次に重要な機密保護の項目は特殊権限である。
ユーザー・クラスを*USER
として作成して権限を制約したとしても、
かなりの特殊権限を与えてしまえば、これもやはり機密保護の脆弱性を
与えてしまうことになるので注意を要したい。
*ALLOBJ
があると、QSECURITY = 30
以上でオブジェクト毎に*PUBLIC
*EXCLUDE
のようにして一般のユーザーからはアクセスできないようにしていても、*ALLOBJ
権限を与えてしまうとオブジェクト・レベルの排他は役に立たなくなってしまう。*JOBCTL
権限が必要である。*SPLCTL
がなくても可能である。*SPLCTL
がないと他のユーザーが作成したスプールは参照することはできない。*USER
に*SPLCTL
権限をうかつに与えてしまうと*USER
でもスプールにある給与明細表や決算書を見れてしまうことになる。*USER
に特殊権限*SPLCTL
は与えないほうがよいのである。上記以外にも特殊権限として*AUDIT
,*SERVICE
などがあるが、
下記のサイトを参考にして欲しい。
https://www.ibm.com/support/knowledgecenter/ja/ssw_ibm_i_73/rzarl/rzarlseclvl.htm
最後に非常にわかりにくい I5/OS のメッセージについて解説する。
CRTUSRPRF(ユーザー・プロフィールの作成)コマンドを使って、
ユーザー・プロフィールを作成するときに特殊権限を追加して作成することは
珍しくないというか一般的なことである。
CRTUSRPRF USRPRF(CTR) SPCAUT(*ALLOBJ *JOBCTL) AUT(*ALL)
ユーザー・クラスおよび特殊権限がシステム提供値と一致していない
ユーザー・プロファイル CTR が作成された。
このように作成するがところで「ユーザー・クラスおよび特殊権限が、
システム提供値と一致していない」というメッセージはなんだろう?
これはユーザー・クラス (*USER
) のユーザーを作成しているのに
*ALLOBJ
や*JOBCTL
という特殊権限が追加されて本来の*USER
からは
オーバーしている、という警告メッセージというか、
お決まりのメッセージなのであるが、このメッセージを初めて見る人にとっては、
驚いて何か不都合なエラーを生じてしまったのではないかと心配してしまうが
そうではない。
全く当然のメッセージであって何の心配も要らないのだが、
このわかりにくいメッセージは操作する人を不安にするのに十分な
印象を与えてしまうのであえて紹介したような次第である。