供します。profile-name-1 オペランドで複数の端末を識別している場合、端末はすべて同じ時間帯になければなりません。

TIMEZONE には、端末がシステムからみて東 (E) と西 (W) のどちらにあるのか、ならびに端末の時間帯とプロセッサーの時間帯との時差 (hh) を指定します (任意で分単位 ( mm) まで指定することも可能です)。有効な時間の値は 0 から 11 までであり、有効な分の値は 00 から 59 までです。

例えば、プロセッサーがニューヨークにあり、端末がロサンゼルスにある場合は、 TIMEZONE(W 3) と指定します。プロセッサーがヒューストンにあり、端末がニューヨークにある場合には、 TIMEZONE(E 1) と指定します。

プロセッサーで現地時間を (例えば夏時間に合わせるために) 変更すると、RACF はそれに応じて時間計算を調整します。ただし、プロセッサーの時間帯と端末の時間帯が同じ方法で変更されない場合には、前述の WHEN (TIME) オペランドの説明に従って、端末の時間帯をユーザー自身が調整しなければなりません。

TME

Tivoli® Security Management Application の情報が追加されることを指定します。

注: TME セグメント・フィールドは、更新、許可、および相互参照を管理する Tivoli セキュリティー管理アプリケーションによってのみ更新することができます。セキュリティー管理者が、 Tivoli セキュリティー管理フィールドを直接更新することは、特別な場合に限定すべきです。

ROLE クラス内のリソース・プロファイルを変更するときに、ROLES のサブオペランド以外は、すべての TME サブオペランドを指定できます。逆に、他のクラス内のリソース・プロファイルを変更するときに指定できるのは ROLES サブオペランドのみです。

CHILDREN(profile-name ...)

この役割から属性を受け継ぐ、役割がすべて入ったリストを指定します。役割とは、ROLE クラス内で定義する個別の一般リソース・プロファイルのことです。

GROUPS(group-name ...)

この役割プロファイル内で定義したリソースに対して、許可を与えるグループがすべて入っているリストを指定します。

PARENT(profile-name)

この役割が属性を受け継ぐ役割の名前を指定します。役割とは、ROLE クラス内で定義する個別の一般リソース・プロファイルのことです。

RESOURCE(resource-access-specification ...)

この役割プロファイルで定義したグループのリソースおよび関連アクセス・レベルがすべて入っているリストを指定します。

1 つ以上の resource-access-specification 値を、 1 つずつブランクで区切って、指定することができます。それぞれの値に組み込みブランクを入れることはできず、以下の形式でなければなりません。

origin-role:class-name:profile-name:authority
  [:conditional-class:conditional-profile]

origin-role は、役割プロファイルの名前であり、ここからリソース・アクセスが受け継がれます。 class-name は既存のリソース・クラス名であり、 profile-name は、そのクラス内で定義したリソース・プロファイルです。 authority は、役割定義内のグループにリソースへの許可を与えるアクセス権限 (NONE、 EXECUTE、 READ、 UPDATE、 CONTROL、または ALTER) です。

conditional-class は、条件付きアクセス許可用のクラス名 (APPCPORT、 CONSOLE、 JESINPUT、 PROGRAM、 TERMINAL、または SYSID) であり、この後に conditional-profile 値 (条件付きクラスで定義したリソース・プロファイル) が続きます。

ROLES(role-access-specification ...)

このプロファイルに関連する、役割および関連アクセス・レベルが入っているリストを指定します。

1 つ以上の role-access-specification 値を、 1 つずつブランクで区切って指定することができます。それぞれの値に組み込みブランクを入れることはできず、以下の形式でなければなりません。

ole-name:authority[:conditional-class:conditional-profile]

role-name は、ROLE クラス内で定義した個別の一般リソース・プロファイルです。 authority は、役割定義内のグループにリソースへの許可を与えるアクセス権限 (NONE、 EXECUTE、 READ、 UPDATE、 CONTROL、または ALTER) です。

TVTOC

TAPEVOL プロファイルの場合にこれを指定すると、ユーザーがボリューム上に初めて出力データ・セットを作成するときに、RACF が TAPEVOL プロファイル内に TVTOC を作成します。RDEFINE コマンドが非自動 TAPEVOL プロファイルを作成します。RACF は、テープ上にあるデータ・セットの TVTOC を作成および保守します。

