Function Usageとは
Function Usage (機能使用法) とは、ユーザーIDによるIBM i 上のオブジェクト単位でのアクセス権限に追加して、セキュリティ的に重要な機能については個別に使用できる・できない等の権限管理を追加したもの です。オブジェクトに対するアクセス権限があっても機能使用構成(Function Usage)で許可されていないと、該当の操作が不可、とされます。
記憶ではFunction Usageが最初に実装されたのはNavigator for i の前身ともいえるIBM i Access for WindowsのiSeries Navigator(こちらはWindowsデスクトップアプリでした。名前ややこしい(^^;)だったと思います。
GUIでホイホイできてしまうので危ないよね、という事もあったのかと勝手に解釈しています。
Navigator for i の Function Usage
以下のページに一覧・説明があります。
IBM Navigator for i - Function Usage IDs
https://www.ibm.com/support/pages/ibm-navigator-i-function-usage-ids
上記のページの冒頭に以下の注釈がありました。
QIBM_NAV_ALL_FUNCTIONは、現在デフォルトでDENIEDで出荷されています。
これは、以前のHTTPグループPTFレベルで出荷時に設定されていたALLOWEDからの変更です。*SECOFRクラスのユーザーと*ALLOBJ権限を持つユーザーはIBM i Navigator for iにアクセスできます。その他のプロファイルでは、Navigator for i にアクセスするには上記(または下記に説明する)Function Usageの変更が必要です。アクセス権限付与の推奨は、(下記の)必要な機能の特定の機能IDにのみユーザー許可を追加することです。
| Function ID | カテゴリー | デフォルト権限 | *ALLOBJ権限を持つユーザーに対するデフォルトアクセス |
|---|---|---|---|
| QIBM_NAV_WRK_MGT | 実行管理 Work Management | *ALLOWED | *USED |
| QIBM_NAV_CONF_SRV | 構成・サービス Configuration & Service | *ALLOWED | *USED |
| QIBM_NAV_SYSTEM | システム System | *ALLOWED | *USED |
| QIBM_NAV_MONITORS | モニター Monitors | *ALLOWED | *USED |
| QIBM_NAV_NETWORK | ネットワーク Network | *ALLOWED | *USED |
| QIBM_NAV_SECURITY | セキュリティ Security | *ALLOWED | *USED |
| QIBM_NAV_SECURITY_EIM | EIM関連セキュリティ EIM related Security | *ALLOWED | *USED |
| QIBM_NAV_USERS_GROUPS | ユーザー管理 Users and Groups | *ALLOWED | *USED |
| QIBM_NAV_PDI | パフォーマンス Performance | *ALLOWED | *USED |
| QIBM_NAV_FILE_SYSTEM | ファイルシステム管理 File System | *ALLOWED | *USED |
| QIBM_NAV_SVRSHRS | ネットサーバー管理 NetServer Shares | *ALLOWED | *USED |
| QIBM_NAV_FS_UPLD | ファイルアップロード File System Upload | *DENIED2 | *USED |
| QIBM_NAV_FS_DOWNLD | ファイルダウンロード File System Download | *ALLOWED | *USED |
| QIBM_NAV_SERVICEABILITY | サービス実行 Serviceability | *DENIED | *USED |
| QIBM_NAV_CUSTOM_CHARTS | カスタムチャート Custom Charts | *ALLOWED | *USED |
| QIBM_NAV_ALL_FUNCTION | NAV4i使用権限 Use of IBM Navigator for i functions | *DENIED1 | *USED |
| QIBM_NAV_AJS | 拡張ジョブスケジューラー Advanced Job Scheduler |
Navigator for i でのFunction Usage 操作例
Navigator for i で セキュリティ → 権限の使用 を開きます
Navigator for iではFunction Usageが 権限の使用 と訳されていますね・・(わかりにくいです(^^;)
Function Usageの一覧が取得されます。例のシステムはIBM i 7.6で合計122個のFunction Usageが設けられていることが分かります。(画面下部の総行数から)
Navigator for i 関連のFunction Usageだけ選択するには、機能IDを QIBM_NAV でフィルターすればOKです。17行だけ表示されました。
任意の機能IDを選択して、右クリック → 変更 を選択すると下記のウィンドウが表示されます。
ここでデフォルトの権限の設定変更や、個々のユーザーIDの許可・不許可等を追加できます。例ではユーザーGOMA2はアクセス不可リストに追加しています。
*USERクラスのユーザーIDにNavigator for iの特定機能を使用許可する手順
*USERクラスのユーザー(例 QUSERや個別作成した業務利用の一般ユーザー向けのIDなど)にNavigator for i の特定の機能を利用させる手順の記載もありました。
前提として、*USERクラスのユーザーはQIBM_NAV_ALL_FUNCTION が *DENIED に設定されていてデフォルトではNavigator for i にアクセスできません。
以下の手順で設定を行います。
1.*USERクラスのユーザープロファイルのQIBM_NAV_ALL_FUNCTIONS Function ID を *ALLOWED に変更する
2.上記のユーザーに使用させたくないNavigator for i のFunction IDについては個々に *DENIED で追加する
3.上記のユーザーに使用許可するNavigator for i のFunction IDについて *ALLOWEDを追加する