| Knowhow Menu |  |
|
||||||
| System i Security Q&A | ||||||||
|
|
||||||||
| セキュリティについてのQ&A集です。 基礎編から実務編までを一挙公開いたします。 セキュリティ運用にお役立てください。 |
||||||||
|
|
||||||||
【基礎編】
| Q1. A1. |
ユーザープロファイルの一覧を作成するには? DSPUSRPRF USRPRF(*ALL) DSPAUTUSR SEQ(*USRPRF) DSPOBJD OBJ(*ALL) OBJTYPE(*USRPRF) |
||||||||||||||||||||||||||||||||||||||||
| Q2. A2. |
パスワードの変更状況一覧を作成するには? DSPUSRPRF USRPRF(*ALL) TYPE(*PWDINFO) |
||||||||||||||||||||||||||||||||||||||||
| Q3. A3. |
共通認可の一覧を作成するには? PRTPUBAUT OBJTYPE(xxxxx) LIB(xxxx) |
||||||||||||||||||||||||||||||||||||||||
| Q4. A4. |
私用認可の一覧を作成するには? PRTPVTAUT OBJTYPE(xxxx) LIB(xxxxx) AUTTYPE(*ALL) |
||||||||||||||||||||||||||||||||||||||||
| Q5. A5. |
システム・セキュリティー属性を印刷するには? PRTSYSSECA |
||||||||||||||||||||||||||||||||||||||||
| Q6. A6. |
セキュリティ情報を保管するには? 以下のコマンドで保管します。 システム値の保管:SAVSYS,SAVSYSINF(V5R4以降) ユーザープロファイルの保管:SAVSYS,SAVSECDTA |
||||||||||||||||||||||||||||||||||||||||
| Q7. A7. |
JOBQ,OUTQの私用認可一覧を作成するには? PRTQAUT |
||||||||||||||||||||||||||||||||||||||||
| Q8. A8. |
パスワードがユーザーIDになっているユーザーを調べるには? ANZDFTPWD |
||||||||||||||||||||||||||||||||||||||||
| Q9. A9. |
*ALLOBJ権限をもつユーザーをリストアップするには? PRTUSRPRF TYPE(*ALL) SELECT(*SPCAUT) SPCAUT(*ALLOBJ) |
||||||||||||||||||||||||||||||||||||||||
| Q10. A10. |
ユーザープロファイルを最後に保管した日を調べるには? DSPOBJD OBJ(QSYS/QSAVUSRPRF) OBJTYPE(*DTAARA) DETAIL(*FULL)で保管日を参照してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q11. A11. |
借用権限の設定状況を調べたい。 Convert program attr - TAA (CVTPGMA) 選択項目を入力して,実行キーを押してください。 Program name . . . . . . . . . . > *ALL 名前,総称* , *ALL Library name . . . . . . . . . > OPEKIT 名前 , *LIBL, *USRLIBL... Library for PGMATRP file . . . . > QTEMP 名前 , *LIBL Member to receive output . . . . PGMATRP 名前 Replace data in member . . . . . *YES *YES, *NO |
||||||||||||||||||||||||||||||||||||||||
| Q12. A12. |
借用権限では特殊権限も借用できるのか? はい、借用できます。 所有者のオブジェクト権限と特殊権限を借用できます |
||||||||||||||||||||||||||||||||||||||||
| Q13. A13 |
グループプロファイル別のユーザープロファイルの一覧を見たい。 DSPAUTUSR SEQ(*GRPPRF) |
||||||||||||||||||||||||||||||||||||||||
| Q14. A14 |
ユーザープロファイルの作成日を調べるには? DSPOBJD OBJTYPE(*USRPRF) OPT=5 |
||||||||||||||||||||||||||||||||||||||||
| Q15. A15 |
特定ユーザーのみパスワード満了間隔を変更したい。 CHGUSRPRF USRPRF(xxxxx) PWDEXPITV(xxx)で変更してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q16. A16. |
グループプロファイルをまとめて変更したい。 @WRKUSRPRF *ALL A変更対象のユーザープロファイルすべてについてOPT=2を入力 Bコマンドラインで、GRPPRF(xxxxx) OWNER(*GRPPRF)を入力し実行キーを押す。 |
||||||||||||||||||||||||||||||||||||||||
| Q17. A17. |
借用権限はどのような時に使用するのか? プログラム実行時に所有者権限が一時的に与えられます。 例えば、ユーザーUSER1が実行するプログラムPGM1からはファイルFILE1をアクセスさせるが、USER1が直接(Ex.QUERY,DFU)FILE1を使用することは制限したい場合に使用します。 借用権限は、オブジェクトタイプ*PGM,*SRVPGM,*SQLPKG,Javaに対して指定できます。 |
||||||||||||||||||||||||||||||||||||||||
| Q18. A18. |
