ICH408I USER (`userid`) GROUP (`group-name`) NAME (`user-name`) --or-- JOB (`jobname`) STEP (`stepname`) [SUBMITTER (`userid`)] [PRIMARY USER (`userid`)] [`resource-name`] [CL(`class-name`)] --or-- [VOL(`volume-id`)] [FID(`file-identifier`)] [ID(`IPC-identifier`)] --or-- [FROM `generic-profile-name` (G)] [ACCESS INTENT(`intent`) ACCESS ALLOWED(`allowed`)] [EFFECTIVE UID (`nnnnnnnnnn`] [EFFECTIVE GID (`nnnnnnnnnn`]

説明
ユーザーまたはジョブが、許可されていない要求 (違反) を行って、RACF® がこれを検出すると、
このメッセージが出されます。ICH408I メッセージの先頭行に示されているユーザーおよびグループは、
ジョブを実行する予定であった実行ユーザー ID および実行グループ ID です。
メッセージがユーザー、グループ、および名前ではなくジョブと
ステップを示している場合、RACF はユーザー、グループ、および
名前の情報を含む有効な ACEE を検出
できませんでした。
これは、開始済みプロシージャー・テーブルの項目に誤った RACF グループが指定されている場合、またはユーザーの ACEE が破壊されている場合に、RACF 開始済みプロシージャー・テーブル (ICHRIN03) で定義されていない開始タスクについて起こることがあります。
実行依頼をしているユーザー ID が実行ユーザー ID と同じでない場合は、
実行依頼をしているユーザー ID、グループ、およびノードを含む行がメッセージに
追加されています。
メッセージが、ネストされた ACEE を使用する委任されたリソースへのアクセス障害を報告している場合は、PRIMARY USER が表示されます。
ネストされた ACEE はクライアントの ACEE で、作業単位を作成したサーバーまたはデーモンを識別します。クライアントのユーザー ID は 1 次ユーザーとして表示されます。
リソースは、このメッセージの最初の行に示されているサーバーまたはデーモンのためにアクセスされています。
デーモンは、クライアントに対してでなく、リソースに対して許可する必要があります。
委任されるリソースおよびネストされた ACEE については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
セットアップ要件については、リソース名に応じた該当のアプリケーション用資料を調べてください。
USER(userid) に「**nnxxxx」の形式のユーザー ID (「**01XUSR」など) が含まれる場合、ユーザー ID は、RACF ユーザー ID ではなく、識別コンテキスト参照を示します。この値は、パスワードの置換値と共に、識別キャッシュから認証されたユーザーに関する情報を取得するために使用できます。識別キャッシュ・サポートについて詳しくは、「z/OS Integrated Security Services エンタープライズ識別マッピング (EIM) ガイドおよび解説書」を参照してください。RACROUTE REQUEST=VERIFY,ENVIR=CREATE 要求で識別コンテキスト参照が指定される場合、RACF は、識別キャッシュの RACF 定義ユーザーに対する参照を解決しようとします。RACF が参照を解決できない場合、その結果として出される ICH408I メッセージに、未解決の識別コンテキスト・ユーザー値が示されます。識別コンテキスト参照を解決できない理由として、以下が考えられます。
RACROUTE REQUEST=VERIFY,ENVIR=CREATE 要求で、サポートされない SESSION=type 値などの無効値が識別コンテキスト参照と一緒に指定された。
識別コンテキスト参照が識別キャッシュによって認識されなかった。
以下の理由が考えられます。
識別コンテキスト参照が無効です。有効な識別コンテキスト参照は、8 文字のユーザー ID 値と 8 文字のパスワード値で構成されます。
識別コンテキスト参照が期限切れになっています。識別コンテキスト参照には、1 から 3600 秒 (1 時間) のタイムアウト・インターバルが指定されています。


