日本-日本語 |
|
|
|
OpenVMS マニュアル |
|
HP OpenVMS
|
目次 | 索引 |
省略時の保護ACE |
ディレクトリ構造全体で新しいファイルに伝搬されるUICベースの保護を定義します。 ACEに指定された保護コードは,ディレクトリに作成される新しいファイルに割り当てられます。省略時の保護ACEはディレクトリ・ファイルにのみ適用されます。システムは省略時の保護ACEを新しいサブディレクトリに伝搬しますが,保護コードはサブディレクトリに割り当てられません。サブディレクトリには,親ディレクトリの保護コードを変更したコピーが割り当てられますが,そのコピーでは削除アクセス権が禁止されています。
次の例は省略時の保護ACEを示しています。
(DEFAULT_PROTECTION,S:RWED,O:RWED,G,W)
ここに示したACEは,システム(S)カテゴリと所有者(O)カテゴリのユーザに対して読み込み,書き込み,実行,削除アクセス権を許可しますが,グループ・カテゴリとワールド・カテゴリのユーザにはアクセス権を与えません。詳しくは『OpenVMS システム・セキュリティ・ガイド』を参照してください。
(DEFAULT_PROTECTION[,OPTIONS= 属性[+属性...]],アクセス)
オプション
次のいずれかのオプションを指定します。
Hidden このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが,アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。 DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも, SECURITY特権が必要である。 ACLエディタがACEを表示するのは, ACEの変更を容易にするためではなく,ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには,アプリケーションで $SET_SECURITYシステム・サービスを起動する。
Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。
- ACLエディタを使用する方法。
- 削除するときにACEを明示的に指定する方法。
ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。
- 保護されたACEと保護されないACEのすべてを削除する方法。
すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。
次のコマンドを使用しても,保護されたACEを削除できない。
Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。 None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。
アクセス
次に示すUIC保護コードの形式でアクセス権を指定します。
[カテゴリ: 許可されるアクセスのリスト (, カテゴリ: 許可される アクセスのリスト,...)]
- ユーザ・カテゴリには,システム(S),所有者(O),グループ(G),ワールド(W)があります。これらのカテゴリの定義については,『OpenVMS システム・セキュリティ・ガイド』を参照してください。ファイルのアクセス・タイプには,読み込み(R),書き込み(W),実行(E),削除(D)があります。アクセス・タイプは各所有権カテゴリに割り当てられ,カテゴリとアクセス・タイプの間はコロン(:)で区切ります。
- ヌル・アクセス・リストはアクセス権がないことを示します。したがって,ユーザ・カテゴリに対してアクセス・タイプを指定しなかった場合には,そのカテゴリのユーザはそのアクセス・タイプを実行できません。すべてのアクセス権をユーザ・カテゴリに対して禁止するには,ユーザ・カテゴリだけを指定し,アクセス・タイプを指定しません。特定のカテゴリのユーザに対してアクセス権を禁止する場合には,そのユーザ・カテゴリの後のコロンを省略します。
- ユーザ・カテゴリを保護コードから省略した場合には,そのユーザ・カテゴリに対して現在許可されているアクセス権は,アクセス権なし (No Access) に設定されます。
識別子 ACE |
特定のユーザまたはユーザ・グループに対して許可するアクセス・タイプを制御します。次の例は識別子ACEを示しています。
(IDENTIFIER=SALES,ACCESS=READ+WRITE)
システム管理者は,Authorizeユーティリティ(AUTHORIZE)を使用して,SALES識別子を特定のユーザ・グループに割り当てることができます。このようにしておけば, SALES識別子を保有するユーザに対して,INVENTORY.DATファイルへの読み込みアクセス権と書き込みアクセス権が与えられます。
詳しくは『OpenVMS システム・セキュリティ・ガイド』を参照してください。
(IDENTIFIER=識別子[+識別子...] [,OPTIONS=属性[+属性...]],
ACCESS=アクセス・タイプ[+アクセス・タイプ...])
識別子
オブジェクトへのアクセス権をACEに定義するユーザまたはユーザ・グループを指定します。システム管理者は識別子を作成または削除し,これらの識別子を保有するユーザを割り当てます。
UIC ユーザ識別コード(UIC)を使用した英数字形式の識別子であり,システムの各ユーザを一意的に識別する。システムにアカウントを持つユーザには,たとえば[GROUP1,JONES]や[JONES]などのUIC識別子が自動的に割り当てられる。したがって,UIC識別子はそれぞれ特定のユーザを識別する。 General セキュリティ管理者がライト・リストに定義する識別子であり,システムのユーザ・グループを識別する。汎用識別子は,1文字以上の英字を含む 1〜31文字の英数字文字列である。使用できる文字はA〜Zの英字,ドル記号($),アンダスコア(_),0〜9の数字である。たとえば,92SALES$,ACCOUNT_3,PUBLISHINGなどを使用できる。 Environmental システムへの初期エントリをもとに,ユーザの種類を記述する識別子。環境識別子はシステム定義識別子とも呼ぶ。環境識別子は『OpenVMS システム・セキュリティ・ガイド』に説明されているログイン・クラスに直接対応する。環境識別子にはbatch,network,interactive,local,dialup,remoteがある。
詳しくは『OpenVMS システム・セキュリティ・ガイド』を参照してください。
オプション
次のいずれかの属性を指定します。
Default 同一ディレクトリ内に作成されたすべてのファイルの ACLにACEを登録することを指定する。エントリが伝搬される場合には,Default属性は,作成されたファイルのACEから削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。 Default属性を持つ識別子ACEはアクセス権にまったく効果がありません。
Hidden このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが,アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。 DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも, SECURITY特権が必要である。 ACLエディタがACEを表示するのは, ACEの変更を容易にするためではなく,ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには,アプリケーションで $SET_SECURITYシステム・サービスを起動する。
Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。
- ACLエディタを使用する方法。
- 削除するときにACEを明示的に指定する方法。
ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。
- 保護されたACEと保護されないACEのすべてを削除する方法。
すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。
次のコマンドを使用しても,保護されたACEを削除できない。
Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。 None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。
アクセス
オブジェクト・クラスに対して有効なアクセス・タイプを指定します。指定できるアクセス・タイプについては,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
サブシステムACE |
サブシステムACEが適用されるイメージを実行している間,追加識別子をプロセスに与えます。イメージの実行アクセス権を持つユーザは,保護されたサブシステム内のオブジェクト,たとえばデータ・ファイルやプリンタなどをアクセスできますが,このようなアクセスが可能なのは,サブシステム・イメージを実行している間だけです。サブシステムACEは実行可能イメージにのみ適用されます。
(SUBSYSTEM, IDENTIFIER=ACCOUNTING)
(SUBSYSTEM,[OPTIONS=属性[+属性...],]IDENTIFIER=識別子
[,ATTRIBUTES=属性[+属性...]] [,IDENTIFIER=識別子 [,ATTRIBUTES=属性[+属性...]],...])