借用権限の制限事項は? @共通認可は借用権限には使用されません。プログラム所有者がオブジェクトに対して私用権限を持っていることが必要です。 Aプログラムの所有者がグループプロファイルのメンバーである場合、グループプロファイルが持つ特殊権限は借用できません。 BIFS上では無効です。 C借用権限で実行されたプログラムの中からSBMJOBした場合は、借用権限は使用されません。 |
||||||||||||||||||||||||||||||||||||||||
| Q19. A19. |
オブジェクトの権限チェックのルールは? 以下の順序でチェックされます。 @ユーザーの*ALLOBJ特殊権限 Aオブジェクトに対するユーザーの特定権限 B権限リスト上のユーザーの権限 Cグループの*ALLOBJ特殊権限 Dオブジェクトに対するグループの特定権限 E権限リスト上のユーザーのグループ権限 Fオブジェクトに対する共通認可 G権限リスト上のオブジェクトに対する共通認可(Fで*PUBLIC *AUTLの場合) Hプログラム所有者の権限(借用権限使用の場合) |
||||||||||||||||||||||||||||||||||||||||
| Q20. A20. |
サインオンエラーを監査したい。 【QHSTログを使用する場合】 DSPLOG MSGID(CPF2234) 【監査ジャーナルを使用する場合】 DSPAUDJRNE ENTTYP(PW) DSPJRN JRN(QAUDJRN) ENTTYP(PW) |
||||||||||||||||||||||||||||||||||||||||
| Q21. A21. |
オブジェクトへの監査をセットするには? CHGOBJAUDを使用してください。 設定内容は、DSPOBJDでオブジェクト監査値を参照してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q22. A22. |
セキュリティ監査がどのように行われているか知るには? DSPSECAUDでシステム値(QAUDCTL,QAUDLVL)、ジャーナルなどの設定値を見ることができます。 但し、*ALLOBJと*AUDITの権限が必要です。 |
||||||||||||||||||||||||||||||||||||||||
| Q23. A23. |
監査ジャーナルの停止方法は? @CHGOBJAUD OBJ(*ALL) OBJAUD(*NONE) Aシステム値 QAUDCTL *NONE |
||||||||||||||||||||||||||||||||||||||||
| Q24. A24. |
CRTLIBのCRTAUTとAUTのちがいは? CRTAUTはそのライブラリーに作成されるオブジェクトの共通認可の権限で、AUTはライブラリー自身の共通認可の権限です。 |
||||||||||||||||||||||||||||||||||||||||
| Q25. A25. |
オブジェクト権限のチェックしたい。 現在、実行中のユーザーについての権限チェックは、CHKOBJで行うことができます。 CHKOBJ OBJ(xxxxx) OBJTYPE(xxxxx) AUT(xxxxx) 権限エラーの場合は、CPF9802が返ってきます。 |
||||||||||||||||||||||||||||||||||||||||
| Q26. A26. |
権限の高いユーザーIDの使用を防止するには? 対話型での使用を禁止しても、*USE権限を持っていればSBMJOBでユーザーIDを使用できます。 つまりバッチでは権限の高いユーザーで実行できてしまいます。 権限の高いユーザーIDについては、*EXCLUDEにしておく必要があります。 |
||||||||||||||||||||||||||||||||||||||||
| Q27. A27. |
ライブラリーの権限とオブジェクトの権限の関係は?
|
||||||||||||||||||||||||||||||||||||||||
| Q28. A28. |
スプールファイルの出力は許可し、参照・変更は許可したくない。 OUTQの権限を*EXCLUDEにして、借用権限を利用すれば可能です。 |
||||||||||||||||||||||||||||||||||||||||
| Q29. A29. |
権限リスト一覧を見るには? WRKAUTL *ALL |
||||||||||||||||||||||||||||||||||||||||
| Q30. A30. |
セキュリティレベル20と30のちがいは? 20と30の違いは、30ではユーザークラス*SECOFR以外のユーザーに*ALLOBJがデフォルトでは認可されないことと、ユーザークラスごとに割り当てられる特殊権限が30の方が少なくなっていることの2点です。 |
||||||||||||||||||||||||||||||||||||||||
| Q31. A31. |
セキュリティレベル30と40のちがいは? セキュリティレベル40ではレベル30の機能に加えて下記のような制約が行われます。 @ユーザーはシステム・インターフェースを直接呼び出すことができません。通常のコマンド、プログラムではないシステムAPIやソフトウェア・ベンダー向けに公開しているAPIを使っても呼び出せるMI命令が制限されます。 Aユーザープロファイルを指定しない省略時のサインオンがでません。 Bサブシステムのワークステーション項目で指定したジョブ記述でUSER(*RQD)が必須になります。(ユーザープロファイルを指定しないサインオンは認めれません) Cバッチジョブを開始する際、ユーザーにジョブ記述の*USE権限が必要(ジョブ記述の*USE権限を持たないユーザーはそのユーザー・プロファイルでジョブを投入できない)対話型ジョブのサインオン時にはユーザー名の入力が不要。 Di5/OSで稼動しているプログラムの状態を「ユーザー状態」(*USER)と「システム状態」(*SYSTEM)に厳密に分け、相互の情報交換(呼び出し時に渡されるパラメーター、メッセージの送受信等)を検知可能にしたり制約したりしています。通常のアプリケーションではこの制約に触れることはありません。 |
||||||||||||||||||||||||||||||||||||||||
| Q32. A32. |