識別キャッシュに無効または不完全な情報が含まれている。これは、識別コンテキスト参照が常に RACF 定義ユーザー (MAPREQUIRED=NO) に解決されるように識別キャッシュが構成されていない場合に起こる可能性があります。
識別キャッシュの構成方法について詳しくは、「z/OS Integrated Security Services エンタープライズ識別マッピング (EIM) ガイドおよび解説書」を参照してください。


メッセージが z/OS UNIX ファイルへのアクセス障害を報告している場合は、リソース名 はカーネル syscall に指定されたパス名です。このパス名は、オープン・ファイル (fchown のような「fxxxxx」形式のもの) に対して実行される syscall 用ではありません。FID (ファイル識別名) は 16 進数で 32 桁の固有の
ファイル識別名です。 複数のパス名が同じファイルにアクセスできるようにこのファイル識別名が提供されています。このファイル識別名は、異なる名前で同じファイルにアクセスを許可するためのものです。z/OS UNIX システム管理者は、zfsadm コマンドを使用して zFS の設定を照会できます。ファイル・システムの設定について詳しくは、「z/OS UNIX System Services コマンド解説書」を参照してください。注:  zFS アグリゲートが固有の監査 ID に対応していない場合は、FID が複数のファイル名にマップされる場合があります。構成情報について詳しくは、「z/OS Distributed File Service zFS 管理ガイド」を参照してください。

メッセージが z/OS UNIX IPC キーへのアクセス障害が発生していると報告している場合、
リソース名 はカーネル syscall に指定された IPC キー名です。
このキー名は 16 進数で 8 桁の固有の ID として示されます。ID (IPC ID) は、10 進数の固有なリソース ID です。 このリソース ID はカーネルで動的に割り振られていますが、監査の際に役立つ場合があるので、追加情報として提供されています。このリソース ID は 0 から 4294967295 までの数値です。
VOL フィールドに示されるボリューム通し番号の意味は、場合によって異なります。非 VSAM データ・セットを示している場合は、データ・セットが
存在するボリュームを意味しています。VSAM データ・セットを
示している場合は、データ・セット項目を含むカタログ
が存在するボリュームを意味しています。
FROM generic-profile-name (G) が
メッセージに含まれている場合、
これは RACF がリソースへのアクセスを
検査するときに使用した総称プロファイルのことです。
注: DATASET resource-name に対して使用され、データ・セットがテープ上にある場合は、TAPEVOL クラスがアクティブな場合、FROM generic-profile-name は TAPEVOL プロファイルの可能性があります。

