RSTUSRPRFの使用中にパスワードと専用権限を復元する
こんにちは、Joe:
IBM i システム間でユーザー・プロファイルをコピーするでは素晴らしい記事をありがとうございました。システム間でプロファイルをコピーし、次のようなメッセージが表示されたことを追記したいと思いました。
CPC3713 - &2 &1 restored without password or group linkage (パスワードまたはグループ・リンケージがない &2 &1 が復元されました)
Security Data パラメーターを Restore User Profile (RSTUSRPRF) コマンドに追加して、これを修正しました。IBM i 6.1 を実行しています。
--Avraham
Avraham のシステムで何が起きたのか、またそれがユーザー・プロファイルの復元にどのような影響を与えているのか見てみましょう。
ユーザー・プロファイルをシステム間で移動させる場合、IBM には、ユーザー・プロファイルのパスワードおよび専用権限を復元する 2 つのシナリオがあります。
- RSTUSRPRF を使用してあるシステムから別のシステムへ、すべてのユーザー・プロファイル (*ALL) を復元する場合、次のようにコマンドを実行し、各ユーザー・プロファイルの対応するパスワードおよび専用権限をそのプロファイルとともに復元できます。
RSTUSRPRF DEV(*SAVF) USRPRF(*ALL)
SAVF(保存ファイルのライブラリー名/保存ファイル名) SECDTA(*USRPRF)
Security Data (SECDTA) パラメーターと User Profile (USRPRF) パラメーターがともに機能して、ユーザー・プロファイルのパスワードとユーザー・プロファイルに対する専用権限を復元します。デフォルトでは、SECDTA は *USRPRF に設定されています。
USRPRF = *ALL また SECDTA = *USRPRF の場合、復元プロセス中、システムはあらゆるユーザー・プロファイルに対するパスワードおよびすべての専用権限を復元します。
このため、管理者はこのコマンドを使用して、システム全体を、ある IBM i パーティション、または Power マシンから別のパーティション、またはマシンに移行する場合に、ユーザー・プロファイルを復元します。これは、関連するパスワードおよび権限とともに、あらゆるユーザー・プロファイルを復元します。
このコマンドは専用権限を復元するため、*ALL ユーザーの Restore User Profile コマンドは通常、IBM i オペレーティング・システムをターゲット・パーティションに復元した後で、かつ、システム・ユーザー・ライブラリーを復元する前に実行します。つまり、ユーザー・ライブラリーを復元した後も、Restore Authority (RSTAUT) コマンドを実行して、ユーザー・プロファイルのオブジェクト権限を復元する必要があるということです。
- RSTUSRPRF を使用して、個別またはワイルドカードのユーザー・プロファイルを復元しており、SECDTA パラメーターを変更しない場合、次のコマンドをデフォルトで実行しています。
RSTUSRPRF DEV(*SAVF) USRPRF(ユーザー・プロファイル名)
SAVF(保存ファイルのライブラリー名/保存ファイル名) SECDTA(*USRPRF)
個々のユーザー・プロファイルまたはユーザー・プロファイルのグループをこうして復元している場合、オペレーティング・システムは個々のユーザー・プロファイルのパスワードおよび専用権限は復元しません。そのため、Avraham は上記のような CPC3713 エラーを受け取ったのです。
個々のユーザー・プロファイルまたはユーザー・プロファイルのグループを、ソース・システムで持っていた同じパスワードおよび専用権限を持つターゲット・システムに復元するには、次のコマンドを実行します。
RSTUSRPRF DEV(*SAVF) USRPRF(ユーザー・プロファイル名)
SAVF(保存ファイルのライブラリー名/保存ファイル名) SECDTA(*PWDGRP)
このように RSTUSRPRF を実行すると、次の属性とともに、ユーザー・プロファイルがターゲット・システムに復元されます。
- コマンドにリストされた各ユーザー・プロファイルが復元されます。
- 復元したプロファイルそれぞれのパスワードも復元されます。
- システムに存在するあらゆるグループについて、ユーザーのグループ・メンバーシップが復元されます。
- ユーザー・プロファイルの専用権限も復元されますが、Restore Authority (RSTAUT) コマンドを実行して復元されたユーザー権限をターゲット・システム・オブジェクトに適用します。
さて、ここに油断できない部分があります。RSTUSRPRF をこのように使用して、個々のユーザー・プロファイルおよびそのパスワードを復元できるという Avraham のフィードバックに沿って、私はこのコマンドをテストし、Avraham の結果を複製しました。Save Security Data (SAVSECDTA) コマンドを使用して、自分のユーザー・プロファイルを IBM i 6.1 を使用している自分の開発システムに保存しました。自分のユーザー・プロファイルを 1 つ削除し、ポイント #2 に記載の RSTUSRPRF コマンドを使用してそれを復元しました。Avraham が言っているように、ユーザー・プロファイルとパスワードが両方とも、私のターゲット・システムに復元されました。
しかし、グリーン・スクリーン RSTUSRPRF コマンドの資料では、IBM は、RSTUSRPRF を使用した個々のプロファイルの復元に伴う次のような特殊な状況について述べています。
「ユーザー・プロファイルがメディア上に復元され、個別に復元されている場合、パスワードまたはグループ接続のない、新しいユーザー・プロファイルが作成されます。」
結果として、Avraham と私自身が 2 人とも、 i 6.1 下でパスワードを完備した個々のユーザー・プロファイルの復元をテストできたのですが、IBM は、この手法は復元されたユーザー・プロファイルには機能しない場合があると特に述べたのです。したがって、ユーザー・プロファイルに沿ってパスワードを復元するこの手法をテストしたものの、個々のプロファイルおよびそのパスワードの復元には SECDTA=*PWDGRP が機能しない場合がある点にご注意ください。
--Joe