RACFユーザー登録 – 「メインフレーム・コンピューター」で遊ぼう

RACFに新しいユーザーを登録するには、RACFコマンドを使用します。RACFコマンドはTSOにて発行でき、バッチセッションでも使用できます。

当然ながらADDUSERやACCOUNTコマンドなど、ユーザー・アカウントの登録コマンドは権限のあるユーザーでなければ使用できません。

RACFに新しいユーザーを登録する

//         JOB Statement
//*********************************************************************
//*        Sample JCL - TSO BATCH SESSION --- DO RACF COMMAND ---
//*        ======================================================
//*********************************************************************
//TSOBATCH EXEC PGM=IKJEFT01
//SYSTSPRT DD SYSOUT=*
//SYSTSIN  DD *
ADDUSER TMPUSR1 DFLTGRP(GTSOUSER) NAME('Temporary User-1') -
        TSO(ACCTNUM(TEMPUSER) PROC(TMPACCNT))
LISTUSER TMPUSR1
//
//

// JOB Statement

//*********************************************************************

//* Sample JCL - TSO BATCH SESSION --- DO RACF COMMAND ---

//* ======================================================

//*********************************************************************

//TSOBATCH EXEC PGM=IKJEFT01

//SYSTSPRT DD SYSOUT=*

//SYSTSIN DD *

ADDUSER TMPUSR1 DFLTGRP(GTSOUSER) NAME('Temporary User-1') -

TSO(ACCTNUM(TEMPUSER) PROC(TMPACCNT))

LISTUSER TMPUSR1

新しいユーザー「TMPUSR1」をRACFに登録します。同時にTSOへのログオンが可能になるよう、TSOオプションを追加して、アカウント名とログオン・プロシージャー名も指定するサンプルです。

デフォルト・パスワードは、パラメーター「PASSWORD(xxxxxxxx)」によって指定できますが、サンプルのように指定しない場合は、パラメーターDFLTGRPで指定したグループ名となります（※z/OS V2R2以降、デフォルト・パスワードは割り当てられなくなった）。このサンプルでは、GTSOUSERです。このパスワードは期限切れに設定されるため、初回ログオン時にユーザー自身が使いたいものに変更しなければなりません。

TSOオプションを使用すれば、ACCOUNTコマンドによるSYS1.UADSへのユーザー登録は不要になりますが、その代わりに使用するアカウント名とログオン・プロシージャー名を、RACFに一般リソースとしてあらかじめ登録しておかなければなりません。

RACFに一般リソースとしてTSOアカウント名とログオン・プロシージャー名を登録する

//SYSTSIN  DD *
RDEFINE ACCTNUM TEMPUSER UACC(READ)
RDEFINE TSOPROC USRACCNT UACC(READ)
RLIST ACCTNUM TEMPUSER
RLIST TSOPROC TMPACCNT
//

//SYSTSIN DD *

RDEFINE ACCTNUM TEMPUSER UACC(READ)

RDEFINE TSOPROC USRACCNT UACC(READ)

RLIST ACCTNUM TEMPUSER

RLIST TSOPROC TMPACCNT

一般リソースとして、アカウント名TEMPUSERおよびログオン・プロシージャー名TMPACCNTを登録するサンプルです。

なおRACFのTSOオプションでは、TSOのACCOUNTコマンドにあるJCL、OPERといった属性は指定できません。そのためTSOにログオンしてJCLをサブミットできるようにするには、RDEFINEまたはRALTERコマンドで、一般リソースTSOAUTHクラスのJCLプロファイルにユニバーサル・アクセス権READを与えます。

ユニバーサル・アクセス権をNONEにして、JCLサブミットを許可するユーザーを個別に設定する方法もありますが、JCLのサブミットは一般のユーザーにも通常与える権限なので、ユニバーサル・アクセスはREADにして、JCLサブミットを認めないユーザーを個別に設定する方がいいでしょう。

//SYSTSIN  DD *
JCLサブミット可をデフォルト設定にする(最初に一度行えばよい)
RDEFINE TSOAUTH JCL UACC(READ)
または
RALTER TSOAUTH JCL UACC(READ)

JCLサブミットを認めないユーザーの追加(必要の都度)
PERMIT JCL CLASS(TSOAUTH) ID(TMPUSR4) ACCESS(NONE)

変更したRACFプロファイルをリフレッシュする(RACF稼働中の設定反映)
SETROPTS RACLIST(TSOAUTH) REFRESH

変更したプロファイル内容の確認
RLIST TSOAUTH *
//

//SYSTSIN DD *

JCLサブミット可をデフォルト設定にする(最初に一度行えばよい)

RDEFINE TSOAUTH JCL UACC(READ)

または

RALTER TSOAUTH JCL UACC(READ)

JCLサブミットを認めないユーザーの追加(必要の都度)

PERMIT JCL CLASS(TSOAUTH) ID(TMPUSR4) ACCESS(NONE)

変更したRACFプロファイルをリフレッシュする(RACF稼働中の設定反映)

SETROPTS RACLIST(TSOAUTH) REFRESH

変更したプロファイル内容の確認

RLIST TSOAUTH *

RACFに新しいユーザーを登録するが、TSOアカウントはACCOUNTコマンドで登録する

//TSOBATCH EXEC PGM=IKJEFT01
//SYSTSPRT DD SYSOUT=*
//SYSUADS  DD DISP=SHR,DSN=SYS1.UADS
//SYSTSIN  DD *
ACCOUNT
ADD (TMPUSR2 * TEMPUSER TMPACCNT) JCL
END
ADDUSER TMPUSR2 DFLTGRP(GTSOUSER) NAME('Temporary User-2')
//

//TSOBATCH EXEC PGM=IKJEFT01

//SYSTSPRT DD SYSOUT=*

//SYSUADS DD DISP=SHR,DSN=SYS1.UADS

//SYSTSIN DD *

ACCOUNT

ADD (TMPUSR2 * TEMPUSER TMPACCNT) JCL

END

ADDUSER TMPUSR2 DFLTGRP(GTSOUSER) NAME('Temporary User-2')

ACCOUNTコマンドを使う場合は、アカウント名とログオン・プロシージャー名を、RACFの一般リソースとして登録しておく必要はありません。