ACLエディタでACLを作成または変更できるオブジェクトは，自分で所有しているオブジェクト，制御アクセスが可能なオブジェクト，BYPASS，GRPPRV， SYSPRVなどの特権によってアクセスが可能なオブジェクトです。 ACLエディタを起動するには，DCLのEDIT/ACLコマンドを使用します。ACLを編集するオブジェクトの名前をコマンド行に指定してください。たとえば， INVENTORY.DATファイルのACLを作成する場合は，次のコマンドを入力します。

$ EDIT/ACL INVENTORY.DAT

EDIT/ACLコマンドまたはSET SECURITY/EDITコマンドを使用して ACLエディタを起動できます。SET SECURITYコマンドについての詳しい説明は，『OpenVMS DCL ディクショナリ』および『OpenVMS システム・セキュリティ・ガイド』を参照してください。

省略時の設定では，ACLエディタはファイルのACLを作成し，変更します。ファイル以外のオブジェクトのACLを作成するには(たとえば，キューのACLを作成する場合)， ACLエディタを起動するときに，オブジェクト・クラスを指定しなければなりません。 たとえば，次のコマンドは，DAPRというディスクのACLを作成するためにACLエディタを起動します。

$ EDIT/ACL/OBJECT_TYPE=DEVICE DAPR

オブジェクトのACLがすでに存在する場合には，ACLエディタはそのACLを表示します。キーパッド編集コマンドを使用して，ACL内の1つ以上のACEを追加，置換，または削除できます( 付録 A.1 節 を参照)。編集セッションを終了するには，Ctrl/Zを押します。編集結果を保存せずに編集セッションを終了する場合には，GOLDキー(PF1)を押し，Ctrl/Zを押します。

ACLエディタで使用できるキーパッド編集コマンドについての説明は， 付録 A を参照してください。ACLセクション・ファイルを変更してACLエディタを変更する方法については， 付録 B を参照してください。

注意 DCLプロンプト($)に対してコマンドを入力したり，ACLを直接起動する他に，ACLエディタへの呼び出し可能インタフェース(ACLEDIT$EDITルーチン)を使用して ACLを変更することもできます。ACLEDIT$EDITルーチンの使い方については，『HP OpenVMS Utility Routines Manual』を参照してください。

この節では，次のアクセス制御エントリ(ACE)のエントリと表示形式について説明します。

• オブジェクトのセキュリティ監査に使用するアラームACE

• オブジェクトのセキュリティ監査に使用する監査ACE

• ディレクトリに作成した新規ファイルの所有権アクセスを設定するための作成者ACE

• ディレクトリ構造全体に対して省略時の保護コードを設定する省略時の保護ACE

• オブジェクト・アクセス制御に使用する識別子ACE

• 保護されたサブシステム・アクセス制御に使用するサブシステムACE

これらのACEの使用法については，『OpenVMS システム・セキュリティ・ガイド』を参照してください。上記以外のACEも使用できます。たとえば，アプリケーションでアプリケーションACE を使用すれば，あるファイルに関連するアプリケーション固有の情報を格納できます。 ACEの格納のために使用する内部形式については，『HP OpenVMS Programming Concepts Manual』を参照してください。

アラーム・メッセージをすべてのセキュリティ・オペレータ・ターミナルに送信するためのアクセス基準を指定します。

省略時の設定では，ACLアラームは許可されています。しかし，アラームはシステム・セキュリティ監査ログ・ファイルに書き込まれません。アラームACEによって保護されるファイルが存在し，メッセージをログ・ファイルに記録したい場合には，アラームACEのかわりに監査ACEを使用してください。

---

形式

(ALARM=SECURITY [,OPTIONS=属性],
ACCESS=アクセス・タイプ[+アクセス・タイプ...])

---

パラメータ

オプション

次の属性を指定します。

Default	同一ディレクトリ内に作成されたすべてのファイルの ACLにACEを登録することを指定する。エントリが伝搬される場合には，Default属性は，作成されたファイルのACEから削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。
Hidden	このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は，どのACEタイプに対しても使用できるが，アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには，SET SECURITYコマンドを使用しなければならない。 DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには，SECURITY特権が必要である。また，DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも， SECURITY特権が必要である。 ACLエディタがACEを表示するのは， ACEの変更を容易にするためではなく，ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには，アプリケーションで $SET_SECURITYシステム・サービスを起動する。
Protected	誤って削除されないようにACEを保護する。保護されたACEを削除するには，次のいずれかの方法を使用しなければならない。 ACLエディタを使用する方法。 削除するときにACEを明示的に指定する方法。 ACEを指定して削除するには， SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。 保護されたACEと保護されないACEのすべてを削除する方法。 すべてのACEを削除するには，SET SECURITY/ACL/DELETE=ALLコマンドを使用する。 次のコマンドを使用しても，保護されたACEを削除できない。
Nopropagate	通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば，SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは， ACEをコピーできない。
None	属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが，属性は表示されない。None属性と組み合わせて他の属性を指定した場合には，他の属性の方が優先する。None属性を指定することは，フィールドを省略することと同じである。

アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。指定できるアクセス・タイプについては，『OpenVMS システム・セキュリティ・ガイド』を参照してください。アラームACEを有効にするには，アクセス・タイプとともにキーワードとしてSUCCESS とFAILUREのどちらか一方，または両方を指定しなければなりません。たとえば，監査基準が「オブジェクトに対する書き込みアクセス権取得の失敗」である場合には，次のアラームACEを指定します。

(ALARM=SECURITY, ACCESS=WRITE+FAILURE)

監査ACE

監査メッセージがシステム・セキュリティ監査ログ・ファイルに書き込まれるアクセス基準を指定します。メッセージが記録されるのは，DCLの SET AUDIT/AUDIT/ENABLE=ACLコマンドを使用してACL監査が許可されている場合だけです。

---

形式

(AUDIT=SECURITY [,OPTIONS=属性]
,ACCESS=アクセス・タイプ [+アクセス・タイプ...])

---

パラメータ

オプション

次のいずれかの属性を指定します。

Default	同一ディレクトリ内に作成されたすべてのファイルの ACLにACEを登録することを指定する。エントリが伝搬される場合には，Default属性は，作成されたファイルのACEから削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。
Hidden	このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は，どのACEタイプに対しても使用できるが，アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには，SET SECURITYコマンドを使用しなければならない。 DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには，SECURITY特権が必要である。また，DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも， SECURITY特権が必要である。 ACLエディタがACEを表示するのは， ACEの変更を容易にするためではなく，ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには，アプリケーションで $SET_SECURITYシステム・サービスを起動する。
Protected	誤って削除されないようにACEを保護する。保護されたACEを削除するには，次のいずれかの方法を使用しなければならない。 ACLエディタを使用する方法。 削除するときにACEを明示的に指定する方法。 ACEを指定して削除するには， SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。 保護されたACEと保護されないACEのすべてを削除する方法。 すべてのACEを削除するには，SET SECURITY/ACL/DELETE=ALLコマンドを使用する。 次のコマンドを使用しても，保護されたACEを削除できない。
Nopropagate	通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば，SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは， ACEをコピーできない。
None	属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが，属性は表示されない。None属性と組み合わせて他の属性を指定した場合には，他の属性の方が優先する。None属性を指定することは，フィールドを省略することと同じである。

アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。指定できる有効なアクセス・タイプの一覧については，『OpenVMS システム・セキュリティ・ガイド』を参照してください。監査ACEを有効にするには，アクセス・タイプとともにキーワードとしてSUCCESSとFAILUREのどちらか一方，または両方を指定しなければなりません。たとえば，監査基準が「オブジェクトに対する書き込みアクセス権の取得の失敗」である場合には，次の監査ACEを指定します。

(AUDIT=SECURITY,ACCESS=WRITE+FAILURE)

作成者ACE

作成者ACEを割り当てるディレクトリ内に作成されたファイルの ACLに特別なACEを追加します。作成者ACEが適用されるのは，次の条件が満足される場合だけです。

• 作成するファイルが，ファイルを作成するプロセスのユーザ識別コード(UIC)によって所有されていないこと。

• ファイルを作成するプロセスがシステム特権を持たないこと。

たとえば，Resource属性が割り当てられた汎用識別子を持つプロセスが，その識別子によって所有されるディレクトリにファイルを作成する場合には，上記の2つの条件がどちらも満足されます。この場合，システムは新しいファイルのACLの先頭に特別なACEを追加します。親ディレクトリのACLに作成者ACEが登録されている場合には，システムは作成者ACEに指定されたアクセス権を新しいACEに伝搬します。ディレクトリに作成者ACEが登録されていない場合には，システムは制御アクセス権と所有者アクセス権を組み合わせた特別なACEを割り当てます。ACCESS=NONEを指定した作成者ACEを登録すると，特別なACEは追加されません。

作成者ACEはディレクトリ・ファイルにのみ有効です。

詳しくは『OpenVMS システム・セキュリティ・ガイド』を参照してください。

---

形式

(CREATOR [,OPTIONS= 属性[+属性...]]
,ACCESS=アクセス・タイプ[+アクセス・タイプ...])

---

パラメータ

オプション

次のいずれかの属性を指定します。

Protected	誤って削除されないようにACEを保護する。保護されたACEを削除するには，次のいずれかの方法を使用しなければならない。 ACLエディタを使用する方法。 削除するときにACEを明示的に指定する方法。 ACEを指定して削除するには， SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。 保護されたACEと保護されないACEのすべてを削除する方法。 すべてのACEを削除するには，SET SECURITY/ACL/DELETE=ALLコマンドを使用する。 次のコマンドを使用しても，保護されたACEを削除できない。
Nopropagate	通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば，SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは， ACEをコピーできない。
None	属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが，属性は表示されない。None属性と組み合わせて他の属性を指定した場合には，他の属性の方が優先する。None属性を指定することは，フィールドを省略することと同じである。

アクセス

ファイルに対して有効なアクセス・タイプ(読み込み，書き込み，実行，削除，制御)を指定します。

---

目次

索引