MAGAZIN
MAGAZIN
MAGAZIN
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Technik & Integration<br />
also zumindest die Source lesen, schützen<br />
Sie jedoch Ihre Produktionsumgebung<br />
vor unerwünschten Änderungen und alles<br />
ist bestens.<br />
Kontrollieren der besonderen<br />
Zugriffsberechtigung *JOBCTL<br />
Frage: Wir verteilen unsere Benutzer<br />
auf zwei Umgebungen und würden gern<br />
ein höheres Maß an Sicherheit im Hinblick<br />
auf die Zugriffsberechtigung erreichen.<br />
Einige Benutzer benötigen die Zugriffsberechtigung<br />
*JOBCTL für ausgewählte<br />
Job-Queues, aber andere<br />
Benutzer mit der Zugriffsberechtigung<br />
*JOBCTL sollten nicht auf dieselbe Job-<br />
Queue zugreifen können, während<br />
wieder andere User Zugriff auf alle Job-<br />
Queues benötigen. Ich habe verschiedene<br />
Szenarien getestet, ohne hier weiterzukommen.<br />
Könnten Sie mir in dieser<br />
Sache weiterhelfen?<br />
Antwort: Sie haben wirklich Glück.<br />
OS/400 war von Anfang an als Multi-<br />
User-, wenn nicht sogar als Multi-Company-Betriebssystem,<br />
konzipiert. Es ist<br />
also nicht sehr schwer, das zu realisieren,<br />
was Sie sich wünschen. Ich kann verstehen,<br />
dass einige User mit der Job-Queue-<br />
Zugriffsberechtigung Probleme haben,<br />
da Sie einfach ganz anderen Regeln unterliegt<br />
als andere OS/400-Objekte.<br />
Zunächst will ich darauf eingehen, was<br />
die Zugriffsberechtigung *JOBCTL bietet.<br />
Die besondere Zugriffsberechtigung<br />
*JOBCTL ermöglicht einem Benutzer,<br />
alle Eintragungen jeder Output-Queue<br />
oder Job-Queue anzuzeigen, zu ändern,<br />
zu löschen, zu halten oder freizugeben,<br />
wenn diese erstellt wurde, während der<br />
Parameter Operator Controlled mit<br />
OPRCTL(YES) definiert war. Der Parameter<br />
OPRCTL(YES) bedeutet auf eine<br />
Output-Queue oder Job-Queue bezogen,<br />
dass jeder Benutzer, der über die besondere<br />
Zugriffsberechtigung *JOBCTL verfügt,<br />
keine individuelle OS/400-Zugriffsberechtigung<br />
benötigt, um mit den Eintragungen<br />
der Queue zu arbeiten. Wenn<br />
Benutzer über die besondere Zugriffsberechtigung<br />
*JOBCTL verfügen, können<br />
sie auch dann mit diesen Eintragungen<br />
arbeiten, wenn ihre OS/400-Zugriffsberechtigung<br />
mit *EXCLUDE definiert ist.<br />
Security Patrol<br />
Wenn User nicht über die besondere Zugriffsberechtigung<br />
*JOBCTL verfügen<br />
oder die Queue mit OPRCTL(YES) erstellt<br />
wurde, benötigen die Benutzer<br />
OS/400-Object-Level-Zugriffsberechtigungen<br />
(*USE, *CHANGE, *ALL), um<br />
sich Eintragungen einer Queue anzusehen<br />
beziehungsweise mit Ihnen zu arbeiten.<br />
Natürlich wäre es am einfachsten,<br />
allen Profilen mit Ausnahme derer, die<br />
sie unbedingt benötigen, die Zugriffsberechtigung<br />
*JOBCTL zu verwehren. Ich<br />
nehme jedoch an, dass es noch einen anderen<br />
Grund dafür gibt, dass diese User<br />
die Zugriffsberechtigung *JOBCTL benötigen<br />
und schlage deshalb eine andere<br />