このメッセージに関する詳しい情報を得たい場合は、
どんな要求があったかを示しているメッセージ行をチェックしてください。
この情報は通常 2 行目または 3 行目にあります。
例えば、このメッセージ行は INSUFFICIENT ACCESS AUTHORITY となります。メッセージ ICH408I に関するメッセージ行を、
後述の説明の中で見つけ (アルファベット順に並んでいる)、
そのメッセージ行の説明を読んでください。
保護されているリソースを使用しようとした場合、
メッセージはアクセスの試みがあったということ (ACCESS INTENT 句)、
および RACF (ACCESS
ALLOWED 句) を
示します。メッセージが z/OS UNIX ファイルまたは IPC キーにアクセスがあったことを報告している場合、ACCESS INTENT (intent) に「RWX」が指定されます。これは読み取り、書き込み、または検索/実行許可の要求を示しています。一度に 2 つ以上の許可を要求できます。
許可が要求されていない場合は、文字ではなく、
ダッシュ「-」が指定されます。ACCESS ALLOWED (allowed) には「{OWNER/GROUP/OTHER/ACL
USER/ACL GROUP/NO/RESTRICTED/FSACCESS/FSEXEC} RWX」が指定されます。
OWNER は所有者許可ビットが使用されたことを示します。
GROUP はグループ許可ビットが使用されたことを示します。
OTHER は他の許可ビットが使用されたことを示します。
ACL USER は特定のアクセス制御リスト (ACL) エントリーが使用されたことを示します。
ACL GROUP は特定グループ ACL エントリーが使用されたことを示します。
NO は許可ビットが使用されなかったことを示します。
RESTRICTED は OTHER ビットが RESTRICTED ユーザーに対して使用されなかったことを示します。
FSACCESS は FSACCESS クラスのプロファイルが使用されたことを示します。
FSEXEC は FSEXEC クラスのプロファイルが使用されたことを示します。
「RWX」は検査された許可ビットの設定を示します。
ACCESS ALLOWED (NO   --X) は、スーパーユーザーが OWNER、GROUP、
ACL、または OTHER 実行許可がない
ファイルを実行しようとした場合に起こります。
ACCESS ALLOWED (RESTRICTED –––) は、RESTRICTED ユーザーがファイル・アクセスを取得する手段が OTHER ビットのみである場合に、UNIXPRIV クラス内の RESTRICTED.FILESYS.ACCESS プロファイルによってファイル・アクセスが禁止されていると発生します。ACCESS ALLOWED (FSACCESS –––) は、リソースを含むファイル・システムを保護する FSACCESS プロファイルにユーザーがアクセスできない場合に発生します。ACCESS ALLOWED (FSEXEC –––) は、リソースを含むファイル・システムを保護する FSEXEC プロファイルにユーザーがアクセスできない場合に発生します。
処理 GID、またはそれを補足する GID の 1 つがファイル・オーナーの GID と一致した場合は、グル
ープ・アクセスを検査している間は、グループ許可ビットは単純にもう 1 つの GID ACL 項目として
処理されます。いくつかのグループ記入項目は実際に検査されて、それらのどれかが要求された許可を指定している場合には、アクセスが認可されることになります。しかしながら、項目のどれもが要
求されたアクセスを認可しない場合には、認可されたアクセスを定義する単一記入項目はありません。
規則により、最初に検出された該当するグループ項目に関連した許可がメッセージに表示されます。
ファイルまたはディレクトリーに関して ACL が存在する場合のアクセスを判別するために使用されるアルゴリズムについては、「z/OS Security Server RACF セキュリティー管理者のガイド」に記載されている z/OS® UNIX の情報を参照してください。
UNIX システム・サービス環境で発生した違反に関しては、そのユーザーの
有効 UID と有効 GID がメッセージに表示されます。これらの ID が、目的とする操作のためのユーザー特権を決定するのに使用されました。これらの ID は、
関係のある RACF USER/GROUP プロファイルで定義されている ID と常に一致するとは限りません。
理由は、他の ID が想定される可能性のある方法が UNIX System Services で提供されるためです。

