次の表は、Enterprise Server で JES セキュリティのために使用される各デフォルト リソース クラスの名前、その説明、そのクラスに含まれるリソース エンティティのタイプ、およびユーザーがエンティティに対して必要とする最小限の権限を示しています。
データセット内のファイルへのアクセス権は、メインフレーム方言のコンパイラ指令が設定されている場合に適用されます。メインフレーム方言を使用していない場合にもセキュリティが適用されるようにするには、FCDCAT および ASSIGN"EXTERNAL" コンパイラ指令を設定し、SELECT 文でファイルが動的または静的に割り当てられていないことを確認します。
カタログを表示するには、ログオンしているユーザーが DATASET リソースへのアクセス権を持っている必要があります。これは、MSSDEMO.MyJESusr など、nodename.userid のリソース形式エントリで実現できます。
DATASET の LDIF 定義の例が es_default_ldap.ldf ファイルに含まれています。このファイルは、製品インストール ディレクトリの bin (Windows) または etc (UNIX) ディレクトリにあります。
PHYSFILE セキュリティ クラスは、スプール ファイルを含む、物理ファイルの作成を制御します。ファイルが作成または名前変更された際にチェックされます。PHYSFILE クラスが実装されている必要はなく、PHYSFILE クラスが存在しない場合はアクセスが許可されます。注意点として、この場合でも、アクセス チェックは行われますが (また、セキュリティ監査機能が有効になっている場合、セキュリティ構成で [Allow unknown resources] オプションが有効になっていない限り、アクセス拒否の監査レコードが生成されます)、JES エンジンでは、「リソース クラスが未定義のため拒否」というセキュリティ上の結果を「許可」という結果として処理します。
Micro Focus では、システム ワーキング セット内の場所にのみデータセットが作成されるように、PHYSFILE ルールを実装してデータセットの作成場所を制限することを強くお勧めします。これにより、ユーザーは不適切な場所を指定できなくなります。
DATASET クラスは、データセットの読み取り、書き込み、作成、または削除といった特定の方法でユーザーがデータセットにアクセスできることを確認するために使用され、データセットにアクセスするたびにチェックされます。PHYSFILE クラスは、データセットの作成時にのみチェックされ、ユーザーがその場所にデータセットを作成できることを確認するために使用されます。
スプール ファイルもデータセットであり、その作成時に、JCL ジョブを実行しているユーザーが指定した場所にスプール ファイルを作成できることを確認するために、PHYSFILE チェックが行われます。JESSPOOL セキュリティ クラスは、ユーザーがジョブによって作成されたスプール ファイルにアクセスできることを確認するために使用されます。
ジョブのサブミットおよび実行に使用されるユーザー ID には、ジョブ ログ ファイルを作成する権限が必要です。このファイルはスプール ファイルの場所に作成されるスプール ファイルであるため、この場所へのアクセスを許可する PHYSFILE ルールが必要になります。
Micro Focus では、すべてのユーザーが定義された領域にアクセスできるようにし、特定の領域を特定のユーザーに制限することを推奨しています。割り当てオーバーライド ルールを PHYSFILE 設定と組み合わせて使用すると、カタログ プロパティに基づいてデータセットが作成される場所、および作成する権限を持つユーザーを指定できます。
下の例では、すべてのデータセットが C:\WORKAREA というディスク上の領域に作成されると想定しています。特定の領域へのアクセスを許可するルールを定義すると、そのルールの対象とならない領域へのアクセスは暗黙的に拒否されることになります。
######################### # RACF Class = PHYSFILE # ######################### dn:CN=PHYSFILE, CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: top objectClass: container description: JES Class for controlling access to physical files ################################### # ALLOW ALL USERS PERMISSION TO # # CREATE FILES IN THE DATA AREA # ################################### dn:CN=C\3A\\WORKAREA\\DATA\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:*:alter microfocus-MFDS-UID: no description: Allow everyone permission to create a physical file in the DATA area ################################### # IF SPOOL FILES ARE HELD IN A # # DIFFERENT LOCATION ALLOW ALL # # USERS PERMISSION TO CREATE # # FILES IN THE SPOOL AREA # ################################### dn:CN=C\3A\\WORKAREA\\SPOOL\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:*:alter microfocus-MFDS-UID: no description: Allow everyone permission to create job logs and spool fiels in the SPOOL area #################################### # LIMIT ACCESS TO THE MFI01 FOLDER # # TO AUTOUSER # #################################### dn:CN=C\3A\\WORKAREA\\MFI01\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class: PHYSFILE microfocus-MFDS-Resource-ACE: allow:AUTOUSER:alter microfocus-MFDS-UID: no description: Allow AUTOUSER permission to create datasets in the MFI01 folder ##################################### # PHYSICAL FILES IN XYZ FOLDER # # THIS SHOWS RESTRICTING USE OF A # # FOLDER AND SUB-FOLDERS TO A GROUP # ##################################### dn:CN=D\3A\\WORKAREA\\XYZ\\**,CN=PHYSFILE,CN=Enterprise Server Resources,CN=Micro Focus,CN=Program Data,DC=local changetype: add objectClass: microfocus-MFDS-Resource microfocus-MFDS-Resource-Class:PHYSFILE microfocus-MFDS-Resource-ACE: allow:ALLUSER group:alter microfocus-MFDS-UID: mfuid