[ 前のページ ] [ 次のページ ] [ 目次 ] [ 索引 ] [ DOC Home ]

1 ACL (アクセス制御リスト)エディタ

1.1 ACLエディタについて

アクセス制御リスト・エディタ(ACLエディタ)は,アクセス制御リスト(ACL) の作成と保守で使用するスクリーン・エディタです。ACLは,アクセス制御エントリ(ACE) の集まりです。ACEは,オブジェクトへのアクセスを特定のユーザまたは特定のユーザ・ グループに対して許可または禁止します。(ACE のエントリと表示形式についての説明は,第1.3節を参照してください。)ACL を使用すれば,省略時のUIC (ユーザ識別コード) に基づく保護よりも厳密にアクセスを制御できます。

ACE内に格納できるACEの数やACEの文字数に制限はありません。ただし, ACLが大きくなると,オブジェクトへのアクセスに時間がかかります。実際には,ACL のサイズはメモリの容量で限定されます。

ACL内でのACEの順序は重要です。個々のユーザに対してオブジェクトのアクセスを許可または禁止するACE は,ユーザの属するクラスに対するACEの前に格納しなければなりません。 たとえば,あるシステム・オブジェクトに対して,SMITH というユーザには読み込みアクセスを許可し,その他のユーザにはすべてのアクセスを禁止する場合, その他のユーザのACEの前にユーザSMITH のACEを格納しなければなりません。

ACLを指定できるオブジェクト・クラスは次のとおりです。


機能
コモン・イベント・フラグ・クラスタ
デバイス
ファイル
グループ・グローバル・セクション
論理名テーブル
キュー
資源ドメイン
セキュリティ・クラス
システム・グローバル・セクション
ボリューム

1.2 ACLエディタの使用法の要約

アクセス制御リスト・エディタ(ACLエディタ)は,指定したオブジェクトに対するアクセス制御リスト(ACL) を作成または変更します。

形式

EDIT/ACL   オブジェクト指定
パラメータ
オブジェクト指定

アクセス制御リストを作成または変更するオブジェクトを指定します。 存在しないアクセス制御リストを指定した場合には,新しいアクセス制御リストが作成されます。

指定できるオブジェクト・クラスは次のとおりです。


機能
コモン・イベント・フラグ・クラスタ
デバイス
ファイル
グループ・グローバル・セクション
論理名テーブル
キュー
資源ドメイン
セキュリティ・クラス
システム・グローバル・セクション
ボリューム

省略時のオブジェクト・クラスはファイルです。ファイルは,Files-11オン・ ディスク構造レベル2または5でフォーマットされたボリユーム上のファイルでなければなりません。 ファイル以外のオブジェクトを指定する場合には,/CLASS 修飾子を使用して,オブジェクト・クラスを指定しなければなりません。

ACLエディタでは,省略時のファイル・タイプは設定されていません。ACL エディタがヌル・ファイル・タイプを使用しないようにするには,コマンド行にファイル・ タイプを指定しなければなりません。オブジェクトがディレクトリの場合には,.DIR ファイル・タイプを指定します。

オブジェクト指定でワイルドカード文字を使用することはできません。

使用法の要約

ACLエディタでACLを作成または変更できるオブジェクトは,自分で所有しているオブジェクト, 制御アクセスが可能なオブジェクト, BYPASS,GRPPRV,SYSPRVなどの特権によってアクセスが可能なオブジェクトです。ACL エディタを起動するには,DCLのEDIT/ACLコマンドを使用します。ACL を編集するオブジェクトの名前をコマンド行に指定してください。 たとえば,INVENTORY.DATファイルのACLを作成する場合は,次のコマンドを入力します。
     $ EDIT/ACL INVENTORY.DAT

EDIT/ACLコマンドまたはSET SECURITY/EDITコマンドを使用してACLエディタを起動できます。SET SECURITY コマンドについての詳しい説明は,『OpenVMS DCLディクショナリ』および『OpenVMS Guide to System Security』を参照してください。

省略時の設定では,ACLエディタはファイルのACLを作成し,変更します。 ファイル以外のオブジェクトのACLを作成するには(たとえば,キューのACL を作成する場合),ACLエディタを起動するときに,オブジェクト・クラスを指定しなければなりません。 たとえば,次のコマンドは,DAPRというディスクのACL を作成するためにACLエディタを起動します。