元になる物理ファイルから、あるユーザーの権限を除去した場合、論理ファイルにそのユーザーのアクセス権限がある場合はアクセスできるか? アクセスはできません。物理ファイルにアクセス権限を持たないユーザーはアクセス権限を持つ論理ファイルを介してもアクセスすることはできません。 |
||||||||||||||||||||||||||||||||||||||||
| Q33. A33. |
SBMJOBでのセキュリティチェックはどのように行われるのか? @SBMJOB USER(xxx) 投入ユーザーは指定したユーザーに対して権限チェックがされます。 ASBMJOB JOBD(xxx) JOBQ(xxx) 実行ユーザーはJOBD,JOBQに対して権限チェックがされます。 BSBMJOB USER(*JOBD) 投入ユーザーはJOBDのユーザーに対して権限チェックがされます。(SEC LEVEL=40以上) CSBMJOB INLLIBL(xxx) USER(xxx)に指定したユーザーはINLLIBL(xxx)に指定したライブラリーに対して権限チェックがされます。 |
||||||||||||||||||||||||||||||||||||||||
| Q34. A34. |
ユーザープロファイルがLMTCPB(*YES)になっている場合、借用権限の付いたCLからコマンドラインを表示した時にコマンドは実行できるのか? コマンドは実行できません。 |
||||||||||||||||||||||||||||||||||||||||
| Q35. A35. |
所有者がQDFTOWNになっているオブジュクトを調べるには? DSPUSRPRF USRPRF(QDFTOWN) TYPE(*OBJOWN) WRKOBJOWN USRPRF(QDFTOWN) |
||||||||||||||||||||||||||||||||||||||||
| Q36. A36. |
権限(AUT)パラメータで指定できる値は? 権限 (AUT) パラメーターは、作成コマンド、認可コマンド、および取り消しコマンドで使用します。 *LIBCRTAUT オブジェクトの共通認可は、ターゲット・ライブラリー (オブジェクトを含むライブラリー) の、 CRTAUT パラメーターの値から取得されます。共通認可は、オブジェクトの作成時に決まります。オブジェクトの作成後にライブラリーの CRTAUT 値を変更しても、その新しい値は既存のオブジェクトには影響しません。 *USE ユーザーは、オブジェクトに対して、プログラムの実行やファイルの読み取りなどの基本操作を実行することができます。ユーザーは、オブジェクトを変更することはできません。 *USE 権限には、オブジェクト操作権限、読み取り権限、および実行権限があります。 *CHANGE ユーザーは、所有者限定の操作、またはオブジェクト存在権限とオブジェクト管理権によって制御される操作を除き、すべての操作をオブジェクトに対して実行できます。ユーザーは、オブジェクトの基本機能を変更および実行できます。変更権限には、オブジェクト操作権とすべてのデータ権限があります。 *ALL ユーザーはすべての操作を実行できます。ただし、所有者限定の操作や、権限リスト管理権によって制御されている操作は実行できません。ユーザーは、オブジェクトの存在の制御、オブジェクトのセキュリティーの指定、オブジェクトの変更、およびオブジェクトに対する基本機能の実行を行うことができます。オブジェクトの所有権を変更することもできます。 *EXCLUDE ユーザーは、オブジェクトにアクセスすることができません。 *EXECUTE ユーザーは、プログラムまたはプロシージャーの実行、あるいはライブラリーまたはディレクトリーの検索を行うことができます。 |
||||||||||||||||||||||||||||||||||||||||
| Q37. A37. |
指定されたユーザーを借用しているプログラムを調べるには? DSPPGMADP PRTADPOBJ |
||||||||||||||||||||||||||||||||||||||||
| Q38. A38. |
権限リストとオブジェクとの関係を調べるには? DSPAUTLOBJ |
||||||||||||||||||||||||||||||||||||||||
| Q39. A39. |
OUTQにセキュリティを設定するには? 以下のパラメータを設定します。 DSPDTA 他のユーザーが所有するスプールファイルの表示・送信・コピーが実行できるかを指定します。 AUTCHK 他のユーザーが所有するスプールファイルの変更や削除が行えるかを指定します。 OPRCTL *JOBCTL特殊権限または*SYSOPRユーザークラスをもつユーザーがOUTQを制御できるかを指定します。 ◎特殊権限*SPLCTLを持っている場合は、上記のパラメータに関係なくすべての機能が許可されます。(*ALLOBJと同じような強い権限を持ちます。) |
||||||||||||||||||||||||||||||||||||||||
| Q40. A40. |
OUTQのセキュリティ・パラメータの設定内容を見るには? WRKOUTQDを使用してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q41. A41. |
指定ユーザーの特殊権限をチェックするには? RTVSPCAUT(QUSRTOOL)またはAPI(QSYRUSRI)を使用してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q42. A42. |
オペレータには、QSYSOPRのメッセージ除去(F11,F13,F16)を出来ないようにしたい。 QSYSOPR(*MSGQ)に対する*DLT権限を除去してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q43. A43. |
指定ユーザーについてサインオンできなくするには? ユーザープロファイルでPASSWORD(*NONE)またはSTATUS(*DISABLED)にしてください。 PASSWORD(*NONE)にした場合は、CPF1118のメッセージがでます。 STATUS(*DISABLED)にした場合には、CPF1394のメッセージがでます。 |
