システム値を変更から守る
IBM i の多数のシステム値は、システムがどのように動作するかを決定する主制御システム設定です。例えば、システム値 QCRTAUT は、新規作成オブジェクトに対して *PUBLIC 権限がどのような役割を果たすのかを判断します。システム値 QALWOBJRST は、システムに復元できるオブジェクトに何らかの制限があるかどうかを判断します。値 QTIME と QDATE は現在のシステム時間と日付をそれぞれ保存します。
あなたがセキュリティー担当者の特権または高レベルの権限を持つ社内の人間でない場合、他の強力な権限を持つユーザーが、これらシステム値に保存された設定を変更できます。QCRTAUT システム値を分別なく変更したことで、正しくないセキュリティー設定を持つオブジェクトが作成されてしまったケースを見てきました。
これら影響力が大きいセキュリティー関連のシステム値を保護するため、IBM は System Service Tools (SST) からだけ利用できる Lock/Unlock メカニズムを提供しました。
Lock/Unlock 設定にアクセスするため、ユーザーには Service Tools のユーザー ID とパスワードが必要です。これら Service Tools のユーザー ID とパスワードはオペレーティング・システムのユーザー ID とパスワードと同じではありません。これらは 11111111、22222222 また、そうです QSECOFR など特殊なService Tools ユーザー ID です。しかし、Service Tools ユーザー QSECOFR は OS QSECOFR とは異なるユーザーで、一般的にパスワードも異なっています。
System Values Lock/Unlock 関数とコマンド Start System Service Tools (STRSST) にアクセスするには、プロンプトが表示されたら、QSECOFR ユーザー ID と SST パスワードを入力します。図1 に示すような System Service Tools メニューが表示されます。
メニュー・オプション 7 (Work with System Security) を選択します。図2 のような画面が表示されます。セキュリティー関連のシステム値をロックするには、「システム値のセキュリティーを変更する」ためそこでオプション 2 を入力し、ENTER キーを押します。オプション 2 を指定すると、だれもセキュリティー関連のシステム値を変更できなくなります。
変更をすべてのユーザーによるすべてのシステム値へ制限することは明らかにできません。それは、日付が深夜に変更されないようにし、時間が日中に変更されないようにします。また、システムは日中にメモリー・プールをすべて調整します。これにより、QBASPOOL などストレージ割り当てシステム値が変更されます。
IBM i 6.1 では、図3 に示すシステム値は SST Lock/Unlock 関数でロックされています。
その他のシステム値への変更を制限する必要がある場合、CHGSYSVAL コマンド自体へのアクセスを制限しようとすることができます。しかし、技術者の権限レベルが高い場合、上に記載されていないシステム値を変更させないようにする際、CHGSYSVAL コマンドの使用を制限するのは効果的ではありません。
SST でシステム値を lock に設定することを強くお勧めします。保護されたシステム値を変更しなければならない場合、管理者の許可を得た場合のみ行う必要があります。その場合、ロックは一時的に解除され、システム値が変更されます。いったんシステム値が変更されたら、ロックのリセットは管理者が行うことができます。