ワークステーションの保護

プリンター出力の保護を行った後、ワークステーションの保護を行う必要があります。 ワークステーションを許可する方法は、システム上の他のオブジェクトを許可する方法と同じです。 ワークステーションに対する権限をユーザーに与えるには、EDTOBJAUT コマンドを使用します。

システム・ユーザーたちは、自分の机の上のパーソナル・コンピューター (PC) をワークステーションとして使用します。 システム・ユーザーは PC 上でツールを実行したり、PC を使用してサーバーに接続します。 PC を IBM i システムに接続するほとんどの方法は、ワークステーション・エミュレーションよりも多くの機能を提供します。 PC はシステムにとってディスプレイのように見え、ユーザーに対話式サインオン・セッションを提供します。 さらに、PC は他のコンピューターと同様に IBM i システムを参照し、ファイル転送やリモート・プロシージャー・コールなどの機能を提供します。

ワークステーションからのデータ・アクセスの保護

一部の PC クライアント・ソフトウェアは、サーバーに情報を保管するために共用フォルダーを使用します。 システム・データベース・ファイルにアクセスするため、限定され適切に定義されたインターフェースのセットが PC ユーザーに提供されます。 ほとんどのクライアント/サーバー・ソフトウェアに含まれるファイル転送機能を使用すると、PC ユーザーはサーバーと PC との間でファイルを コピーすることができます。 DDM ファイル、リモート SQL または ODBC ドライバーなどのデータベース・アクセス機能を使用すると、PC ユーザーはサーバーのデータにアクセスすることができます。

この環境では、サーバー資源にアクセスする PC ユーザーの要求を インターセプトして評価するためのプログラムを作成することができます。 要求が DDM ファイルを使用するときには、 分散データ管理アクセス (DDMACC) ネットワーク属性で出口プログラムを指定します。 一部の PC ファイル転送の方法の場合、クライアント要求アクセス (PCSACC) ネットワーク属性で出口プログラムを指定します。 あるいは、登録機能を使用するために、PCSACC(*REGFAC) を指定することもできます。 要求が他のサーバー機能を使ってデータにアクセスする場合には、それらのサーバー機能に出口プログラムを登録する WRKREGINF コマンドを使用することができます。

しかし、出口プログラムの設計は難しい可能性があり、ほとんどの出口プログラムは誰にでも扱えるものではありません。 出口プログラムは、オブジェクト権限に置き換わるものではありません。オブジェクト権限は、あらゆるソースからの無許可アクセスからオブジェクトを保護するように意図されています。

PC が接続されているすべてのシステムの場合、特に統合ファイル・システムを使用するクライアント・ソフトウェアを使用するシステムの場合、適切なオブジェクト権限構造が重要です。 セキュリティーは IBM i 製品に組み込まれているため、データへのアクセス要求はすべて権限検査プロセスを経る必要があります。 権限検査は、すべてのソースからの要求と、あらゆる方法を使用するデータ・アクセスとに適用されます。