システムの処置
RESOURCE NOT PROTECTED 句が警告と共にメッセージに
出てきた場合は、RACF は要求の継続を許可します。RESOURCE NOT PROTECTED 句が警告なしでメッセージに
出てきた場合は、RACF は要求を失敗させます。注: RACROUTE REQUEST=AUTH インストール・システム出口ルーチンからの戻りコードによってユーザーが RACF 保護付きのリソースへのアクセスを拒否された場合、ユーザーに許可されるアクセスはユーザーが要求するアクセスと一致しない場合があります。(例えば、許可されたアクセスが ALTER で、
要求したアクセスが READ であり、
アクセス要求が拒否された場合。)
制限つき属性を指定されたユーザーの権限検査は、UACC などの権限付与機構の検査を迂回します。
ユーザー ID の LISTUSER がユーザーは制限付きであることを示す場合、
ユーザーのユーザー ID またはグループ名は、リソースへのアクセスを許可するためのアクセス・リストになければなりません。
制限付きアクセス・ユーザー ID の追加情報については、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
「LOGON/JOB INITIATION/initACEE」という語句がログオン処理中に出ることがあります。しかし、ログオンは成功する場合があります。RACF がアクティブな場合、RACF 処理中にログオン検査でエラーが
起こるときがありますが、代替方式 (UADS など) を
使用してログオンを処理します。インストール・システムが特定ユーザー用の
セキュリティー情報を格納するときに、RACF データベースを
使用しないと、このエラーが起こります。しかし、
インストール・システムは、ユーザー検査を実行するために
ログオン・アプリケーション (例えば TSO) 用の
代替方式 (UADS など) を使用します。
z/OS UNIX システム・サービスのシステム機能に障害が起こった場合、RACF は呼び出し側のシステム機能にエラー戻りコードを戻します。その後この呼び出し側のシステム機能は、エラー戻りコードをアプリケーション呼び出し側に戻すか、または呼び出しタスクを異常終了させます。
シスコール (syscall) 機能のアクションを決めるには、「z/OS UNIX System Services プログラミング: アセンブラー呼び出し可能サービス 解説書」を参照してください。
メッセージの中に USER/GROUP ではなく JOB/STEP が示されている場合、これは、通常のユーザー ID ではなく、未定義のユーザー用のデフォルト・セキュリティー環境が割り当てられたことを示します。これは、STARTED クラスまたは ICHRIN03 で開始済みプロシージャー
が正しく定義されていない場合に起こります。 STARTED クラスを使用した場合、正しいプロファイルを定義してあり、プロファイルを追加した後でこれらが正しく RACLIST REFRESH されたことを確認してください。
ICHRIN03 を使用した場合は、必ず CLPA を使ってシステ
ムの IPL を実行してください。

サード・パーティーの許可検査の場合、RACF は以下のステップを実行します。USERID= keyword が省略される場合、「*」がデフォルトです。
USERID キーワードが *NONE* で、GROUPID が指定されない場合、RACF はデフォルト (未定義ユーザー) の ACEE を使用して検査を行います。
USERID=BLANKS が指定され (BLANKS は 8 文字の X'40' 文字)、GROUPID が指定されないか、GROUPID=BLANKS として指定される場合、RACF は、アスタリスク (*) をユーザー ID またはグループ名として使用して ACEE を作成します。これは、USERID、GROUPID、または PASSWORD を指定せずに RACROUTE REQUEST=VERIFY によって作成される ACEE と同じです。


オペレーターの応答
インストール・システム用に確立されたセキュリティー・プロシージャーに従ってください。このプロシージャーが確立されていない場合は、このメッセージ・テキストをすべて RACF セキュリティー管理者に報告してください。

ユーザーの処置
インストール・システム用に確立されたセキュリティー・プロシージャーに従ってください。このプロシージャーが確立されていない場合は、このメッセージ・テキストをすべて RACF セキュリティー管理者に報告してください。

問題判別
RACF がこのメッセージと同時に作成する SMF タイプ 80 レコードから、
この違反に関する詳細な情報が得られます。RACF SMF レコードの内容に関する報告については、「z/OS Security Server RACF 監査担当者のガイド」を参照してください。 注: ログオン中に RACF がパスワードを検査するとき、またはバッチ・ジョブが開始されるときには、メッセージに NAME (???) が含まれます。
RACF に定義されていないユーザーに対しては、ジョブとステップは jobname と stepname で示されます。JOB/STEP は以下のいずれかの状態で使用されます。ACEE がない場合
ACEE が無効であるか、破壊されたか、鍵情報が欠落している場合
ACEE がデフォルトの ACEE である場合 (つまり、未定義ユーザーの「*」を使用する場合)

 バッチ・ユーザーに対しては、stepname はブランクに
なります。


宛先コード
9 および 11

記述子コード
4
このメッセージは、セキュリティー・コンソールに送られます。すべての違反 (LOGON/JOB initiation/initACEE メッセージ、
コマンド違反、および z/OS UNIX システム・サービス 違反を除く) は、
プログラマー向け書き込み (WTP) メッセージとして出されます。
注: z/OS UNIX システム・サービスを使用している TSO/E ユーザーには ICH408I メッセージは出されません。