また、TVTOC を指定すると、TAPEVOL プロファイルのアクセス・リストが次のような影響を受けます。

RACF は、TVTOC オペランドが指定された RDEFINE コマンドを処理すると、コマンド発行者 (おそらくはテープ・ライブラリアン) のユーザー ID に ALTER 権限を割り当てた上で、そのユーザー ID をアクセス・リストに入れます。
出力データ・セットがボリューム上に初めて作成されると、RACF はジョブまたはタスクに関連付けられたユーザー ID に ALTER 権限を割り当てた上で、そのユーザー ID をアクセス・リストに追加します。

詳しくは、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

TVTOC オペランドは、TAPEVOL クラス内の個別プロファイルのみに有効です。

UACC(access-authority)

このリソースに関連付ける汎用アクセス権限を指定します。汎用アクセス権限は、ALTER、CONTROL、UPDATE、READ、EXECUTE (被制御プログラムの場合のみ)、および NONE です。 UACC を指定しないと、RACF は、ACEE またはクラス記述子テーブル内の値を使用します。access-authority を含めずに UACC を指定した場合、RACF は現行接続グループ内の値を使用します。テープ・ボリュームおよび DASD ボリュームの場合、RACF は CONTROL 権限を UPDATE 権限と見なします。クラス記述子テーブルにリストされているその他のリソースの場合およびアプリケーションの場合、RACF は CONTROL 権限および UPDATE 権限を READ 権限と見なします。

一般リソースにアクセスするユーザー ID が RESTRICTED 属性を持つ場合、RACF はアクセス権限を NONE として扱います。

WARNING

これを指定すると、アクセス権限が不十分であっても、RACF は警告メッセージを出してリソースへのアクセスを許可します。ロギングがプロファイルに指定されている場合、RACF はさらに、アクセスの試行を SMF レコードに記録します。

制約事項: リソースが次のクラスに属している場合には、RACF はリソースに関して警告メッセージを出しません。

PROGRAM または NODES クラス。
RACROUTE REQUEST=LIST を使用してアプリケーションがストレージ内にあるプロファイルを作成したクラス。

SETROPTS MLACTIVE(FAILURES) が有効な場合: MLACTIVE(FAILURES) が有効で、クラスがセキュリティー・ラベルを必要とする場合でも、ユーザーまたはタスクは、WARNING モードの、セキュリティー・ラベルを持たないリソースにアクセスすることができます。ユーザーまたはタスクは、警告メッセージを受け取ってから、アクセスできるようになります。

REQUEST=LIST を使用するアプリケーション: アプリケーションの中には、IMS や CICS のように、指定されたクラスのすべてのプロファイルをストレージにロードするものもあります。これらのプロファイルがストレージに入ると、アプリケーションは、 RACROUTE REQUEST=FASTAUTH を使用して高速許可検査を行うことができます。高速許可検査は、通常の許可検査とはいくつかの点で異なります。 1 つの違いは、高速許可検査は警告メッセージや通知メッセージを発行せず、監査をサポートしない場合があります。そのような場合には、戻りコードおよび理由コードがアプリケーションに戻されて、これらの機能をサポートできるようにします。アプリケーションは、戻りコードと理由コードを調べ、 RACROUTE REQUEST=AUTH を使用してメッセージと監査レコードを作成することができます。アプリケーションが RACROUTE REQUEST=AUTH を使用して監査をサポートしているか、またはアプリケーションが RACROUTE REQUEST=FASTAUTH で LOG=ASIS を指定している場合、指定されたユーザーに通知されます。そうでない場合は、通知や警告などは行われません。

IMS での RACF の使用について詳しくは、「IBM Knowledge Center (IMS)」を参照してください。

CICS での RACF の使用について詳しくは、「CICS Transaction Server for z/OS 」を参照してください。

WHEN

TERMINAL クラス内のリソースについて、ユーザーが端末からシステムにアクセスすることができる曜日または時間を指定します。曜日と時間に関する制限は、ユーザーがシステムにログオンする時のみに適用されます。つまり、ユーザーがログオンしている間に終了時刻になっても、 RACF がユーザーをシステムからログオフさせることはありません。

WHEN オペランドを指定しなければ、ユーザーはいつでも端末からシステムにアクセスすることができます。 WHEN オペランドを指定すると、端末の使用を、一定の曜日または 1 日のうちの一定の時間枠に制限することができます。あるいは、一定の曜日と 1 日のうちの一定の時間枠の両方にアクセスを制限することもできます。

DAYS(day-info)

