はじめに
閲覧ありがとうございます。
この記事は IBM i 若手技術者コミュニティ にて、
「IBM i 初学者向けの教育に役立つ資料作成」 をテーマにした教育資料です。
ここでは 「オブジェクトの権限認可」 について説明しています。
IBM i 初学者向けの教育に役立つ資料作成 にて、
ほかの教育資料も公開しています。
ぜひ覗いてみてください!
権限認可について
ユーザーがオブジェクトに対して操作を行おうとしたとき、
操作を行うことができるか権限認可のチェックが行われます。
チェックされる内容は以下の4つです。
1.オブジェクトの所有者
ユーザーがオブジェクトの所有者である場合、
ユーザーはオブジェクトに対して全ての実行権限を持ちます
2.オブジェクト権限
オブジェクトごとに、ユーザーに対する権限を設定することができます
3.権限リスト
複数のオブジェクトに共通のオブジェクト権限を設定したい場合、
その権限設定を権限リストとして保管・管理することができます
4.ユーザーの特殊権限
ユーザーが*ALLOBJの特殊権限を持つ場合、
オブジェクトに対して全ての実行権限を持ちます
適切な権限付与の仕方
ユーザーの役割に応じて必要最小限の権限を付与することが推奨されます。
また、ユーザーひとりひとりに権限を設定するのではなく、
ユーザーが所属するグループユーザーに対しての権限付与や、
権限リストを用いることで権限認可の設定を軽減することができます。
反対に非推奨となる設定は以下が挙げられます。
・ユーザーひとりひとりに権限付与する
・ユーザー個人に特殊権限(*ALLOBJ)を持たせる ※システム管理者は除きます
・オブジェクト権限(または権限リスト)の全ユーザー(*PUBLIC)に対する権限を緩くする
権限設定の参考
オブジェクトに設定される権限設定について例を挙げます。
以下の図1では「DUMMY」という名前のオブジェクトの所有者が「TESTGRP」になっており、
すべてのユーザー(*PUBLIC)は操作が許可されていない(*EXCLUDE)設定になっています。
※オブジェクトの権限はEDTOBJAUTコマンドで確認可能
* 図1.オブジェクトの権限設定例
権限リストは「TESTAUTL」は以下の図2のように設定されており、
「TESTUSR」というユーザーはすべての権限を持つがそれ以外のユーザーは
権限が許可されていない設定になっています。
* 図2.権限リスト設定例
上記の権限設定を元に「DUMMY」オブジェクトの権限認可を整理すると、
「DUMMY」オブジェクトを操作することが可能なユーザーは以下の3通りになります。
- 所有者である「TESTGRP」、あるいは「TESTGRP」がグループユーザーに指定されているユーザー
- 権限リストで許可されている「TESTUSR」、あるいは「TESTUSR」がグループユーザーに指定されているユーザー
- 特殊権限の「*ALLOBJ」を持つユーザー
当記事の著作権はIBMに帰属します。詳細はこちらを参照ください。