IBM i の特殊権限とは？

IBM i にはAS/400時代から存在する特殊権限というセキュリティ強化のための機能があります。システムセキュリティ上で重要と考えられる操作を行うには、OSコマンドやテーブル、ファイル等のオブジェクトに対するアクセス権限に加えて、以下のような特殊権限が無いと操作を実行できません。

特殊権限とは

特殊権限	読み	説明
*ALLOBJ	オール・オブジェ (*ALL OBJECTの略）	*ALLOBJ特殊権限をもつユーザーは、オブジェクトがそのユーザーに対して権限を与えているかどうかに関わらず、システム上の全てのオブジェクトにアクセス可能となる。また、他のユーザーに対しオブジェクトの操作権限を付与することができる。但し他の特殊権限を必要な操作は実行できない。
*AUDIT	オーディット	機密保護監査の設定を変更可能。*ALLOBJ, *SECADM, AUDITを持つユーザーは他のユーザーにAUDIT権限を付与可能。
*IOSYSCFG	アイ・オー・シス・コンフィグ（I/O SYSTEM CONFIGURATIONの略）	通信構成の作成、変更を実行する事ができる。
*JOBCTL	ジョブ・コントール(*JOB CONTROLの略)	ジョブの実行属性、ジョブ待ち行列、スプール出力待ち行列等の制御を行なう事が可能。サブシステムの停止、起動も可能。
*SAVSYS	セーブ・シス (SAVE SYSTEMの略)	システム上の全てのオブジェクトに対し、保管・復元、記憶域（ディスク上）からの開放が可能
*SECADM	セック・アダム (SECURITY ADMINISTRATIONの略)	SECADM特殊権限を持つユーザーは全てのユーザープロフィールの作成・変更・削除が可能。SECADMおよびALLOBJを持つユーザーは他のユーザーにSECADM権限を付与する事が可能。
*SERVICE	サービス	システムサービスツール(SST)を開始するための権限
*SPLCTL	スプール・コントロール (SPOOL CONTROLの略)	他のユーザーが作成したものも含め、スプールファイル（印刷データ）の制御を実行可能。

特殊権限 *ALLOBJ で可能となる操作

・OS上に存在するすべてのオブジェクトに対するアクセスが可能となる。
　仮にそのユーザーがあるオブジェクトに対して *EXCLUDE 権限となっている場合で、 *ALLOBJ 特殊権限を付与されると、ユーザーはそのオブジェクトにアクセス可能となり、あらゆる操作（属性の変更や削除など）が可能となります。

・ただし、操作に他の特殊権限が必要となる一部の操作については*ALLOBJ権限だけでは実行できないものがあります。

・これ以下にあるような特殊権限の必要な操作は*ALLOBJだけでは実行できません。
例としてユーザーID（ユーザープロフィール）の作成・変更・削除は＊SECADM権限を必要とする操作です。

特殊権限　*SECADM で可能となる操作

・OS上に存在するユーザーID(ユーザー・プロファイル *USRPRF）の作成、削除

・ユーザー・プロファイルをロック、ロック解除するコマンド
CHGUSRPRFコマンドでプロファイル状況を *ENABLE/*DISABLEに変更する

・*SEC属性のシステム値の変更
CHGSYSVAL　　SYSVAL(*SEC属性）

・システム値　デフォルトプリンター(*ALLOBJ権限も必要)
CHGSYSVAL SYSVAL(QPRTDEV)

・IPL属性の変更・表示(*ALLOBJ権限も必要）
CHGIPLA, DSPILPA

・文書またはフォルダーに対する権限の表示
WRKFLR, WRKDOC

・文書フォルダーの削除
WRKFLR -> 4削除

*ALLOBJ または *SECADM　特殊権限が必要なコマンド
ADDDIRE, CHGSYSDIRA, RNMDIRE,
WRKDIRE(自分の所有ディレクトリ外に対して）

特殊権限　*SECADM で可能となる操作

ユーザーID(ユーザー・プロファイル *USRPRF）を変更する以下のコマンド
ADDDIRSHD, CHGDIRE(自分以外のユーザーに対して）, CHGDIRSHD,
CPYFRMDIR, CPYTODIR, RMVDIRE, RMVDIRSHD, WRKDIRLOC, WRKDIRSHD

・SMTPの設定変更
WRKNAMSMTP

・システムへのアクセス・コードの追加および除去
ADDACC, RMVACC

・ユーザーのアクセス・コード権限の付与および除去
GRTACCAUT, RMVACCAUT

・SSL関連システム値の変更
CHGSYSVAL システム値 QSSLCSL, QSSLCTL