端末が使用可能な曜日を指定します。day-info 値には、以下のいずれかを指定できます。

ANYDAY: RACF は、どの曜日にも端末の使用を許可します。DAYS を省略した場合のデフォルトは、ANYDAY です。
WEEKDAYS: RACF は、平日 (月曜日から金曜日まで) に限り、端末の使用を許可します。
day ...: RACF は、指定された曜日のみに端末の使用を許可します。この場合、day には、MONDAY、 TUESDAY、 WEDNESDAY、 THURSDAY、 FRIDAY、 SATURDAY、または SUNDAY を指定してください。指定する順序は任意です。

TIME(time-info)

端末を使用できる、日毎の時間枠を指定します。 time-info 値には、以下のいずれかを指定できます。

ANYTIME

RACF は、どの時刻でも端末の使用を許可します。TIME を省略した場合のデフォルトは、ANYTIME です。

start-time:end-time

RACF は指定された時間に限り、端末の使用を許可します。start-time とend-time の形式は両方とも hhmm です。この場合の hh は、24 時間表記法の時間 (00 から 24 まで) であり、mm は分 (00 から 59 まで) で、0001 から 2400 の範囲です。2400 は、12:00 a.m. (真夜中) を示します。

start-time が end-time よりも大きい場合、この時間間隔は真夜中を過ぎて次の日にかかります。

start-time と end-time の指定は、RACF が実行されているプロセッサーと端末とが同じ時間帯にある場合はごく簡単です。ローカル・タイムで時刻の値を指定するだけのことです。

ただし、端末がプロセッサーと異なる時間帯にあるときに、アクセスを一定の時間に制限する場合は、次の 2 つの方法から選択することになります。すなわち、TIMEZONE オペランドを指定して、時刻と日付の値を RACF で正確に計算できるようにするか、あるいは、端末の start-time と end-time を、それに相当するプロセッサーのローカル・タイムに変換することによって、時刻の値をユーザー自身で調整するようにします。

例えば、プロセッサーがニューヨークにあり、端末がロサンゼルスにある場合に、ロサンゼルスの 8:00 A.M. から 5:00 P.M. までに限り、端末へのアクセスを許可するものとします。この状況では、TIME(1100:2000) と指定します。プロセッサーがヒューストンにあり、端末がニューヨークにある場合には、TIME(0900:1800) と指定することになります。

DAYS を省略して TIME を指定すると、時間制限は週の 7 日全部に適用されます。 DAYS と TIME の両方を指定した場合、RACF は、指定された時間枠および指定された曜日のみに端末の使用を許可します。

