ファイルアクセス権限の基礎 パート2 ~ ユーザーの権限をまとめて管理できませんか?~
Question
先刻、不正アクセスをさせないためにユーザーの権限を管理するべきという記事を拝見しました。
参考サイト:ファイルアクセス権限の基礎 ~ 不正アクセスさせないようにするためには? ~
https://www.e-bellnet.com/category/technology/2409/2409-01.html
大変参考になりましたが、記事にもあった通り弊社ではユーザー数も多く、オブジェクトに対し、個々のユーザーを逐一登録するのは現実的ではありません。
グループプロファイルというもので管理が簡単になるようですが、使い方を教えていただけませんでしょうか。
Answer
ご拝読いただきありがとうございます。お声を頂けますと励みとなります。
さて、前回もったいぶって「準備についてはまた次回」とさせていただきましたが、実はそこまで難しい事をするわけではございません。
仰々しく「グループプロファイル」と銘打っていますが、その実態は通常のユーザープロファイルとなんら変わりません。
では早速グループプロファイルを作ってみましょう。
CRTUSRPRF USRPRF(KEIRI)(・・・これだけ?というお声が聞こえてきた気がします。)
個々にもう少し詳細な特殊権限などの設定を加える事もできますが、この通りごく単純に1つユーザーを作っておくだけです。
通常、ユーザープロファイルにはパスワードを設定し、サイン・オンできるようにするかと思いますが、今回はグループプロファイルとして使用するためそれすら不要です。
次はユーザーをグループプロファイルに属させる手順を説明します。
CHGUSRPRF USRPRF(PANDA320) GRPPRF(KEIRI)(再度お声が聞こえてきた気がします。)
これだけでユーザーはKEIRIというグループに属したことになります。
ご覧いただきました記事の内容より
GRTOBJAUT OBJ(BDLIB/BD*) OBJTYPE(*FILE) USER(KEIRI) AUT(*EXCLUDE)さて、もう少しだけ補足をしますと、実はユーザーは最大で16個のグループに属する事が出来ます。
では先に挙げた例の「PANDA320」さんは、主要グループは「KEIRI」ですが、「SOUMU」も兼任していたとします。
この主要のグループ以外に属するグループを「補足グループ」といいます。
プロファイルの作成は割愛し、PANDA320さんを補足グループに追加してみましょう。
CHGUSRPRF USRPRF(PANDA320) GRPPRF(KEIRI) SUPGRPPRF(SOUMU)(2度ある事は3度あります。)
パラメーターにSUPGRPPRF(SOUMU)を追加しただけです。
これでPANDA320は補足グループとしてSOUMUにも属しました。
さて、では2つのグループに属した場合、相反する権限が設定されていた場合どちらが優先されるか見てみましょう。
権限を設定してみました。。。PANDA320さんでログインして、このオブジェクトにアクセスできるかみてみましょう。
該当オブジェクトはOUTQですのでWRKOUTQで5=処理を実行してみると・・・
主要グループがNGを出しているので、権限*EXCLUDEが優先されましたね。
主要の指定が優先され、補足の指定は後回し
(なんだか補足グループに親近感を覚えます・・・)
by . 大熊猫橋