||||||||||||||||||||||||||||||||||||||||
| Q44. A44. |
他のジョブについてCHGJOBをできなくするには? NEW ユーザープロファイルから特殊権限*JOBCTLを除去してください。 |
||||||||||||||||||||||||||||||||||||||||
| Q45. A45. |
グループメンバーが所有しているプログラムの借用権限を使用する場合は? NEW グループメンバーの権限のみを借用できます。グループの権限は借用できません。 |
||||||||||||||||||||||||||||||||||||||||
| Q46. A46. |
グループプロファイルをセットアップする場合の手順は? NEW @グループプロファイルをパスワード*NONEで作成する。 AグループメンバーのOWNERを*GRPPRFにする。 BGRTUSRAUTコマンドで、グループプロファイルへユーザーの権限を与える。 Cユーザーから私用権限を除去する。 |
||||||||||||||||||||||||||||||||||||||||
【実務編】
| Q1. A1. |
借用権限のついているプログラムを復元する場合の注意事項は? 復元するユーザーは*ALLOBJと*SECADM権限を持っている必要があります。 権限が不足したままで復元するとオブジェクト権限は、*PUBLIC *EXCLUDEに変更されます。 借用権限は付いたままですが、所有者もしくは*ALLOBJ権限をもったユーザーのみしかそのプログラムは使用できなくなります。 |
| Q2. A2. |
ちがうマシンへオブジェクトを復元したら所有者がQDFTOWNになってしまった。 復元先に保管媒体上のユーザープロファイルが存在しない場合は、QDFTOWNになってしまいます。 また、オブジェクト権限は*PUBLIC *EXCLUDEになりますので正しい権限を設定する必要があります。 借用権限の設定がされている場合は、目的とする所有者の権限が適用されませんので正しい所有者に設定して ください。 |
| Q3. A3. |
個別ユーザープロファイルはグループプロファイルの初期PGM、初期メニュー、ジョブ記述を引継げるか? 残念ですができません。 グループプロファイル設定を引継げるのはオブジェクト権限のみです。 特殊権限やその他のパラメータはグループでは共有できません。 |
| Q4. A4. |
RCLSTGコマンドを実行するユーザープロファイルに必要な権限は? 以下の特殊権限を持っていれば可能です。 *ALLOBJ *IOSYSCFG *JOBCTL *SAVSYS *SERVICE *SPLCTL |
| Q5. A5. |
ユーザープロファイルを削除する場合の注意事項は? @所有者になっていないか?(WRKOBJOWN) Aバッチで使用していないか?(WRKJOBSCDE,JOBD) Bグループプロファイルとして使用されていないか?(DSPUSRPRF TYPE(*GRPMBR)) C最終使用日をチェック(DSPOBJD) Dメッセージキューのチェック(DSPMSG MSGQ(ユーザープロファイル)) Eスプールが出力されていないか?(WRKSPLF SELECT(ユーザープロファイル)) Fジョブ記述でユーザーを定義していないか? |
| Q6. A6. |
QSECOFRで、システム値 QMAXSIGN の限界値を越えてサインオンを試み失敗して*DISABLEDになってしまった。 回復方法として2つの方法があります。 @QSECOFR以外の*SECADM権限をもっているユーザープロフィールでサインオンし、QSECOFRのSTATUSを 「*ENABLED」に変更します。 Aコンソールからは、QSECOFRでサインオンできますのでサインオンし、QSECOFR自身のユーザープロフィールを「*ENABLED」にします。 |
| Q7. A7. |
CRTRPGPGMのUSRPRFパラメーターに*OWNER を指定して、REPLACE(*YES)でコンパイルしたが借用権限が機能していない。 プログラムの置き換えでは借用権限は有効になりません。そのため、DLTPGMを行ってからCRTRPGPGMを行う必要があります。 REPLACE(*YES)が有効にならないパラメーターは、USRPRF以外には USEADP,AUTがあります。 |
| Q8. A8. |
*SECADM権限をもたないユーザーにパスワードの変更をさせたい。 CLでCHGUSRPRF ??USRPRF() ??PASSWORD()を作成し、*SECADM権限を持つOWNERの借用権限を設定すれば可能です。 |
| Q9. A9. |
ジョブスケジューラー(WRKJOBSCDE)の変更を制限するには? QDFTJOBSCD(*JOBSCD)にオブジェクト権限を設定すれば可能です。 |
| Q10. A10. |
テープから別ライブラリーへオブジェクトを復元したら私用権限が削除された。 オブジェクトの存在しないところへ復元すると私用権限はなくなります。 所有者と*PUBLIC権限は復元されます。 権限リストを設定している場合は、復元先にオブジェクトが存在していなくても権限リストは設定されます。 |
| Q11. A11. |
DDMジョブで以下のメッセージが表示された。 ターゲット DDM ジョブがソース・システムによって開始された。 コマンドの実行からのメッセージの開始。 ユーザー・プロファイル QPGMR には認可されていない。 SBMJOB コマンドでエラーが起こった。 QPGMRにQUSER *USEの権限を設定してください。 |
| Q12. A12. |
バッチでパスワードを変更するために、CHGUSRPRFを使用しているがシステム値で設定したパスワード規則が適用されない。 CHGUSRPRFコマンドはパスワード規則を適用しません。 バッチでパスワード規則を適用したい場合は、API QSYCHGPWを使用してください。 |
| Q13. A13. |