     $ EDIT/ACL/OBJECT_TYPE=DEVICE DAPR

オブジェクトのACLがすでに存在する場合には,ACLエディタはそのACLを表示します。 キーパッド編集コマンドを使用して,ACL内の1つ以上のACE を追加,置換,または削除できます(第A.1 節を参照)。編集セッションを終了するには,Ctrl/Zを押します。編集結果を保存せずに編集セッションを終了する場合には,GOLD キー(PF1) を押し,Ctrl/Zを押します。

ACLエディタで使用できるキーパッド編集コマンドについての説明は,付録 A を参照してください。ACLセクション・ ファイルを変更してACLエディタを変更する方法については,付録 B を参照してください。


注意
DCLプロンプト($)に対してコマンドを入力したり,ACL を直接起動する他に,ACLエディタへの呼び出し可能インタフェース(ACLEDIT$EDIT ルーチン)を使用してACL を変更することもできます。ACLEDIT$EDITルーチンの使い方については, 『OpenVMS Utility Routines Manual』を参照してください。

1.3 ACEの形式

この節では,次のアクセス制御エントリ(ACE)のエントリと表示形式について説明します。

これらのACEの使用法については,『OpenVMS Guide to System Security』を参照してください。 上記以外のACEも使用できます。たとえば,アプリケーションでアプリケーションACE を使用すれば,あるファイルに関連するアプリケーション固有の情報を格納できます。ACE の格納のために使用する内部形式については, 『OpenVMS Programming Concepts Manual』を参照してください。

アラームACE

アラーム・メッセージをすべてのセキュリティ・オペレータ・ターミナルに送信するためのアクセス基準を指定します。

省略時の設定では,ACLアラームは許可されています。しかし,アラームはシステム・ セキュリティ監査ログ・ファイルに書き込まれません。アラームACE によって保護されるファイルが存在し,メッセージをログ・ファイルに記録したい場合には, アラームACEのかわりに監査ACEを使用してください。

形式

    (ALARM=SECURITY [,OPTIONS=属性],
   ACCESS=アクセス・タイプ[+アクセス・タイプ...])

パラメータ

オプション

次の属性を指定します。

Default 同一ディレクトリ内に作成されたすべてのファイルのACL にACEを登録することを指定する。 エントリが伝搬される場合には,Default属性は, 作成されたファイルのACEから削除される。この属性はディレクトリ・ ファイルに対してのみ使用できる。
Hidden このACEを追加したアプリケーションだけがACE を変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが, アプリケーションACEを隠すことを目的にしている。 隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACE を表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも,SECURITY特権が必要である。ACL エディタがACEを表示するのは,ACEの変更を容易にするためではなく,ACL 内でのACEの相対的な位置を示すためである。隠しACE を作成するには,アプリケーションで$SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには, 次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。 指定できるアクセス・タイプについては,『OpenVMS Guide to System Security』を参照してください。アラームACEを有効にするには,アクセス・ タイプとともにキーワードとしてSUCCESSとFAILUREのどちらか一方, または両方を指定しなければなりません。たとえば,監査基準が「オブジェクトに対する書き込みアクセス権取得の失敗」である場合には, 次のアラームACE を指定します。
     (ALARM=SECURITY, ACCESS=WRITE+FAILURE)

監査ACE

監査メッセージがシステム・セキュリティ監査ログ・ファイルに書き込まれるアクセス基準を指定します。 メッセージが記録されるのは,DCLのSET AUDIT/AUDIT/ENABLE=ACLコマンドを使用してACL監査が許可されている場合だけです。

形式

    (AUDIT=SECURITY [,OPTIONS=属性]
   ,ACCESS=アクセス・タイプ[+アクセス・タイプ...])

