IBM Navigator for i のセキュリティを見直し!機能使用IDのススメ
Question
Navigator for i へログインして様々な機能を使用していますが、
- 特定のユーザーには ジョブ管理 や ライブラリ操作 の機能を使わせたくない
- 管理者だけが システム構成 ・ユーザー管理 の設定にアクセスできるようにしたい
- 一般ユーザーには閲覧のみで、操作系の機能は制限したい
そこで質問ですが、Navigator for i のログインユーザー毎に、利用できる機能を制御することは可能でしょうか?
可能であれば、どのような設定や権限管理の仕組みを使えばよいでしょうか?
Answer
Navigator for i で「閲覧のみのユーザーでログインする」という方法は残念ながらありませんが、機能制限により、各機能へのアクセス自体を制御することは可能です。
機能制限を行うには、それぞれの機能ごとに用意されている「機能使用ID」を使用します。
「機能使用 ID」
https://www.ibm.com/docs/ja/i/7.5.0?topic=options-function-usage-ids
機能使用IDの一覧は、コマンド「WRKFCNUSG」で確認することができますが、Navigator for i に関するものに絞る場合は、「WRKFCNUSG FCNID(QIBM_NAV*)」で実行してみましょう。
以下は、WRKFCNUSG FCNID(QIBM_NAV*) コマンドを実行し一覧を表示した画面です。
例えば、WRKFCNUSG FCNID(QIBM_NAV_WRK_MGT) について、あるユーザーのアクセスを*DENIED とすると、Navigator for iの'実行管理機能'自体へのアクセスが拒否されるので、参照することもできなくなります。
- 機能ID 「QIBM_NAV_WRK_MGT」の行へ「2=使用の変更」を入力し実行キーを押します。
ユーザーと使用方法へ*DENIEDを指定し実行キーを押します。
※*ALLOBJ特殊権限:*NOTUSED
→ 特殊権限*ALLOBJを持っているユーザーを指定する場合*NOTUSED
- 「5=使用の表示」を実行する事で登録したユーザーを確認する事ができます。
- 機能制御をしたユーザーで Navigator for i へログインし「実行管理機能」→「アクティブ・ジョブ」を選択してみます。
「エラー:NAV_300040:ユーザー 」と表示され、開くことができません。
※機能使用IDに登録したユーザーを解除するには、使用方法*NONEを登録します。
Navigator for i は様々な機能があります。各ユーザーに適切な権限を与えて、健全なシステム運用をしていただければと思います。
by . あすと