CPF1337のエラーが発生した。対応方法は? メッセージ ID . . . . : CPA0701 重大度 . . . . . . . . : 99 メッセージ・タイプ . . : 照会 送信日 . . . . . . . : 07/02/21 送信時刻 . . . . . . : 23:00:35 メッセージ. . . . . : (C D I R) JBM210C の 4100 で CPF1337 を受け取った。 原因−−ライブラリー OPELIB の制御言語 (CL) プログラム JBM210C がステートメン ト番号 4100 でエラーを検出しました。 CPF1337 のメッセージ・テキストは「 453245/QPGMR/JBM210C には,パラメーターの変更が認可されていない。 」です CHGJOBなどでジョブ属性を変更する場合には、特殊権限*JOBCTLが必要です。 |
| Q14. A14. |
以下のエラーが発生した。考えられる原因は? メッセージ ID . . . . : RPG0202 重大度 . . . . . . . . : 99 メッセージ・タイプ . . : 照会 送信日 . . . . . . . : 07/02/21 送信時刻 . . . . . . : 23:31:29 メッセージ. . . . . : (C G S D F) プログラム CHKMSGW への呼出しがエラーで終了 した。 原因−−ライブラリー OPELIB の RPG プログラム JBM110R がステートメント 25100 でプログラム CHKMSGW を呼び出しましたが,そのプログラムがエラーで終 了したか,あるいは見つかりませんでした。 プログラムが存在するか確認してください。存在する場合は権限のエラーです。 使用するプログラムのオブジェクト権限を確認してください。 |
| Q15. A15. |
実行環境関係で発生するエラーメッセージは? JOBDの権限エラー:CPF1141 JOBQの権限エラー:CPF1146 JOBDのユーザーの権限エラー:CPD1616 サブシステムの権限エラー:CPC1132 |
| Q16. A16. |
SBMRMTCMDで指定したファイルの権限チェックは? 権限チェックは行われません。 |
| Q17. A17. |
DDMファイルにCPYF MBROPT(*REPLACE)を実行したらエラーになった。 メッセージ ID . . . . : CPF2909 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : エスケープ 送信日 . . . . . . . : 07/06/09 送信時刻 . . . . . . : 08:24:33 メッセージ. . . . . : YYLIB のファイル AAP100PDM のメンバー AAP100P の消去中に エラー。 原因−−ライブラリー YYLIB のファイル AAP100PDM のファイル・メンバー AAP100P を消去しようとした時に,エラーが起こりました。 回復手順−−次の1つを実行してから,要求をやり直してください。 -- 前にリストされたメッセージを参照して,エラーを訂正してください。 -- メンバーを消去せずに, MBROPT(*ADD) を指定してメンバー AAP100P にレコ ードを追加してください。 エラーの詳細説明−− MBROPT(*REPLACE) を指定し,受入れファイルが物理ファイル の場合には,レコードがコピーされる前に各受入れファイル・メンバーが消去され ます。 終り ターゲット側のファイルに対してQUSER *ALL権限が必要です。 |
| Q18. A18. |
QSECOFRでサインオンしたら以下のメッセージが出てしまいサインオンができない。 メッセージ ID . . . . : CPF1110 重大度 . . . . . . . . : 50 メッセージ・タイプ . . : 情報 送信日 . . . . . . . : 07/04/13 送信時刻 . . . . . . : 16:09:50 メッセージ. . . . . : CPF1110 ワークステーションが認可されていない。 原因−−入力されたユーザー・プロファイル名またはジョブ記述に指定されたユーザ ー・プロファイル(ユーザー名を入力しない場合)は,ワークステーションに対し て適切な権限を受けていません。 回復手順−−機密保護担当者から *CHANGE 権限を貰うか,あるいは別のユーザー名 を使用してサイン・オンしてください。 エラーの詳細説明−−ユーザー名が入力されていない場合には,次のことを実行して ,ユーザー名を判別してください。 -- サイン・オン画面に示されているサブシステム名を表示し (WRKSBS), オプシ ョンを使用してサブシステム記述を表示する。次に,オプションを使用してそのサ ブシステム記述のワークステーション項目を表示して,ジョブ記述の名前を調べて ください。ジョブ記述を表示すると( DSPJOBD コマンド),ユーザー・プロファ 続く ... システム値QLMTSECOFRが「1」になっている場合は、使用する端末に「*CHANGE」権限を設定する必要があります。 |
| Q19. A19. |
QPWDLVLを’2’に変更したところ、サインオンパネルが変になった。 QPWDLVLを2以上に変更するとパスワードの桁数が128桁まで可能となります。 元に戻すには、QPWDLVLを変更後にIPLが必要です。 |
| Q20. A20. |
サブシステムを立ち上げたが自動開始ジョブがエラーになってしまう。 メッセージ ID . . . . : CPF1179 重大度 . . . . . . . . : 60 メッセージ・タイプ . . : 情報 送信日 . . . . . . . : 07/05/19 送信時刻 . . . . . . : 16:19:51 メッセージ. . . . . : サブシステム AUTO400 が,自動開始ジョブ AUTOSTART を開始 することができない。 原因−−ライブラリー AUTO400V3 のジョブ記述 AUTOSTART に指定されたユーザーは ,ジョブ記述に対して認可されていません。 回復手順−−機密保護担当者に,ジョブ記述に指定されたユーザー・プロファイルに ジョブ記述に対する *USE 権限を認可して貰ってください( GRTOBJAUT コマンド )。ジョブを開始するためには,サブシステムを終了( ENDSBS コマンド)し,再 び開始( STRSBS コマンド)してください。 ジョブ記述に対する権限エラーですので、ジョブ記述に対してジョブ記述で指定しているユーザーに*USE権限を設定してください。 |
