アドレス空間のみの SAF 許可

SYSVIEW
アドレス空間には、以下の SAF 許可が必要です。

SSID 許可の作成

SAF 許可は、GSVXSCFG DDname によって指定されたシステム環境設定オプションをユーザがオーバーライドできないようにするために必要です。SSID 許可は、以下のアドレス空間に必要です。
  • SYSVIEW
    メイン サービス アドレス空間 (SYSVIEW)
  • SYSVIEW
    ユーザ インターフェース アドレス空間 (SYSVUSER)
  • SYSVIEW
    補助サービス アドレス空間 (SYSVAUX)
サイトに実装されている外部セキュリティ マネージャ (ESM) に対して、以下のエンティティを設定します。
ESM: ACF2
SAF クラス:
SYSVIEW
SAF エンティティ:
SV.CREATE.SSID.
smfid
.
ssid
SYSVIEW
リソース クラスが GSO CLASMAP レコードに定義されておらず、汎用定義がない場合、リソース クラスの最初の 3 文字 (SYS) がリソース タイプに使用されます。
アクセス:
READ
ESM: RACF
SAF クラス:
FACILITY
SAF エンティティ:
SV.CREATE.SSID.
smfid
.
ssid
アクセス:
READ
ESM: Top Secret
SAF クラス:
CAGSVX
SAF エンティティ:
SV.CREATE.SSID.
smfid
.
ssid
アクセス:
READ
変数:
smfid
サーバ アドレス空間が実行されているシステムの SMF ID を指定します。
ssid
インストール時に SSID= パラメータで指定されたサブシステム ID を指定します。
デフォルト
: GSVX。
オプションで、外部セキュリティ マネージャで、汎用リソースとして SAF エンティティを定義できます:
SV.CREATE.SSID.*
この SAF リソースへのアクセス権限がないサーバ アドレス空間を開始すると、エラーになり、以下のエラー メッセージが表示されます。
GSVX205E Nucleus load failed, reason 30 not authorized to create or update subsystem
更新アクセス権を以下に制限します。
  • いずれかのサーバ アドレス空間用のスタートアップ JCL が含まれているプロシージャ ライブラリ
  • GSVXSCFG DDname によって参照されるシステム設定データ セット
定義例:
ACF2:
ACF SET CONTROL(GSO) INSERT CLASMAP.GSV ENTITYLN(39) RESOURCE(SYSVIEW) RSRCTYPE(GSV) F ACF2,REFRESH(CLASMAP),TYPE(GSO) SET RESOURCE(GSV) COMPILE * $KEY(CREATE) TYPE(GSV) OWNER(SYS1) $USERDATA(SYSVIEW SUBSYSTEM CREATE) $PREFIX(SV) CREATE.SSID.- UID(*****SYSVIEW) SERVICE(READ) ALLOW STORE
RACF:
RDEFINE FACILITY SV.CREATE.SSID.*.* UACC(NONE) PERMIT SV.CREATE.SSID.*.* CLASS(FACILITY) ID(SYSVIEW) ACCESS(READ)
Top Secret:
TSS PERMIT(SYSVIEW) CAGSVX(SV.CREATE.SSID.*.*) ACCESS(READ)

SYSVIEW
アプリケーション サーバ (SYSVAPPS) の許可

SYSVIEW
アプリケーション サーバ (SYSVAPPS) には、リソース BPX.SERVER および BPX.DAEMON を介したクライアント接続で UNIX スレッド セキュリティを管理するためのセキュリティ アクセスが必要です。
オプションで、BPX.CONSOLE リソースへのアクセスを許可して、SYSVAPPS によって発行されるすべての WTO メッセージに、汎用 USS BPXM023I コンソール メッセージ ID がプレフィックスとして付かないようにすることができます。
定義例:
ACF2:
SET RESOURCE(FAC) COMPILE $KEY(BPX) TYPE(FAC) SERVER UID(*****SYSVAPPS) SERVICE(READ) ALLOW $KEY(BPX) TYPE(FAC) DAEMON UID(*****SYSVAPPS) SERVICE(UPDATE) ALLOW $KEY(BPX) TYPE(FAC) CONSOLE UID(*****SYSVAPPS) SERVICE(READ) ALLOW STORE
RACF:
PERMIT BPX.SERVER CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ) PERMIT BPX.DAEMON CLASS(FACILITY) ID(SYSVAPPS) ACCESS(UPDATE) PERMIT BPX.CONSOLE CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ)
Top Secret:
TSS PERMIT(SYSVAPPS) IBMFAC(BPX.SERVER) ACCESS(READ) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.DAEMON) ACCESS(UPDATE) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.CONSOLE) ACCESS(READ)

JVM バージョンのディスカバリ

SYSVIEW
メイン サービス アドレス空間は、JVM バージョンのディスカバリを含む、JVM ディスカバリを実行します。
SYSVIEW
メイン サービス アドレス空間に割り当てられたユーザ ID には、以下の権限が必要です。
  • java_home/bin
    ディレクトリへの読み取りアクセス権
  • java_home/bin ディレクトリにある Java アプリケーションの実行権限
これらの権限は、JVM の実行に使用される Java の各バージョンに対して必要です。
z/OS Java SDK 製品に属するディレクトリは、通常、すべてのユーザ ID にディレクトリへの読み取りアクセス権と実行権限を許可します。ただし、製品ディレクトリ (たとえば、IBM WebSphere Application Server™) の下に組み込まれている Java バージョンがある場合、読み取りアクセス権および実行権限が制限されることがあります。アクセス制御リスト (ACL) を使用して、
SYSVIEW
メイン サービスのユーザ ID に対し、組み込み Java ディレクトリへのアクセス権、および Java 実行可能ファイルの実行権限を付与できます。
SYSVIEW
はシステムで実行されている JVM のバージョンを検出できない場合がありますが、
SYSVIEW
および
SYSVIEW
JVM データ コレクタ エージェントは問題なく実行でき、システムで実行されている JVM を検出できます。