IBM提供のユーザープロファイルは変更していいんですか?
Question
監査を受けるために、定期的にユーザープロファイルを棚卸しています。
監査を受けた時に、「長期(半年など)サインオンしていないユーザープロファイルについては、使用不可(*DISABLED)にしておくこと」と指摘を受けています。
作成したユーザープロファイルは問題ないのですが、Qで始まるIBM提供のユーザープロファイルについては、サインオンできないように使用不可(*DISABLED)に変更しても問題ないでしょうか。
Answer
Qで始まる、IBM提供のユーザープロファイルについては、類似の質問をよく受けます。
IBM提供のユーザープロファイルは、状況(STATUS)や、権限などの設定を変更すると、システム機能に障害を起こす可能性があるので、推奨されておりません。
以前の記事(2015.12.09)でご紹介しています。
https://www.e-bellnet.com/category/technology/1512/1512-225.html
また、紹介しているように、QSECOFR以外のIBM提供のユーザープロファイルは、サインオンする必要がないために、パスワードが設定されていません。
使用不可(*DISABLED)にするのは、サインオンできないようにするためであり、パスワードが設定されておらず、サインオンできないので、使用可能(*ENABLED)のままでも、使用不可(*DISABLED)にしたのと同じ事になるかと思います。
IBM提供のユーザープロファイル一覧は、下記サイトに記載されています。
「IBM提供のユーザープロファイル」
https://www.ibm.com/docs/ja/i/7.4?topic=sup-supplied-user-profiles
また、CRTUSRPRFコマンドのデフォルト値との相違点は下記サイトに記載されています。
「ユーザープロファイルのデフォルト値」
https://www.ibm.com/docs/ja/i/7.4?topic=profiles-default-values-user
パスワードが設定されているかは、DSPAUTUSR (認可ユーザー表示)コマンドで確認できます。
※ただし、パスワードの値は確認できません。
しかし、運用内容などによっては、IBM提供のユーザープロファイルにパスワードを設定し、
サインオン(使用)する場合があります。
| 変更例 | |
|---|---|
| QPGMR | プログラマー・プロファイル |
| QSYSOPR | システム・オペレーター・プロファイル など |
IBM提供のユーザープロファイルで、パスワードを設定しサインオンしても、システム機能に支障をきたさないユーザープロファイルは、一括でパスワードを設定できます。
※パスワードを *NONEに設定する事もできます。
「IBM提供のユーザープロファイルのパスワードの変更」
https://www.ibm.com/docs/ja/i/7.4?topic=profiles-changing-passwords-supplied-user
コマンド: GO SETUP → 「11.弊社提供ユーザーのパスワードの変更」
by あすと