例

例	アクティビティー・ラベル	説明
1	操作	ユーザー TBK20 は、リソース・グループ・クラスであるクラス GIMS にリソース GIMS600 を定義したい。また、リソース・グループ (GIMS600) のメンバーとして、TIMS200、TIMS111、 TIMS300、および TIMS333 も定義したい。
	既知の事項	ユーザー TBK20 は、GIMS クラスおよび TIMS クラスについて CLAUTH 属性を備えている。 GIMS はリソース・グループ・クラスであり、TIMS はそれに関連付けられたリソース・メンバー・クラスである。 TIMS200 および TIMS111 は、別のリソース・グループのメンバーである。このユーザーは、他のリソース・グループへの ALTER 権限を持っている。ユーザー TBK20 は RACF TSO コマンドとしてこのコマンドを出したい。
	コマンド	`RDEFINE GIMS GIMS600 ADDMEM(TIMS200 TIMS111 TIMS300 TIMS333)`
	デフォルト	OWNER (TBK20) LEVEL(0) AUDIT(FAILURES(READ)) UACC(NONE)
2	操作	ユーザー ADM1 は、TIMS クラスに属し `T` で始まるすべてのリソースの総称プロファイルを定義し、`T` で始まる IMS トランザクションを入力するたびに、ユーザーがパスワードを入れ直さなければならないようにしたい。
	既知の事項	ユーザー ADM1 は、SPECIAL 属性を備えている。ユーザー ADM1 は、このコマンドを RACF TSO コマンドとして出す。
	コマンド	`RDEFINE TIMS T* APPL('REVERIFY')`
	デフォルト	UACC(NONE) OWNER(ADM1) LEVEL(0) AUDIT(FAILURES(READ))
3	操作	ユーザー ADM1 は、プログラム・アクセスのデータ・セット検査を使用する被制御プログラムとして AMASPZAP を定義したい。
	既知の事項	ユーザー ADM1 は、SPECIAL 属性を備えている。 AMASPZAP は、SYSRES ボリューム上の SYS1.LINKLIB に常駐している。 RACF プログラム制御はアクティブである。ユーザー ADM1 は、このコマンドを RACF TSO コマンドとして出す。
	コマンド	`RDEFINE PROGRAM AMASPZAP ADDMEM('SYS1.LINKLIB'/SYSRES/PADCHK)`
	デフォルト	UACC(NONE) OWNER(ADM1) LEVEL(0) AUDIT(FAILURES(READ))
4	操作	ユーザー ADM1 は、プログラム・アクセスのデータ・セット検査を必要としない被制御プログラムとして、`IKF` で始まるロード・モジュールをすべて定義したい。
	既知の事項	ユーザー ADM1 は、SPECIAL 属性を備えている。 `IKF` で始まる名前が付いているロード・モジュールはすべて、SYSRES ボリューム上の SYS1.COBLIB に常駐している。ユーザー ADM1 は RACF オペレーター・コマンドとしてこのコマンドを出したい。RACF サブシステム接頭部は `@` である。
	コマンド	`@RDEFINE PROGRAM IKF* ADDMEM('SYS1.COBLIB'/SYSRES/NOPADCHK)`
	デフォルト	UACC(NONE) OWNER(ADM1) LEVEL(0) AUDIT(FAILURES(READ))
5	操作	ユーザー JPQ12 は、DP0123 とラベル付けされたテープ・ボリュームを定義し、それに TVTOC を入れられるようにしたい。テープ・ボリュームには、UACC として NONE を割り当てる。
	既知の事項	ユーザー JPQ12 は、SPECIAL 属性を備えている。ユーザー JPQ12 は RACF TSO コマンドとしてこのコマンドを出したい。
	コマンド	`RDEFINE TAPEVOL DP0123 TVTOC UACC(NONE)`
	デフォルト	OWNER (JPQ12) LEVEL(0) AUDIT(FAILURES(READ))
6	操作	ユーザー ADM1 が、RACGLIST 処理に使用される TCICSTRN クラスを作成したい。
	既知の事項	ユーザー ADM1 は、SPECIAL 属性を備えている。ユーザー ADM1 は、RACF TSO コマンドとしてこのコマンドを出したい。
	コマンド	`RDEFINE RACGLIST TCICSTRN UACC(NONE)`
	デフォルト	OWNER(ADM1) LEVEL(0) AUDIT(FAILURES(READ))
7	操作	セキュリティー管理者が、PTKTDATA クラス内の TSO についてのプロファイルを定義したい。セキュリティー管理者は、ノード NYTSO のユーザー OJC11 の権限のもとにこのコマンドを実行する指示を出したい。
	既知の事項	ELVIS1 は、セキュリティー管理者のユーザー ID である。 OJC11 は、ノード NYTSO で SPECIAL 属性を持っている。プロファイル名は、TSOR001 である。 key-value の値は、`e001193519561977` で、これをマスクする。セキュリティー管理者は、このコマンドを RACF TSO コマンドとして出す。セキュリティー管理者と NYTSO の OJC11 は、すでに設定済みのユーザー ID を持っている。
	コマンド	`RDEFINE PTKTDATA TSOR001 SSIGNON(KEYMASKED(e001193519561977)) AT(NYTSO.OJC11)`
