IBM i の基本的な機密保護機能
*SPLCTL権限がなければ、他人のスプールは見れない
Spoolライターのブラウズ機能を使うと、社内のOUTQの全容が見えますので
エンド・ユーザーに開放すると、どのようなOUTQがあるのか、すべて見えてしまいます。
後で説明する、SpoolライターのWRKSPLAUTコマンドを使用すると
不要なOUTQの表示を制限することができますが、
その前に、IBM i に備わっているスプールに関する
基本的な機密保護機能について理解しておく必要があります。
IBM i のユーザー・プロフィールの基本的な保護機能について説明します。
機密保護レベル(QSECURITY)に関わらず
他のユーザーが作成したスプールを見ることはできない。
ただし特殊権限 : *SPLCTL を持っているユーザーは
すべてのスプールの内容をみることができる。
上記のように普段は、どのユーザーにもすべてのスプールの内容が見えてしまう、と
思われがちですがそうではありません。
従って各ユーザーに特殊権限 : *SPLCTL を与えていなければ
十分な機密保護を図ることができます。
経理や給与関係のスプールがあることがわかっても
*SPLCTL権限がなければ中身をみることができません。
出力待ち行列の権限( *WRKSPLAUT )による機密保護
Spoolライター独自の機能として WRKSPLAUT コマンドによって
ユーザー、OUTQ 別に表示を制限することができます。
ユーザー名を指定してWRKSPLAUT を実行すると
下記のようにOUTQの一覧が表示されますので、表示させたくないOUTQ に Xを入力しておくと、
そのOUTQ はSpoolライターのブラウザからは表示されなくなります。
印刷待ち行列権限の処理(WRKSPLAUT) を実行するには
[7. 機密保護メニュ ] - [1. 印刷待ち行列権限の処理 ] を選択してください。
ただし WRKSPLAUT の実行には *SECADM 権限が必要です。
WRKSPLAUT 印刷待ち行列権限の処理
ユーザー・プロフィール . . . . : QTR
このユーザーに対して OS400 に加えて独自の機密保護を設定します。
選択項目を入力して実行キーを押してください。
指定のないものは「 1= すべて許可」と見なされます。
1= すべて許可 4= 使用禁止 ( OUTQ は非表示になります。 )
OPT 状況 OUTQ LIBRARY テキスト
QNETJOBLOG ALASKA ALASKA ジョブログ印刷待ち行列
QNETJOBLOG ASNET.USR JOBLOG for EnterpriseServer
QNETJOBLOG ASNET.USRB JOBLOG for EnterpriseServer
4 QNETJOBLOG ASNET.USRC JOBLOG for EnterpriseServer
CFGLIST CFGLIB 記述保管用 OUTQ
CHSOUTQ CHSFIL CHS Chinese OUTQ
CHTOUTQ CHTFIL CHT Chinese OUTQ
QLICJOBLOG CVTS36
AMO MOLB1 大庭専用アウトQ
OOTAKEOUTQ OOTAKE
OOTAKETEST OOTAKE
続く ..
F3= 終了 F12= 取消し
(C) COPYRIGHT OFFICE QUATTRO 2001.
WRKSPLAUT の情報はファイル : QUSRTEMP/OBJAUTF に保管されています。
新しい別のIBM i にリプレースするときは、このファイルも移すようにしてください。
遠隔ユーザーの登録
PDF を別のPCやPCサーバーにFTP で送るには遠隔ユーザーを登録しておく必要があります。
( LPR印刷も他のサーバーに転送していますが LPR/LPD には認証機能がありませんので
LPR だけの場合は遠隔ユーザーの登録の必要はありません。)
遠隔ユーザーとは、送信先のPCまたはPCサーバーに登録されているユーザー・アカウントであり、
FTPでログインするのに使用されます。
遠隔ユーザーを登録するには
[ユーティリティー]メニュー - [31. 遠隔ユーザーの処理]
を選択してください。
ただし WRKRMTUSR の実行には *IOSYSCFG 権限が必要になります。
各オプションの実行にも *IOSYSCFG権限が必要となります。
WRKRMTUSR 遠隔ユーザーの処理
ユーザー・プロフィール . . . . : *ALL
PDF ドライバーなどによる FTP ファイル転送を可能にするために
遠隔地のユーザー名とパスワードを登録します。
1= 遠隔ユーザーの追加 2= 遠隔ユーザーの変更 4= 遠隔ユーザーの削除
5= 遠隔ユーザーの表示
OPT 遠隔ユーザー テキスト
quattro 会議室の PC
QUATTROUSER TEXT
USER3 3 番目のユーザー
終わり
F3= 終了 F12= 取消し
(C) COPYRIGHT OFFICE QUATTRO 2015.
| 1=遠隔ユーザーの追加 |
遠隔ユーザーの新規に追加します。遠隔ユーザーは 「 遠隔ユーザー名」+ 「宛先 IP アドレス」によって識別されます。 追加のデータとしてパスワードとテキストを登録します。 遠隔ユーザーはファイル QUSRSYS/RMTUSR に保管されますので IBM i のリプレース時にはこのファイルも移行してください。 なお、パスワードは暗号化されて保管されますので 最高位の権限でも読み取ることはできません。 |
|---|---|
| 2= 遠隔ユーザーの変更 |
既存の遠隔ユーザーのデータを変更します。 ただしパスワードは同じものを使うか 新しいパスワードを設定しなおすかのどちらかです。 既存のパスワードは表示されません。 |
| 4= 遠隔ユーザーの削除 | 既存の不要な遠隔ユーザーを削除します。 |
| 5= 遠隔ユーザーの表示 |
遠隔ユーザーの情報を表示します。 ただしパスワードは表示されません。 |
QNTC で必要なユーザー・アカウント
IFS の特殊なフォルダー: QNTC は /QNTC の配下に
別のPCまたはPCサーバーの IPアドレスをフォルダー名として登録しておくと、
IBM i から、そのIPアドレスのPCまたはPCサーバーの共有フォルダーに、
IBM i から見ればあたかもローカル・フォルダーのようにしてアクセス(参照/更新)できる機能です。
この図のように IBM i 上ではユーザー: KEIRI で処理しているのであれば
QNTC 経由で参照するPCサーバー: PC1 と ローカルWindows PC : W1 も
IBM i と同じユーザー・アカウント: KEIRI (パスワードもIBM i の KEIRI と同じ)を
持っていなければなりません。
そしてPC1 や W1 のユーザー・アカウント: KEIRI と
共有を設定されているフォルダーを IBM i から見ることができます。
PDF を PDFドライバーによって PCサーバーやPCに配布する方法として
FTPを使わずに QNTCを使って配布するのであればこのような設定で可能となります。
ただし QNTC のNetServerシステムは、多くの関連するPTFが
IBM より配布されているように i5/OS Ver7.2 以降を推薦します。
また QNTC に関するエラーはご質問は弊社(潟Iフィスクアトロ)では取り扱っておりません。
QNTC に関するご質問は IBM または 最寄りのIBM特約店までお願いいたします。