| Q21. A21. |
ユーザーのサインオンログを取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*JOBDTA」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(JS) |
| Q22. A22. |
DBのアクセスログを取得したい。 @システム値QAUDCTLに「*OBJAUD」を設定 A対象DBに対して、CHGOBJAUD OBJ(xxxxx) OBJTYPE(*FILE) OBJAUD(*ALL) BDSPJRN JRN(QAUDJRN) ENTTYP(ZCまたはZR) |
| Q23. A23. |
ユーザープロファイルの変更履歴を取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*SECURITY」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(CP) |
| Q24. A24. |
JOBQの変更履歴を取得したい。 @システム値QAUDCTLに「*OBJAUD」を設定 A対象JOBQに対して、CHGOBJAUD OBJ(QBATCH) OBJTYPE(*JOBQ) OBJAUD(*CHANGE) BDSPJRN JRN(QAUDJRN) ENTTYP(ZC) |
| Q25. A25. |
コマンドの実行履歴を取得したい。 @システム値QAUDCTLに「*OBJAUD」を設定 A対象ユーザーに対して、CHGUSRAUD USRPRF(xxxxxx) AUDLVL(*CMD) BDSPJRN JRN(QAUDJRN) ENTTYP(CD) ※サインオンをし直さないと有効になりません。 |
| Q26. A26. |
システム値の変更履歴を取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*SECURITY」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(SV) |
| Q27. A27. |
スプールファイルの表示、変更履歴を取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*SPLFDTA」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(SF) 注意:スプールファイルの表示の場合はジャーナルには記録されません。 |
| Q28. A28. |
ANZDFTPWDを実行したら以下のエラーになった。 メッセージ ID . . . . : CPFB302 重大度 . . . . . . . . : 30 メッセージ・タイプ . . : 診断 送信日 . . . . . . . : 07/06/01 送信時刻 . . . . . . : 21:40:12 メッセージ. . . . . : 省略時のパスワードの検査は認可されていない。 原因−−省略時パスワードの分析 (ANZDFTPWD) コマンドのユーザーには,全オブジ ェクト (*ALLOBJ) および機密保護管理者 (*SECADM) 特殊権限が必要です。 回復手順−−機密保護担当者に ANZDFTPWD コマンドを出して貰ってください。 ANZDFTPWDを実行するには、*ALLOBJと*SECADM権限が必要です。 |
| Q29. A29. |
プログラムを実行したら以下のエラーになった。 メッセージ . . : オブジェクト KANEKO を分析解決することができない。タイプ およびサブタイプ X'0401' 権限 X'0800' 。 原因−−システム・ポインターまたはデータ・ポインターを分析解決することができ ません。 システム・ポインターの場合には,指定のオブジェクトが参照した文脈 の中になかったためか,あるいは正しいオブジェクトを見つけたが,ユーザー・プ ロファイルに必要な権限がなかったために,オブジェクト KANEKO ,タイプおよび サブタイプ X'0401' ,権限 X'0800' に分析解決されませんでした。 共通のタイ プのオブジェクト・タイプまたはサブタイプ・コードは次の通りです。 -- 0100 - アクセス・グループ。 0201 - プログラム。 0401 - ライブラリー。 -- 0701 ライブラリーのオブジェクト権限をチェックしてください。 |
| Q30. A30. |
SBMJOBでジョブ記述を指定して実行したら以下のエラーになった。 メッセージ ID . . . . : CPD1616 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : 情報 送信日 . . . . . . . : 07/07/28 送信時刻 . . . . . . : 08:38:45 メッセージ. . . . . : ユーザー・プロファイル USER1 には認可されていない。 原因−−ユーザー・プロファイル USER1 は認可されていません。 回復手順−−機密保護担当者またはユーザー・プロファイル所有者から権限を貰うか ,あるいはユーザー・プロファイル名を変更( USER パラメーター)してください 。その後でこのコマンドをやり直してください。 セキュリティレベル40以上では、ジョブ記述の中で指定しているユーザーに対して*USE権限が必要です。 |
| Q31. A31. |
