- 「メインフレーム・コンピューター」で遊ぼう - http://www.arteceed.net -

RACFユーザー登録

RACFに新しいユーザーを登録するには、RACFコマンドを使用します。RACFコマンドはTSOにて発行でき、バッチセッションでも使用できます。

RACFに新しいユーザーを登録する

    //         JOB Statement
    //*********************************************************************
    //*        Sample JCL - TSO BATCH SESSION --- DO RACF COMMAND ---
    //*        ======================================================
    //*********************************************************************
    //TSOBATCH EXEC PGM=IKJEFT01
    //SYSTSPRT DD SYSOUT=*
    //SYSTSIN  DD *
    ADDUSER TMPUSR1 DFLTGRP(GTSOUSER) NAME('Temporary User-1') -
            TSO(ACCTNUM(TEMPUSER) PROC(TMPACCNT))
    LISTUSER TMPUSR1
    //
    //
    

    新しいユーザー「TMPUSR1」をRACFに登録します。同時にTSOへのログオンが可能になるようTSOオプションを追加して、アカウント名とログオン・プロシージャー名を指定するサンプルです。

    デフォルト・パスワードはパラメーター「PASSWORD(xxxxxxxx)」によって指定できますが、サンプルのように指定しない場合はパラメーターDFLTGRPで指定したグループ名となります。このサンプルではGTSOUSERです。このパスワードは期限切れに設定されるため、初回ログオン時にユーザー自身が使いたいものに変更しなければなりません。

    TSOオプションを使用すれば、ACCOUNTコマンドによるSYS1.UADSへのユーザー登録は不要になりますが、その代わりに使用するアカウント名とログオン・プロシージャー名を、RACFに一般リソースとしてあらかじめ登録しておかなければなりません。

RACFに一般リソースとしてTSOアカウント名とログオン・プロシージャー名を登録する

    //SYSTSIN  DD *
    RDEFINE ACCTNUM TEMPUSER UACC(READ)
    RDEFINE TSOPROC USRACCNT UACC(READ)
    RLIST ACCTNUM TEMPUSER
    RLIST TSOPROC TMPACCNT
    //
    

    一般リソースとして、アカウント名TEMPUSERおよびログオン・プロシージャー名TMPACCNTを登録するサンプルです。

    なおRACFのTSOオプションでは、TSOのACCOUNTコマンドにあるJCL、OPERといった属性は指定できません。そのためTSOにログオンしてJCLをサブミットできるようにするには、RDEFINEまたはRALTERコマンドで一般リソースTSOAUTHクラスのJCLプロファイルにユニバーサル・アクセス権READを与えます。
    ユニバーサル・アクセス権をNONEにしてJCLサブミットを許可するユーザーを個別に設定する方法もありますが、JCLのサブミットは一般のユーザーにも通常与える権限なので、ユニバーサル・アクセスはREADにして、JCLサブミットを認めないユーザーを個別に設定する方がいいでしょう。

    //SYSTSIN  DD *
    JCLサブミット可をデフォルト設定にする(最初に一度行えばよい)
    RDEFINE TSOAUTH JCL UACC(READ)
    または
    RALTER TSOAUTH JCL UACC(READ)
    
    JCLサブミットを認めないユーザーの追加(必要の都度)
    PERMIT JCL CLASS(TSOAUTH) ID(TMPUSR4) ACCESS(NONE)
    
    変更したRACFプロファイルをリフレッシュする(RACF稼働中の設定反映)
    SETROPTS RACLIST(TSOAUTH) REFRESH
    
    変更したプロファイル内容の確認
    RLIST TSOAUTH *
    //
    


RACFに新しいユーザーを登録するが、TSOアカウントはACCOUNTコマンドで登録する

    //TSOBATCH EXEC PGM=IKJEFT01
    //SYSTSPRT DD SYSOUT=*
    //SYSUADS  DD DISP=SHR,DSN=SYS1.UADS
    //SYSTSIN  DD *
    ACCOUNT
    ADD (TMPUSR2 * TEMPUSER TMPACCNT) JCL
    END
    ADDUSER TMPUSR2 DFLTGRP(GTSOUSER) NAME('Temporary User-2')
    //
    

    ACCOUNTコマンドを使う場合は、アカウント名とログオン・プロシージャー名をRACFの一般リソースとして登録しておく必要はありません。

当然ながらADDUSERやACCOUNTコマンドは権限のあるユーザーでなければ使用できません。