オプション
次のいずれかの属性を指定します。
Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。
- ACLエディタを使用する方法。
- 削除するときにACEを明示的に指定する方法。
ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。
- 保護されたACEと保護されないACEのすべてを削除する方法。
すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。
次のコマンドを使用しても,保護されたACEを削除できない。
Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。 None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。
識別子
オブジェクトへのアクセスを許可または禁止するユーザまたはユーザ・グループを指定する汎用識別子。1文字以上の英字を含む1〜31文字の英数字文字列です。使用できる文字はA〜Zの英字,ドル記号($),アンダスコア(_),0〜9の数字です。詳しくは『OpenVMS システム・セキュリティ・ガイド』を参照してください。サブシステムACEでは,2つ1組の複数の識別子ペアを組み合わせて指定でき,各識別子に特殊な属性を割り当てることができます。サブシステムが正しく機能するために,複数の識別子が必要な場合があります。次の例を参照してください。
(SUBSYSTEM,IDENTIFIER=MAIL_SUBSYSTEM,ATTRIBUTE=NONE,IDENTIFIER=BLDG5,ATTRIBUTE=NONE)
属性
識別子をライト・リストに追加する場合や,識別子をユーザに与えるときに指定する識別子属性。次の属性を指定できます。
Resource 識別子の保有者がディスク領域を識別子に請求することを許可する。ファイル・オブジェクトに対してのみ使用できる。
1.4 ACLエディタの修飾子 |
ACLエディタを起動する場合には,オブジェクト・クラスと編集モード(promptまたは noprompt)を示す修飾子をコマンド行に指定できます。 また,修飾子を使用して,ジャーナル・ファイルの名前を指定したり, ACL編集セッションを回復することもできます。この節では,次に示す修飾子について説明します。
修飾子 | 説明 |
---|---|
/CLASS | ACLを変更するオブジェクトのクラスを指定する。 |
/JOURNAL | 編集セッションでジャーナル・ファイルを作成するかどうかを制御する。 |
/MODE | 編集セッションでプロンプトを使用するかどうかを指定する。 |
/OBJECT_TYPE | ACLを変更するオブジェクトのクラスを指定する。 |
/RECOVER | 編集セッションを開始するときにジャーナル・ファイルから ACLを復元する。 |
この節で説明する修飾子はすべて,SET SECURITY/EDITコマンドでも使用できます。EDIT/ACLコマンドの代わりにSET SECURITY/EDITコマンドを使用してもかまいません。構文はどちらのコマンドも同じです。
/CLASS
ACLを変更するオブジェクトのクラスを指定します。オブジェクトがファイルである場合を除き,オブジェクト・クラスを指定しなければなりません。
/CLASS =オブジェクト・クラス
ファイル以外のオブジェクトのACLを変更するには,/CLASS修飾子を使用してオブジェクト・クラスを指定しなければなりません。次のいずれかのクラスを指定してください。
CAPABILITY ベクタ命令の処理機能など,システムの機能を示す。現在, CAPABILITYクラスに対して定義されているオブジェクト名はVECTORだけであり,システムのベクタ・プロセッサのアクセスを管理する。機能名はオブジェクト名パラメータとして指定しなければならない。 COMMON_EVENT_CLUSTER コモン・イベント・フラグ・クラスタ DEVICE ディスク・ドライブやテープ・ドライブなどのデバイス。 FILE ファイルまたはディレクトリ・ファイル。これは省略時の設定である。 GROUP_GLOBAL_SECTION グループ・グローバル・セクション。 LOGICAL_NAME_TABLE 論理名テーブル。 QUEUE バッチ・キューまたはデバイス(プリンタ,サーバ,ターミナル)・キュー。 RESOURCE_DOMAIN リソース・ドメイン。 SECURITY_CLASS セキュリティ・クラス。 SYSTEM_GLOBAL_SECTION システム・グローバル・セクション。 VOLUME ディスクまたはテープ・ボリューム。
#1 |
---|
$ EDIT/ACL/CLASS=DEVICE WORK1 |
この例のコマンドは,WORK1というオブジェクトがデバイスであることを指定しています。
#2 |
---|
$ EDIT/ACL/CLASS=QUEUE FAST_BATCH |
この例のコマンドはFAST_BATCHキューのACLを作成します。ジェネリック・キューのACLを作成する場合には,ジョブを登録できるすべての実行キューに対しても,同じACLを作成しなければなりません。
目次 | 索引 |
|