パラメータ

オプション

次のいずれかの属性を指定します。

Default 同一ディレクトリ内に作成されたすべてのファイルのACL にACEを登録することを指定する。 エントリが伝搬される場合には,Default属性は, 作成されたファイルのACEから削除される。この属性はディレクトリ・ ファイルに対してのみ使用できる。
Hidden このACEを追加したアプリケーションだけがACE を変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが, アプリケーションACEを隠すことを目的にしている。 隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACE を表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも,SECURITY特権が必要である。ACL エディタがACEを表示するのは,ACEの変更を容易にするためではなく,ACL 内でのACEの相対的な位置を示すためである。隠しACE を作成するには,アプリケーションで$SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには, 次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。 指定できるアクセス・タイプについては,『OpenVMS Guide to System Security』を参照してください。監査ACEを有効にするには,アクセス・ タイプとともにキーワードとしてSUCCESSとFAILUREのどちらか一方, または両方を指定しなければなりません。たとえば,監査基準が「オブジェクトに対する書き込みアクセス権の取得の失敗」である場合には, 次の監査ACEを指定します。
     (AUDIT=SECURITY,ACCESS=WRITE+FAILURE)

作成者ACE

作成者ACEを割り当てるディレクトリ内に作成されたファイルのACLに特別なACE を追加します。作成者ACEが適用されるのは,次の条件が満足される場合だけです。

たとえば,Resource属性が割り当てられた汎用識別子を持つプロセスが, その識別子によって所有されるディレクトリにファイルを作成する場合には, 上記の2つの条件がどちらも満足されます。この場合,システムは新しいファイルのACL の先頭に特別なACEを追加します。親ディレクトリのACL に作成者ACEが登録されている場合には,システムは作成者ACEに指定されたアクセス権を新しいACE に伝搬します。ディレクトリに作成者ACEが登録されていない場合には, システムは制御アクセス権と所有者アクセス権を組み合わせた特別なACE を割り当てます。ACCESS=NONEを指定した作成者ACE を登録すると,特別なACEは追加されません。

作成者ACEはディレクトリ・ファイルにのみ有効です。

詳しくは『OpenVMS Guide to System Security』を参照してください。

形式

    (CREATOR [,OPTIONS=属性[+属性...]]
   ,ACCESS=アクセス・タイプ[+アクセス・ タイプ...])

パラメータ

オプション

次のいずれかの属性を指定します。

Protected 誤って削除されないようにACEを保護する。 保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

アクセス

ファイルに対して有効なアクセス・タイプ(読み込み,書き込み,実行, 削除,制御)を指定します。

省略時の保護ACE

ディレクトリ構造全体で新しいファイルに伝搬されるUICベースの保護を定義します。ACE に指定された保護コードは,ディレクトリに作成される新しいファイルに割り当てられます。 省略時の保護ACEはディレクトリ・ ファイルにのみ適用されます。

システムは省略時の保護ACEを新しいサブディレクトリに伝搬しますが, 保護コードはサブディレクトリに割り当てられません。サブディレクトリには, 親ディレクトリの保護コードを変更したコピーが割り当てられますが, そのコピーでは削除アクセス権が禁止されています。

次の例は省略時の保護ACEを示しています。

     (DEFAULT_PROTECTION,S:RWED,O:RWED,G,W)

ここに示したACEは,システム(S)カテゴリと所有者(O)カテゴリのユーザに対して読み込み, 書き込み,実行,削除アクセス権を許可しますが,グループ・ カテゴリとワールド・カテゴリのユーザにはアクセス権を与えません。 詳しくは『OpenVMS Guide to System Security』を参照してください。

形式

    (DEFAULT_PROTECTION[,OPTIONS=属性[+属性...]],アクセス)

パラメータ

オプション

次のいずれかのオプションを指定します。

Hidden このACEを追加したアプリケーションだけがACE を変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが, アプリケーションACEを隠すことを目的にしている。 隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACE を表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも,SECURITY特権が必要である。ACL エディタがACEを表示するのは,ACEの変更を容易にするためではなく,ACL 内でのACEの相対的な位置を示すためである。隠しACE を作成するには,アプリケーションで$SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには, 次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

アクセス

次に示すUIC保護コードの形式でアクセス権を指定します。

[カテゴリ:許可されるアクセスのリスト(,カテゴリ:許可される
アクセスのリスト,...)]