	デフォルト	UACC(NONE)
8	操作	セキュリティー管理者は STARTED クラス内の総称プロファイルを定義することによって、 OMVS 開始済みプロシージャーの動的開始済みプロシージャー・テーブルに項目を作成したい。
	既知の事項	管理担当者は、プロシージャー名をユーザー ID として使用したい。グループ名は STCGRP です。総称プロファイルをこのクラス内に作成できるようにするため、SETROPTS GENERIC(STARTED) が出されている。セキュリティー管理者は、このコマンドを RACF TSO コマンドとして出す。
	コマンド	`RDEFINE STARTED OMVS.* STDATA(USER(=MEMBER) GROUP(STCGRP))`
	デフォルト	PRIVILEGED(NO) TRACE(NO) TRUSTED(NO) UACC(NONE)
9	操作	ユーザー ADM1 は、次のものを定義したい。 APPL1.HOST1.USER1 という名前の SystemView (MVS) アプリケーション TSOR220 アプリケーション・データこのアプリケーションのための APPL1SC という名前のスクリプト・リストこのアプリケーションのための APPL1P という名前のパラメーター・リスト
	既知の事項	ユーザー ADM1 は、SYSMVIEW クラスの CLAUTH 権限を持っている。
	コマンド	`RDEFINE SYSMVIEW APPL1.HOST1.USER1 APPLDATA('TSOR220') SVFMR(SCRIPTNAME(APPL1SC) PARMNAME(APPL1P))`
	デフォルト	UACC(NONE)
10	操作	ローカル・レルム `KRB2000.IBM.COM` を、チケットの最低存続時間 5 分、デフォルトのチケット存続時間 10 時間、チケットの最大存続時間 24 時間、および 744275 のパスワードで定義する。チケットの存続時間の値は、すべて秒単位で指定される。
	既知の事項	管理者は、REALM クラスの KERBDFLT プロファイルへのアクセス権を持つ。
	コマンド	`RDEFINE REALM KERBDFLT KERB(KERBNAME(KRB2000.IBM.COM) MINTKTLFE(300) DEFTKTLFE(36000) MAXTKTLFE(86400) PASSWORD(744275))`
	デフォルト	`CHECKADDRS(NO) ENCRYPT(DES DES3 DESD AES128 AES256 AES128SHA2 AES256SHA2)`
11	操作	`kerb390.endicott.ibm.com` レルムと `ker2000.endicott.ibm.com` のレルムの間に、認証関係を定義する。
	既知の事項	管理者は、REALM クラスの `/.../KERB390.ENDICOTT.IBM.COM/KERBTGT/KER2000.ENDICOTT.IBM.COM` プロファイルへのアクセス権を持つ。
	コマンド	`RDEFINE REALM /.../KERB390.ENDICOTT.IBM.COM/KRBTGT/KER2000.ENDICOTT.IBM.COM KERB(PASSWORD(12345678))`
	デフォルト	`CHECKADDRS(NO) ENCRYPT(DES DES3 DESD AES128 AES256 AES128SHA2 AES256SHA2)`
12	操作	管理者は、再生保護をバイパスして、PTKTDATA クラスにプロファイル (TSOIM13) を作成する。
	既知の事項	管理者は、SPECIAL 属性を備えている。
	コマンド	`RDEFINE PTKTDATA TSOIM13 APPLDATA('NO REPLAY PROTECTION')`
	デフォルト	なし。
13	操作	管理者は、Enterprise Identity Mapping (EIM) アプリケーションに対するシステム共通デフォルトを定義する。アプリケーションの 1 つは、RACF に与えられたデフォルト名を使用する。
	既知の事項	EIM ドメインの識別名は、`ibm-eimDomainName=Pok EIM Domain,o=IBM,c=US` である。ドメインは、`http://some.big.host/` の LDAP に常駐している。バインド識別名は、ルックアップ情報を検索する権限を持っている。ローカル RACF レジストリーに与えられている名前は、`RACFSYS2` である。
	コマンド	`RDEFINE FACILITY IRR.PROXY.DEFAULTS EIM( DOMAINDN('ibm-eimDomainName=Pok EIM Domain,o=IBM,c=US') OPTIONS(ENABLE) LOCALREGISTRY(RACFSYS2))`
	デフォルト	なし。
14	操作	管理者は、REALM クラスの SAFDFLT プロファイルを、RACF レルム名を定義する APPLDATA フィールドを使用して定義する。
	既知の事項	管理者は、SPECIAL 属性を備えている。レルム名 `racf.winmvs2c` がセキュリティー管理者によって選択され、セキュリティー・マネージャー・データベースに保持されているユーザー ID と他のユーザー情報とのセットに名前を与えている。インストール・システムで Kerberos を使用中の場合は、SAFDFLT レルム名とは異なる Kerberos レルム名が必要となります。
