アドレス空間のみの SAF 許可
SYSVIEW
アドレス空間には、以下の SAF 許可が必要です。SSID 許可の作成
SAF 許可は、GSVXSCFG DDname によって指定されたシステム環境設定オプションをユーザがオーバーライドできないようにするために必要です。SSID 許可は、以下のアドレス空間に必要です。
- SYSVIEWメイン サービス アドレス空間 (SYSVIEW)
- SYSVIEWユーザ インターフェース アドレス空間 (SYSVUSER)
- SYSVIEW補助サービス アドレス空間 (SYSVAUX)
サイトに実装されている外部セキュリティ マネージャ (ESM) に対して、以下のエンティティを設定します。
- ESM: ACF2
- SAF クラス:SYSVIEW
- SAF エンティティ:SV.CREATE.SSID.smfid.ssid
- SYSVIEWリソース クラスが GSO CLASMAP レコードに定義されておらず、汎用定義がない場合、リソース クラスの最初の 3 文字 (SYS) がリソース タイプに使用されます。
- アクセス:READ
- ESM: RACF
- SAF クラス:FACILITY
- SAF エンティティ:SV.CREATE.SSID.smfid.ssid
- アクセス:READ
- ESM: Top Secret
- SAF クラス:CAGSVX
- SAF エンティティ:SV.CREATE.SSID.smfid.ssid
- アクセス:READ
変数:
- smfid
- サーバ アドレス空間が実行されているシステムの SMF ID を指定します。
- ssid
- インストール時に SSID= パラメータで指定されたサブシステム ID を指定します。
- デフォルト: GSVX。
オプションで、外部セキュリティ マネージャで、汎用リソースとして SAF エンティティを定義できます:
SV.CREATE.SSID.*
。この SAF リソースへのアクセス権限がないサーバ アドレス空間を開始すると、エラーになり、以下のエラー メッセージが表示されます。
GSVX205E Nucleus load failed, reason 30 not authorized to create or update subsystem
更新アクセス権を以下に制限します。
- いずれかのサーバ アドレス空間用のスタートアップ JCL が含まれているプロシージャ ライブラリ
- GSVXSCFG DDname によって参照されるシステム設定データ セット
定義例:
- ACF2:
- ACF SET CONTROL(GSO) INSERT CLASMAP.GSV ENTITYLN(39) RESOURCE(SYSVIEW) RSRCTYPE(GSV) F ACF2,REFRESH(CLASMAP),TYPE(GSO) SET RESOURCE(GSV) COMPILE * $KEY(CREATE) TYPE(GSV) OWNER(SYS1) $USERDATA(SYSVIEW SUBSYSTEM CREATE) $PREFIX(SV) CREATE.SSID.- UID(*****SYSVIEW) SERVICE(READ) ALLOW STORE
- RACF:
- RDEFINE FACILITY SV.CREATE.SSID.*.* UACC(NONE) PERMIT SV.CREATE.SSID.*.* CLASS(FACILITY) ID(SYSVIEW) ACCESS(READ)
- Top Secret:
- TSS PERMIT(SYSVIEW) CAGSVX(SV.CREATE.SSID.*.*) ACCESS(READ)
SYSVIEW アプリケーション サーバ (SYSVAPPS) の許可
SYSVIEW
アプリケーション サーバ (SYSVAPPS) の許可SYSVIEW
アプリケーション サーバ (SYSVAPPS) には、リソース BPX.SERVER および BPX.DAEMON を介したクライアント接続で UNIX スレッド セキュリティを管理するためのセキュリティ アクセスが必要です。 オプションで、BPX.CONSOLE リソースへのアクセスを許可して、SYSVAPPS によって発行されるすべての WTO メッセージに、汎用 USS BPXM023I コンソール メッセージ ID がプレフィックスとして付かないようにすることができます。
定義例:
- ACF2:
- SET RESOURCE(FAC) COMPILE $KEY(BPX) TYPE(FAC) SERVER UID(*****SYSVAPPS) SERVICE(READ) ALLOW $KEY(BPX) TYPE(FAC) DAEMON UID(*****SYSVAPPS) SERVICE(UPDATE) ALLOW $KEY(BPX) TYPE(FAC) CONSOLE UID(*****SYSVAPPS) SERVICE(READ) ALLOW STORE
- RACF:
- PERMIT BPX.SERVER CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ) PERMIT BPX.DAEMON CLASS(FACILITY) ID(SYSVAPPS) ACCESS(UPDATE) PERMIT BPX.CONSOLE CLASS(FACILITY) ID(SYSVAPPS) ACCESS(READ)
- Top Secret:
- TSS PERMIT(SYSVAPPS) IBMFAC(BPX.SERVER) ACCESS(READ) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.DAEMON) ACCESS(UPDATE) TSS PERMIT(SYSVAPPS) IBMFAC(BPX.CONSOLE) ACCESS(READ)
JVM バージョンのディスカバリ
SYSVIEW
メイン サービス アドレス空間は、JVM バージョンのディスカバリを含む、JVM ディスカバリを実行します。SYSVIEW
メイン サービス アドレス空間に割り当てられたユーザ ID には、以下の権限が必要です。- java_home/binディレクトリへの読み取りアクセス権
- java_home/bin ディレクトリにある Java アプリケーションの実行権限
これらの権限は、JVM の実行に使用される Java の各バージョンに対して必要です。
z/OS Java SDK 製品に属するディレクトリは、通常、すべてのユーザ ID にディレクトリへの読み取りアクセス権と実行権限を許可します。ただし、製品ディレクトリ (たとえば、IBM WebSphere Application Server™) の下に組み込まれている Java バージョンがある場合、読み取りアクセス権および実行権限が制限されることがあります。アクセス制御リスト (ACL) を使用して、
SYSVIEW
メイン サービスのユーザ ID に対し、組み込み Java ディレクトリへのアクセス権、および Java 実行可能ファイルの実行権限を付与できます。SYSVIEW
はシステムで実行されている JVM のバージョンを検出できない場合がありますが、SYSVIEW
および SYSVIEW
JVM データ コレクタ エージェントは問題なく実行でき、システムで実行されている JVM を検出できます。