識別子ACE

特定のユーザまたはユーザ・グループに対して許可するアクセス・タイプを制御します。 次の例は識別子ACEを示しています。

     (IDENTIFIER=SALES,ACCESS=READ+WRITE)

システム管理者は,Authorizeユーティリティ(AUTHORIZE)を使用して,SALES 識別子を特定のユーザ・グループに割り当てることができます。 このようにしておけば,SALES識別子を保有するユーザに対して, INVENTORY.DATファイルへの読み込みアクセス権と書き込みアクセス権が与えられます。

詳しくは『OpenVMS Guide to System Security』を参照してください。

形式

    (IDENTIFIER=識別子[+識別子...] [,OPTIONS=属性[+属性...]],
   ACCESS=アクセス・タイプ[+アクセス・タイプ...])

パラメータ

識別子

オブジェクトへのアクセス権をACEに定義するユーザまたはユーザ・ グループを指定します。システム管理者は識別子を作成または削除し,これらの識別子を保有するユーザを割り当てます。

識別子の種類は次のとおりです。

UIC ユーザ識別コード(UIC)を使用した英数字形式の識別子であり, システムの各ユーザを一意的に識別する。システムにアカウントを持つユーザには, たとえば[GROUP1,JONES]や[JONES]などのUIC 識別子が自動的に割り当てられる。したがって,UIC識別子はそれぞれ特定のユーザを識別する。
General セキュリティ管理者がライト・リストに定義する識別子であり, システムのユーザ・グループを識別する。汎用識別子は,1 文字以上の英字を含む1〜31文字の英数字文字列である。 使用できる文字はA〜Zの英字,ドル記号($),アンダスコア(_),0〜9 の数字である。たとえば,92SALES$,ACCOUNT_3,PUBLISHINGなどを使用できる。
Environmental システムへの初期エントリをもとに,ユーザの種類を記述する識別子。 環境識別子はシステム定義識別子とも呼ぶ。環境識別子は『OpenVMS Guide to System Security』に説明されているログイン・クラスに直接対応する。 環境識別子にはbatch,network,interactive,local,dialup,remoteがある。

詳しくは『OpenVMS Guide to System Security』を参照してください。

オプション

次のいずれかの属性を指定します。

Default 同一ディレクトリ内に作成されたすべてのファイルのACL にACEを登録することを指定する。 エントリが伝搬される場合には,Default属性は,作成されたファイルのACE から削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。

Default属性を持つ識別子ACEはアクセス権にまったく効果がありません。

Hidden このACEを追加したアプリケーションだけがACE を変更しなければならないことを示す。 Hidden属性は,どのACEタイプに対しても使用できるが,アプリケーションACE を隠すことを目的にしている。隠しACEを削除または変更するには, SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACE を表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも,SECURITY特権が必要である。ACL エディタがACEを表示するのは,ACEの変更を容易にするためではなく,ACL 内でのACEの相対的な位置を示すためである。隠しACE を作成するには,アプリケーションで$SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには, 次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

アクセス

オブジェクト・クラスに対して有効なアクセス・タイプを指定します。 指定できるアクセス・タイプについては,『OpenVMS Guide to System Security』を参照してください。

サブシステムACE

サブシステムACEが適用されるイメージを実行している間,追加識別子をプロセスに与えます。 イメージの実行アクセス権を持つユーザは,保護されたサブシステム内のオブジェクト, たとえばデータ・ファイルやプリンタなどをアクセスできますが, このようなアクセスが可能なのは,サブシステム・ イメージを実行している間だけです。サブシステムACEは実行可能イメージにのみ適用されます。

次の例はサブシステムACEを示しています。

     (SUBSYSTEM, IDENTIFIER=ACCOUNTING)

形式

    (SUBSYSTEM,[OPTIONS=属性[+属性...],]IDENTIFIER=識別子
   [,ATTRIBUTES=属性[+属性...]] [,IDENTIFIER=識別子[,ATTRIBUTES=属
   性[+属性...]],...])