RPGを実行したら以下のエラーになった。 メッセージ ID . . . . : RPG1299 重大度 . . . . . . . . : 99 メッセージ・タイプ . . : 照会 送信日 . . . . . . . : 07/07/05 送信時刻 . . . . . . : 19:31:28 メッセージ. . . . . : (C G S D F) AAP100P で CPF5134 入出力エラーが検出された。 原因−−ライブラリー YYLIB の RPG プログラム AAP100R が,ファイル AAP100P に 対する DELET 入出力操作を実行中に,ステートメント 51500 でメッセージ CPF5134 を受け取りました。実際のファイルは YYLIB/AAP100P MEMBER - AAP100P です。メッセージ CPF5134 の詳細については,ジョブ・ログを参照してく ださい。 回復手順−−取り消すにはCを, *GETIN から処理を続行するにはGを,システム記 憶域の印刷出力を作成するにはSを,システム記憶域の RPG 定様式印刷出力を作 成するにはDを,あるいはシステム記憶域の全定様式印刷出力を作成するにはFを 入力してください。 削除しようとしているファイルに、*ALL権限を設定してください。 |
| Q32. A32. |
コマンドを実行したら以下のエラーになった。 メッセージ ID . . . . : CPD0032 重大度 . . . . . . . . : 30 メッセージ・タイプ . . : 診断 送信日 . . . . . . . : 07/09/18 送信時刻 . . . . . . : 21:13:06 メッセージ. . . . . : ライブラリー *LIBL のコマンド RSTLIB は認可されていない 。 原因−−コマンドのアクセスが試みられましたが,所定の権限がありません。 回復手順−−機密保護担当者またはコマンドの所有者から認可を受けてから,このコ マンドをやり直してください。 使用するコマンドの権限をチェックしてください。 使用を許可する場合は、*USE権限を与えてください。 |
| Q33. A33. |
パスワードをまちがえて入力したら以下のメッセージが表示された。 メッセージ ID . . . . : CPF2363 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : エスケープ 送信日 . . . . . . . : 07/12/07 送信時刻 . . . . . . : 16:36:19 メッセージ. . . . . : パスワードを検査する試みは1回しか残っていない。 原因−−パスワード検査 (CHKPWD) コマンドの PWD パラメーターに指定したパスワ ードが,このユーザー・プロファイルには正しくありません。 QMAXSIGN システム 値の範囲によって,間違ったパスワードを要求できる回数が制限されています。あ と1回だけ,パスワードを検査( CHKPWD コマンド)することができます。 回復手順−−このユーザー・プロファイルに正しいパスワードを指定してください。 あと、1回まちがえるとユーザープロファイルもしくは端末が使用できなくなってしまいます。 正しいパスワードを入力してください。 |
| Q34. A34. |
サブシステム記述の権限を以下のように変更したら、QSTRUPで自動起動されなくなってしまった。 *PUBLIC *CHANGE → *PUBLIC *EXCLUDE QSTRUPは、QPGMRで実行されるためにサブシステム記述に対して権限がなくなったためです。 サブシステム記述の権限に、QPGMR *USEを追加してください。 |
| Q35. A35. |
IFS上のデータについてアクセスログを取得したい。 @システム値QAUDCTLに「*OBJAUD」を設定 A対象オブジェクトに対して、CHGAUD OBJ(xxxxx) OBJAUD(*ALL) BDSPJRN JRN(QAUDJRN) ENTTYP(ZCまたはZR) |
| Q36. A36. |
QSNADSを立ち上げたら以下のエラーになり、SNADSが使用できない。 メッセージ ID . . . . : CPF1179 重大度 . . . . . . . . : 60 メッセージ・タイプ . . : 情報 送信日 . . . . . . . : 08/01/26 送信時刻 . . . . . . : 08:09:33 メッセージ. . . . . : サブシステム QSNADS が,自動開始ジョブ QZDSTART を開始す ることができない。 原因−−ライブラリー QGPL のジョブ記述 QSNADS に指定されたユーザーは,ジョブ 記述に対して認可されていません。 回復手順−−機密保護担当者に,ジョブ記述に指定されたユーザー・プロファイルに ジョブ記述に対する *USE 権限を認可して貰ってください( GRTOBJAUT コマンド )。ジョブを開始するためには,サブシステムを終了( ENDSBS コマンド)し,再 び開始( STRSBS コマンド)してください。 以下のジョブ記述に、オブジェクト権限が設定されているかを確認してください。 ・QGPL/QSNADS QGATE *USE QSNADS *USE ・QGPL/QDIA QSNADS *USE ・QGPL/QNFTP QSNADS *USE |
| Q37. A37. |
別マシンへオブジェクトを復元した場合、権限リストの設定はどうなるか? 復元先に、使用する権限リストが登録されていればオブジェクトを復元するだけで権限リストは設定されます。 注)RSTLIB/RSTOBJでは、ALWOBJDIF(*ALL)を指定してください。この指定がないと権限リストは設定されません。 |
| Q38. A38. |
特定のプログラムだけ更新を許可したい。(*ALLOBJでも更新不可にしたい。) トリガープログラムを利用することにより可能です。 TRGTIME(*BEFORE) TRGEVENT(*INSERT/*DELETE/*UPDATE)を指定します。 実行元のプログラム名を取得して更新を許可するか否かを判断します。 |
| Q39. A39. |
あるユーザープロファイルについて以下のメッセージが表示された。 メッセージID . . . . . . . : MCH2804 メッセージ・ファイル . . . . : QCPFMSG ライブラリー . . . . . . . : QSYS メッセージ. . . . . : オブジェクトUSER1 が記憶域限界を越えようとしている。 そのユーザーが所有しているオブジェクト数、または私用認可の数が限界値に近づいている場合に表示されます。 DSPUSRPRF TYPE(*OBJOWN) OUTPUT(*PRINT)で所有しているオブジェクトをチェックし、別のユーザーに所有者を変更してください。 |
