CA Top Secret:DELETE権限がないユーザーによるVSAM/SMSデータセット削除

book

Article ID: 213329

calendar_today

Updated On:

Products

CA Top Secret

Issue/Introduction

READ権限のみでDELETE権限を保持しないユーザーにてVSAMやSMS管理データセットが削除できてしまうケースがあります。

TSSSIMでは、READは許可されますが、削除はTSS7227Eにてエラーとなります。

TSSSIMでREADとUPDATEをチェックした結果:
$DSN('prefix.TSS.TESTDATA') ACC(READ)                                 
 TSS8380I SIMULATED RESOURCE ACCESS GRANTED.                           

$DSN('prefix.TSS.TESTDATA') ACC(UPDATE)                              
 TSS8385I RACHECK   R15 = 08   RC = 08   DRC = 66                      
TSS7227E UPDATE ACCESS NOT GRANTED TO DATASET prefix.TSS.TESTDATA  
 TSS8381I SIMULATED RESOURCE ACCESS DENIED.            


実際の実行結果 JOBLOG :             
J0010048  TSS7000I TSTUSR4 LAST-USED 22 APR 21 11:55 SYSTEM=XE10 FACILITY=TSO  
J0010048  $HASP373 TSTUSR4X STARTED - INIT 1    - CLASS A        - SYS XE10    
J0010048  IEF403I TSTUSR4X - STARTED - TIME=13.36.53                          
J0010048  TSS7280I - DATASET DELETED BY CATALOG ACCESS.                         
J0010048  IEF404I TSTUSR4X - ENDED - TIME=13.36.53                            
J0010048  $HASP395 TSTUSR4X ENDED - RC=0000                                    

IEF142I TSTUSR4X BR14 - STEP WAS EXECUTED - COND CODE 0000              
IGD105I prefix.TSS.TESTDATA                         DELETED,   DDNAME=DD1
IEF373I STEP/BR14    /START 2021112.1336                                  

 

Environment

Release : ALL

Component : CA Top Secret for z/OS

Resolution

JOBLOG内にTSS7280Iメッセージが確認できることから、
当環境は、TSSコントロールオプション「CATADELPROT」 が「NO」(デフォルト)です。

J0010048  TSS7280I - DATASET DELETED BY CATALOG ACCESS.

CATADELPROTの概要
***********
特定のユーザータイプによるSMSまたはVSAMデータセットの削除を防止します。

データセットに対する削除権限を保持しないユーザーが、
SMSまたはVSAMデータセットがカタログされているカタログデータセットに対して
SCRATCHもしくはALL権限を保持している場合、

YES: カタログへの権限とは関係なく、データセット削除には対象のデータセットに対してSCRATCH権限が必要です。
NO  : カタログへの権限にてデータセットが削除されます(デフォルト)
***********

TSSコントロールオプション「CATADELPROT」 が「NO」(デフォルト)で
ユーザーが、対象VSAMまたはSMSデータセットがカタログされているカタログデータセットに対して
SCRATCHもしくはALL権限を持っている場合、
データセット削除についてはエラーとなりません。


データセットの削除時にカタログに対して要求されるのはALTERアクセスで、
ALTERアクセスを与えるにはCA Top SecretではALL権限又はSCRATCH+CONTROL+CREATE権限が必要です。

そのため、「CATADELPROT  NO」による
カタログに対する権限によるSMSまたはVSAMデータセット削除防止には、
以下対応が必要となります。

- カタログに対するALL権限又はSCRATCH+CONTROL+CREATE権限を外す
もしくは
- CATADELPROT(YES)

TSSUTILで 「REPORT EVENT(ALL) RESCLASS(DATASET) DRC(B9)」を指定することで
CATADELPROT NO指定にて、
データセット権限ではなくカタログへの権限にてデータセットが削除されたケースを確認できます。

出力例

R-ACCESS A-ACCESS SRC/DRC SEC
-------- -------- ------- ---
SCRATCH  ALL        OK-B9 CAT  

 

Additional Information

Old Japanese Knowledge document ID: JTEC003006

CA Top Secretのその他FAQについては、以下のリンクからご確認ください。

CA Top Secret FAQ一覧表