パラメータ

オプション

次のいずれかの属性を指定します。

Protected 誤って削除されないようにACEを保護する。 保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには,SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。


SET SECURITY/ACL/DELETE
SET SECURITY/LIKE
SET SECURITY/DEFAULT
Nopropagate 通常はACEを伝搬する操作でACE をコピーできないことを示す。たとえば,SET SECURITY /LIKEコマンドやSET SECURITY/DEFAULTコマンドでは,ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=None を使用してACLエントリを作成することは可能であるが, 属性は表示されない。None属性と組み合わせて他の属性を指定した場合には, 他の属性の方が優先する。None属性を指定することは, フィールドを省略することと同じである。

識別子

オブジェクトへのアクセスを許可または禁止するユーザまたはユーザ・ グループを指定する汎用識別子。1文字以上の英字を含む1〜31文字の英数字文字列です。 使用できる文字はA〜Zの英字,ドル記号($),アンダースコア(_) ,0〜9の数字です。詳しくは『OpenVMS Guide to System Security』を参照してください。

サブシステムACEでは,2つ1組の複数の識別子ペアを組み合わせて指定でき, 各識別子に特殊な属性を割り当てることができます。サブシステムが正しく機能するために, 複数の識別子が必要な場合があります。次の例を参照してください。

     (SUBSYSTEM,IDENTIFIER=MAIL_SUBSYSTEM,ATTRIBUTE=NONE,IDENTIFIER=BLDG5,ATTRIBUTE=NONE)

属性

識別子をライト・リストに追加する場合や,識別子をユーザに与えるときに指定する識別子属性。 次の属性を指定できます。

Resource 識別子の保有者がディスク領域を識別子に請求することを許可する。 ファイル・オブジェクトに対してのみ使用できる。

1.4 ACLエディタの修飾子

ACLエディタを起動する場合には,オブジェクト・クラスと編集モード(prompt またはnoprompt)を示す修飾子をコマンド行に指定できます。また, 修飾子を使用して,ジャーナル・ファイルの名前を指定したり,ACL 編集セッションを回復することもできます。この節では,次に示す修飾子について説明します。

修飾子 説明
/CLASS ACLを変更するオブジェクトのクラスを指定する。
/JOURNAL 編集セッションでジャーナル・ ファイルを作成するかどうかを制御する。
/MODE 編集セッションでプロンプトを使用するかどうかを指定する。
/OBJECT_TYPE ACLを変更するオブジェクトのクラスを指定する。
/RECOVER 編集セッションを開始するときにジャーナル・ファイルからACLを復元する。

この節で説明する修飾子はすべて,SET SECURITY/EDITコマンドでも使用できます。EDIT/ACL コマンドの代わりにSET SECURITY/EDITコマンドを使用してもかまいません。 構文はどちらのコマンドも同じです。

/CLASS

ACLを変更するオブジェクトのクラスを指定します。オブジェクトがファイルである場合を除き, オブジェクト・クラスを指定しなければなりません。

形式

    /CLASS   =オブジェクト・クラス

説明

ファイル以外のオブジェクトのACLを変更するには,/CLASS修飾子を使用してオブジェクト・ クラスを指定しなければなりません。次のいずれかのクラスを指定してください。

CAPABILITY ベクタ命令の処理機能など, システムの機能を示す。現在,CAPABILITYクラスに対して定義されているオブジェクト名はVECTOR だけであり,システムのベクタ・プロセッサのアクセスを管理する。 機能名はオブジェクト名パラメータとして指定しなければならない。
COMMON_ EVENT_CLUSTER コモン・イベント・フラグ・クラスタ
DEVICE ディスク・ドライブやテープ・ ドライブなどのデバイス。
FILE ファイルまたはディレクトリ・ファイル。 これは省略時の設定である。
GROUP_ GLOBAL_SECTION グループ・グローバル・セクション。
LOGICAL_NAME_TABLE 論理名テーブル。
QUEUE バッチ・キューまたはデバイス(プリンタ,サーバ,ターミナル)・キュー。
RESOURCE_DOMAIN 資源ドメイン。
SECURITY_CLASS セキュリティ・クラス。
SYSTEM_ GLOBAL_SECTION システム・グローバル・セクション。
VOLUME ディスクまたはテープ・ ボリューム。

  1. $ EDIT/ACL/CLASS=DEVICE WORK1
    
    この例のコマンドは,WORK1というオブジェクトがデバイスであることを指定しています。

  2. $ EDIT/ACL/CLASS=QUEUE FAST_BATCH
    
    この例のコマンドはFAST_BATCHキューのACLを作成します。ジェネリック・ キューのACLを作成する場合には,ジョブを登録できるすべての実行キューに対しても, 同じACLを作成しなければなりません。