| Q40. A40. |
権限の変更履歴を取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*SECURITY」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(CA) |
| Q41. A41. |
SAVRSTLIBを実行したら以下のエラーになった。 メッセージ ID . . . . : CPF1269 重大度 . . . . . . . . : 00 メッセージ・タイプ . . : 情報 送信日 . . . . . . . : 08/02/17 送信時刻 . . . . . . : 11:37:26 メッセージ゙. . . . . : 通信装置 CYFLEX で受け取ったプログラム開始要求が理由コー ド 709, 1518 で拒否された。 原因−−ジョブ 005329/QUSER/CYFLEX でプログラム開始要求が拒否されました。こ の装置はリモート・ロケーション CYFLEX に属しています。この装置が拡張プログ ラム間通信 (APPC) 装置である場合には,プログラム開始要求は作業単位識別コー ド APPN.CYFLEX-C1F68252FFCA-0001 のモード QSOCCT で受け取られています。最 初の理由コードの意味: ユーザーにはプログラムが認可されていな い。 2番目の理由コードの意味: QSSP で問題フェーズ・プログラムが 見 つからない。 回復手順−−この問題の詳細についてはジョブ・ログを調べてください。 ジョブログを参照するとエラー原因がわかります。 QSR/QSVRCI、QSR/QSVRCSにQUSER *USE権限が設定されているかをチェックしてください。 |
| Q42. A42. |
借用権限で*ALLOBJ権限が与えられているのにも拘わらず、CHGJOB OUTQ(xxx)を実行するとCPF1254のエラーになる。 メッセージ ID . . . . : CPF1254 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : 診断 送信日 . . . . . . . : 08/04/29 送信時刻 . . . . . . : 08:42:19 メッセージ. . . . . : ユーザー USER1 には,ライブラリー YYLIB の出力待ち行列 OUTQ が認可されていない。 原因−−ユーザーは,出力待ち行列およびそのライブラリーの両方に対して認可され ていなければなりません。 回復手順−−機密保護担当者またはオブジェクトの所有者から,出力待ち行列に対す るユーザー *USE 権限および出力待ち行列ライブラリーに対する *EXECUTE 権限を 貰ってください。 CHGJOBにて出力待ち行列を変更する際、借用権限は使用されません。 ユーザーは、その出力待ち行列に対しての権限を持っている必要があり、*READ権限などを追加する必要があります。 |
| Q43. A43. |
スプールファイルの所有者となっているユーザーを削除できるか? ファイルなどの所有者となっている場合には、ユーザーは削除できませんが、スプールファイルの場合には削除できます。 |
| Q44. A44. |
RUNRMTCMDを実行したら以下のエラーになった。 メッセージ ID . . . . : CPD3B53 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : 診断 送信日 . . . . . . . : 08/05/25 送信時刻 . . . . . . : 11:21:36 メッセージ. . . . . : 会話 A でリモート・システムがプログラム開始の試みを拒否 した。 原因−−ローカル・システムがシステム・ネットワーク体系 (SNA) のセンス・デー タ 080F6051 をもつそのシステムのプログラムを開始しようとしましたが,リモー ト・システムがこれを拒否しました。ローカル・プログラムとターゲット・プログ ラムの間のインターフェースに問題があります。この問題は次のセンス・データに よって識別されます。 -- 080F6051 - システムが提供された機密保護値を受け入れなかった。 -- 10086021 - リモート・システムが TP NAME を承認しなかった。 -- 10086032 - ターゲット・プログラムはプログラム初期設定パラメーター (PIP) を必要としていたが,ローカル・プログラムが何も送信しなかった。 -- 10086034 - ターゲット・プログラムがサポートしていない リモートシステムに存在するユーザーIDとパスワードを指定してください。 |
| Q45. A45. |
オブジェクトの作成および削除履歴を取得したい。 @システム値QAUDCTLに「*AUDLVL」を設定 Aシステム値QAUDLVLに「*CREATE、*DELETE」を設定 BDSPJRN JRN(QAUDJRN) ENTTYP(CO DO) |
| Q46 A46. |
SBMRMTCMDを実行したら以下のエラーになった。 メッセージ ID . . . . : CPF9177 重大度 . . . . . . . . : 40 メッセージ・タイプ . . : エスケープ 送信日 . . . . . . . : 08/05/31 送信時刻 . . . . . . : 16:39:21 メッセージ. . . . . : ユーザー出口プログラムが正常に完了しなかった。 原因−−ターゲットの分散データ管理機能 (DDM) システム SUNRISE のライブラリー YYLIB の中のユーザー出口プログラム STOPCMDS は,正常を示す戻りコードで完了 していません。ターゲット・ジョブ名は 051461/QUSER/CYFLEX でした。 回復手順−−ターゲット・システムのユーザー出口プログラムの資料を参照して,正 常な戻りコードが受け取られなかった理由を調べてください。エラーがあれば訂正 して,要求をやり直してください。 ネットワーク属性のDDMACCパラメータで指定している出口プログラムでアクセスを拒否しています。 |
戻るにはブラウザを閉じてください。
| お問い合わせ | サイフレックス有限会社 無断転載を禁じます。 |