借用権限は、ジョブの権限を一時的に強化して、ユーザーがアクセスすることを通常は許可されていないオブジェクトまたはデータへのジョブ・アクセスを可能にする、強力な方式です。借用権限は常にプログラム・オブジェクトとプログラム所有権に基づいており、QSYS.LIB ファイル・システム内でのみサポートされています。

一般に、プログラムは、現在そのプログラムを実行しているユーザー・プロファイル以外のソースから権限を借用できます。次の 2 とおりの方法があります。

１．プログラム・オブジェクトは、*USER または *OWNER のどちらかの値に USRPRF 属性を設定できます。*USER に設定すると、現在ジョブを実行しているユーザー・プロファイルのみを対象に、実行時権限が検査されます。*OWNER に設定すると、現在ジョブを実行しているユーザー・プロファイルの権限が指定のアクションに対して不足している場合に、プログラムを所有するユーザー・プロファイルの権限が、不足している権限の検索に使用されます。

２．プログラムの USRPRF 属性が *OWNER に設定されていない場合は、呼び出しスタック内で上位にあるプログラムから借用権限を継承できます。ただしこれは、現行プログラムの借用権限の使用 (USEADPAUT) 属性が *YES に設定されている場合に限られます。この設定を行うには、CHGPGM コマンドを使用する必要があります。プログラムの作成時には、USEADPAUT は最初に *NO に設定されます。システム値 QUSEADPAUT を使用して、プログラムを USEADPAUT(*YES) に変更することの許可を制御するための権限リストを指定できます。

借用権限は、特定の関連するアクティビティーを実行するために適した権限の取得に便利ですが、使用の際には注意してください。例えば、強力なユーザー・プロファイルから権限を借用するプログラムが別のプログラムまたはコマンドを呼び出し、そのプログラムまたはコマンドがユーザーにコマンド行を表示すると、そのユーザーは強力なユーザーの借用権限を使用してコマンドを実行できるようになります。

それにもかかわらず、現行呼び出しレベルの借用属性を次の呼び出しレベルで使用可能にする (権限の伝搬とも呼ばれる) かどうか制御するプログラム属性は存在しません。ただし、ILE MI 組み込みの呼び出し権限変更属性 ('_MODINVAU') は、すべての ILE コンパイラーに備わっており、この組み込み機能はプログラムの現行呼び出しに対して権限伝搬属性を設定できます。プログラム・オブジェクトに永続的な影響はありません。

伝搬される借用属性に MODINVAU 機能がどのような影響を与えるか例示する、小さなテスト・プログラムを作成しました。ソース・ヘッダーにある指示に慎重に従って、CBX605 プログラムをコンパイルして変更してください。このセットアップには、QSECOFR ユーザー・プロファイルへのアクセス権限が必要です。次に、テスト・プログラムを呼び出したときの一連のイベントを示します。

１． MODINVAU 機能は借用権限の伝搬をブロックし、QCMD が呼び出されます。

２．コマンド WRKUSRPRF *ALL を実行すると、コマンドを実行するユーザー・プロファイルが権限を持つユーザー・プロファイルのみが表示されます。F3 を押して続行します。

３．MODINVAU 機能は借用権限の伝搬を復元し、QCMD が呼び出されます。

４．コマンド WRKUSRPRF *ALL を再度実行すると、リストされたユーザー・プロファイルに対してコマンドを実行するユーザー・プロファイルが持つ権限に関係なく、すべてのユーザー・プロファイルが表示されるようになります。F3 を押して、テスト・プログラムを終了します。

このテストが動作するためには、テスト・プログラムを実行するユーザー・プロファイルに LMTCPB(*NO) が指定されている必要があります。借用権限は、このユーザー・プロファイル属性をオーバーライドしません。また、権限を借用している ILE プログラムが存在し、プログラム・スタックに残っているために、他のプログラムに意図せず借用権限を伝搬している場合は、前述のテスト・プログラムで使用されている MODINVAU MI 機能をコピーすれば、この問題を解消できます。_MODINVAU 組み込み機能については、publib.boulder.ibm.com/infocenter/iseries/v5r4/topic/rzatk/MODINVAU.htm に説明があります。

オブジェクトの所有権を変更することは簡単で、CHGOBJOWN コマンドを実行すれば済みます。ただ、ライブラリー内にあるものすべての所有権を変更したい場合や、オブジェクトを OLD_OWN の所有から NEW_OWN の所有に変更しながら、OLD_OWN プロファイルは削除したくない場合には、どうすればよいでしょうか。このヒントでは、両方の状況について解決策を示します。

ライブラリー内のオブジェクトをすべて変更するには、ディレクトリー、またはディレクトリー内のオブジェクトの所有権を変更するために使うコマンドを使用します。次のコマンドは、CAROL ライブラリー内のオブジェクトすべての権限を、新しい所有者 CJW に変更します。(CAROL は、ご使用のライブラリーの名前に置き換えてください。)

CHGOWN OBJ('/QSYS.LIB/CAROL.LIB/*.*')
NEWOWN(CJW)

'*.*' シンボルは、すべてのオブジェクトを変更するように指示します。プログラムのみを変更する場合は、次のように指定します。

CHGOWN OBJ('/QSYS.LIB/CAROL.LIB/*.PGM')
NEWOWN(CJW)

あるお客様の現場にいたときに、特定のプロファイルが多数のオブジェクトを所有していることが分かりましたが、新しいセキュリティー体系の実装中だったために、これらのオブジェクトの所有者を別のユーザーにする必要がありました。オリジナルの所有者のプロファイルを削除する予定ならば、DLTUSRPRF コマンドを実行するときに、そのプロファイルが所有しているオブジェクトをすべて別のユーザーに転送するように指定できました。しかし、現行プロファイルは使用中なので削除できませんでした。

オリジナルの所有者を削除せずに所有権の変更を実現するために、なかなか目に付きづらいところにある i5/OS 機能を使用し、意図された使用法とは少し違う方法で利用してみました。警告: この手順のとおり正確に 行う必要があります。そうしなければ、オリジナルのプロファイルが削除される結果になります。

１． i5/OS コマンド行から、WRKUSRPRF *ALL と入力して Enter を押します。これにより、「Work with User Profiles (ユーザー・プロファイルの処理)」画面または「Work with User Enrollment (ユーザー登録の処理)」画面が表示されます。

２．「Work with User Enrollment (ユーザー登録の処理)」画面で作業する必要があります。この画面が表示されていない場合は、F21 (操作援助レベルの選択) を押し、1 (基本) を選択します。

３．現在オブジェクトを所有しているプロファイルを見つけます。4 (そのプロファイルの次を削除) を入力して、Enter を押します。

４．「Remove User (ユーザーの除去)」画面が表示されます。この画面で、オプション 2 (このユーザーが所有する特定オブジェクトの所有者を削除または変更) を選択して、Enter を押します。

５．図 2 のように、「New owner (新規所有者)」フィールドにカーソルが置かれます。ここで、オブジェクトを所有させたいプロファイルの名前を入力し (この例では、プロファイルの名前は NEW)、F2 (すべて変更) を押します。

６．「Confirm Change of Object Owner (オブジェクト所有者の変更の確認)」画面で、Enter を押します。

７．これで、前はオリジナルの所有者が所有していたすべてのオブジェクトを新しい所有者が所有するようになり、目的は達成されました。警告: Enter は押さないでください。F12 (取り消し) または F3 (終了) を押す必要があります。そうしなければ、前の所有者のプロファイルが削除されます。