/JOURNAL

編集セッションでジャーナル・ファイルを作成するかどうかを制御します。

形式

    /JOURNAL [=ファイル指定]

    /NOJOURNAL

説明

省略時の設定では,ACLエディタは編集セッションで実行された変更結果のコピーを登録したジャーナル・ ファイルを作成します。ジャーナル・ ファイルの名前はオブジェクトの名前と同じであり,ファイル・タイプは.TJL です。別のファイル名を指定する場合には,ワイルドカード文字は使用できません。

ジャーナル・ファイルの作成を禁止するには,/NOJOURNAL修飾子を指定します。

編集セッションが異常終了した場合,/RECOVER修飾子を使用してACLエディタを起動することにより, 強制終了されたセッションで実行した変更結果を回復できます。

  1. $ EDIT/ACL/JOURNAL=COMMONACL.SAV MECH1117.DAT
    
    このコマンドでは,COMMONACL.SAVという名前のジャーナル・ファイルが作成されます。 ファイルにはACLのコピーが記録され,さらにMECH1117.DAT ファイルのACLを作成するために使用した編集コマンドも記録されます。

    編集セッションに割り込みがかかった場合には,/RECOVER修飾子にCOMMONACL.SAV を指定することにより,変更結果を回復できます。

  2. $ EDIT/ACL/CLASS=RESOURCE/JOURNAL=ZERO_RESOURCE.TJL [0]
    
    資源ドメイン[O]のACLを変更すると,ACLエディタは省略時のデバイスにファイル [0].TJLを作成しようとし,その操作は失敗します。資源[O]のACL を作成するには,ジャーナル・ファイルに対して別の名前を指定するか( この例を参照),または/NOJOURNAL修飾子を使用してジャーナル・ファイルを作成しないようにしなければなりません。

/MODE

編集セッションでのプロンプトの使用を指定します。

形式

    /MODE   =オプション

説明

省略時の設定では,ACLエディタは各ACEに対してプロンプトを表示し,ACE 内の一部のフィールドに対して値を表示します(/MODE=PROMPT)。 プロンプトの表示を禁止するには,コマンド行に/MODE=NOPROMPTを指定します。

    $ EDIT/ACL/MODE=NOPROMPT WEATHERTBL.DAT
    
    このコマンドでは,WEATHERTBL.DATファイルのACLを作成するためにACL編集セッションを開始します。/MODE=NOPROMPT 修飾子が指定されているため,ACL エントリの入力でプロンプトは表示されません。

/OBJECT_TYPE

/OBJECT_TYPE修飾子は,/CLASS修飾子に変わりました。

/RECOVER

編集セッションを開始するときにジャーナル・ファイルからACLを復元します。

形式

    /RECOVER [=ファイル指定]

    /NORECOVER

説明

/RECOVER修飾子は,ACLエディタがジャーナル・ファイルからACLを復元しなければならないことを指定します。ACL エディタは,直前のACL編集セッションが異常終了したときの状態にACL を復元します。

省略時の設定では,ジャーナル・ファイルの名前はオブジェクトと同じ名前であり, ファイル・タイプは.TJLです。ACLエディタを起動するときに(/JOURNAL を使用して)ジャーナル・ファイルに意味のある名前を付けた場合には,/RECOVER 修飾子にもそのファイル名を指定してください。

    $ EDIT/ACL/JOURNAL=SAVEACL MYFILE.DAT
            .
            .
            .
         User creates ACL until system crashes
            .
            .
            .
         $ EDIT/ACL/JOURNAL=SAVEACL/RECOVER=SAVEACL MYFILE.DAT
            .
            .
            .
         ACL is restored and user proceeds with editing until done
            .
            .
            .
         ^Z
         $
    
    この例の最初のコマンドはACL編集セッションを開始し,セッションが異常終了したときに, ジャーナル・ファイルSAVEACL.TJLを保存しなければならないことを指定します。 システム・クラッシュが発生するまで,セッションは継続されます。

    次のコマンドは,ジャーナル・ファイルSAVEACL.TJLを使用して紛失したセッションを復元します。 セッションを終了するには,Ctrl/Zを押します。ACL エディタは編集結果を保存し,ジャーナル・ファイルを削除します。


[ 前のページ ] [ 次のページ ] [ 目次 ] [ 索引 ] [ DOC Home ]