	コマンド	`RDEFINE REALM SAFDFLT APPLDATA('racf.winmvs2c')`
	デフォルト	なし。
15	操作	ユーザー ID ADMIN1 を持ったセキュリティー管理者が、TSTCLAS8 という名前のクラス記述子テーブル (CDT) に新規クラスを追加しようとしています。
	既知の事項	管理者は、SPECIAL 属性を備えている。
	コマンド	`RDEFINE CDT TSTCLAS8 UACC(NONE) CDTINFO(DEFAULTUACC(NONE) FIRST(ALPHA) MAXLENGTH(42) OTHER(ALPHA,NUMERIC,SPECIAL) POSIT(303) RACLIST(REQUIRED) SECLABELSREQUIRED(YES))`
	注	動的 CDT を作成またはリフレッシュして、この変更を有効にする必要があります。SETROPTS RACLIST(CDT) コマンドまたは SETROPTS RACLIST(CDT) REFRESH コマンドを使用してください。
	デフォルト	`AUDIT(FAILURES(READ)) OWNER(ADMIN1) LEVEL(0) CDTINFO(CASE(UPPER) DEFAULTRC(4) GENLIST(DISALLOWED) KEYQUALIFIERS(0) MACPROCESSING(NORMAL)OPERATIONS(NO) PROFILESALLOWED(YES) SIGNAL(NO))`
16	操作	セキュリティー管理者 Rui は、アプリケーションから提供されても ID キャッシュがローカル z/OS ユーザー ID へのマッピングを保管しないように指定したい。ID キャッシュは、常に EIM を使用してマッピングを検索し、検出できない場合は必ず保管要求をリジェクトしなければならない。
	既知の事項	Rui が担当するインストール済み環境では、EIM の ID マッピングは頻繁には変更されないため、MAPPINGTIMEOUT のデフォルト値である 3600 秒 (1 時間) が受け入れられる。
	コマンド	`RDEFINE LDAPBIND IRR.ICTX.DEFAULTS ICTX(USEMAP(NO) DOMAP(YES) MAPREQUIRED(YES))`
	デフォルト	MAPPINGTIMEOUT はデフォルトで 3600 秒である。
17	操作	Rui は、MDSNTB クラスの DSN.ZHAOHUI.TABLE.ALTER と呼ぶ一般リソースを定義して ZHAOHUI 所有の Db2 テーブルを保護したい。
	既知の事項	Rui のユーザー ID ADMRUI は、SPECIAL 属性を備えている。このインストール済み環境では Db2 RACF アクセス制御モジュール (ACM) が使用されます。ACM は複数サブシステムの有効範囲に対して構成されます。
	コマンド	`RDEFINE MDSNTB DSN.ZHAOHUI.TABLE.ALTER UACC(NONE)`
	デフォルト	`OWNER(ADMRUI) LEVEL(0) AUDIT(FAILURES(READ))`
18	操作	ユーザー SECADM は、ユーザー・プロファイルの CSDATA セグメントで従業員のホーム・アドレスを保管するカスタム・フィールドを定義したい。カスタム・フィールドの名前は、ADDRESS にする。このフィールドは文字フィールドで、引用符付きストリングが含まれる。
	既知の事項	ユーザーは、SPECIAL 属性を備えている。新しいカスタム・フィールドは、システム・プログラマーが IRRDPI00 UPDATE コマンドを使用して動的構文解析テーブルを再ビルドするまで有効にはならない。
	コマンド	`RDEFINE CFIELD USER.CSDATA.ADDRESS UACC(NONE) CFDEF(TYPE(CHAR) MAXLENGTH(100) FIRST(ANY) OTHER(ANY) HELP('EMPLOYEE''S HOME ADDRESS. SPECIFY UP TO 100 CHARACTERS.') MIXED(YES) LISTHEAD('HOME ADDRESS ='))`
	デフォルト	AUDIT(FAILURES(READ)) OWNER(SECADM) LEVEL(0)
19	操作	ユーザー SECADM は、XYZLIB64 プログラムを制御して、プログラムはロードする前にデジタル署名が必要であること、何らかの理由でデジタル署名を検査できない場合はプログラムのロードに失敗すること、および障害の場合にのみ署名検査イベントのロギングを実行する必要があることを指定したい。XYZLIB64 プログラムには、プログラム・アクセスのデータ・セット検査は必要ない。
	既知の事項	ユーザーは、SPECIAL 属性を備えている。 XYZLIB64 プログラムは、SYS1.XYZ.LOADDLL という名前の拡張区分データ・セット (PDSE) ライブラリーにあるプログラム・オブジェクトである。
	コマンド	`RDEFINE PROGRAM XYZLIB64 UACC(READ) ADDMEM('SYS1.XYZ.LOADDLL'//NOPADCHK) SIGVER(SIGREQUIRED(YES) FAILLOAD(ANYBAD) SIGAUDIT(ANYBAD))`
	デフォルト	AUDIT(FAILURES(READ)) OWNER(SECADM) LEVEL(0)

RDEFINE (一般リソース・プロファイルの定義)

目的

オプションの発行

関連コマンド

必要な権限

構文

パラメーター

例