Lösung vor.<br />
Unterteilen Sie Ihre Benutzer in die drei<br />
Kategorien USERA, USERB und SYS-<br />
OP. USERA benötigt Zugriff auf die<br />
JOBQA, nicht aber auf JOBQB. USERB<br />
sollte nicht auf JOBQA, jedoch auf JOB-<br />
QB zugreifen können. SYSOP muss auf<br />
alle Job Queues zugreifen können. Beginnen<br />
Sie damit, die JOBQA zu erstellen,<br />
definieren Sie dabei<br />
OPRCTL(*NO) und editieren Sie die<br />
Objektzugriffsberechtigungen für dieses<br />
Job Queue-Objekt (EDTOBJAUT). Die<br />
Zugriffsberechtigung für JOBQA sollte<br />
so definiert sein, dass hier USERA =<br />
*CHANGE und PUBLIC = *EXCLUDE<br />
gilt. Auch die JOBQB sollte so definiert<br />
werden, dass OPRCTL(*NO) definiert<br />
ist. Ihre Objektzugriffsberechtigungen<br />
sollten so definiert sein, dass USERB =<br />
*CHANGE und PUBLIC = EXCLUDE<br />
gilt. Wenn OPRCTL(NO) definiert ist,<br />
ermöglicht die besondere Zugriffsberechtigung<br />
*JOBCTL keinen Sonderzugriff<br />
auf diese Queues. USERA und<br />
USERB sind auf ihre Objektzugriffsberechtigungen<br />
für die Queues beschränkt.<br />
Falls sie unter *PUBLIC fallen,<br />
gilt ein Ausschluss (EXCLUDE).<br />
Nun bleibt noch das Profil SYSOP. Geben<br />
Sie SYSOP nicht nur die Sonderzugriffsberechtigung<br />
*JOBCTL sondern<br />
auch *SPLCTL. *SPLCTL wirkt sich<br />
ähnlich wie die Sonderzugriffsberechtigung<br />
*ALLJOB aus, nur dass sich<br />
*SPLCTL ausschließlich auf das Spooling<br />
von Queues (JOB-Queues und Output-Queues)<br />
beschränkt. Die Sonder-<br />
24 www.midrangemagazin.de Januar 2002<br />
zugriffsberechtigung *SPLCTL wird<br />
nicht durch den Parameter OPRCTL<br />
oder durch reguläre OS/400-Objektzugriffsberechtigungen<br />
eingeschränkt,<br />
was den Zugriff auf Job-Queues anbelangt.<br />
Sie eignet sich deshalb nur für die<br />
Benutzer, die unbeschränkten Zugriff<br />
auf alle Queues benötigen.<br />
Die im Vorhergehenden beschriebene<br />
Vorgehensweise funktioniert sowohl für<br />
Output-Queues als auch für Job-<br />
Queues. Falls Benutzer die Zugriffsberechtigung<br />
*JOBCTL benötigen, wird<br />
die beschriebene Vorgehensweise bewirken,<br />
dass diese User ausschließlich auf<br />
die Queues beschränkt werden, die Sie<br />
auch sehen sollen.<br />
Umstellung auf<br />
QSECURITY Level 40<br />
Frage: Wir tragen uns mit dem Gedanken,<br />
von Level 20 zunächst auf Level 30<br />
und anschließend auf Level 40 umzustellen.<br />
Können Sie uns dazu Tipps geben?<br />
Antwort: Wenn Sie von Level 20 ausgehen,<br />
sollten Sie sich nicht mit Level 30<br />
aufhalten und direkt auf Level 40 umstellen.<br />
Der Großteil der Schwierigkeiten<br />
tritt beim Übergang auf QSECURI-<br />
TY Level 30 auf. Die Probleme, die sich<br />
bei der Umstellung von Level 30 auf Level<br />
40 stellen, sind eher trivialer Natur.<br />
John Earl arbeitet als Chief<br />
Technology Officer für die PowerTech<br />
Group in Kent, Washington.<br />
Er ist unter der Adresse<br />
johnearl@400security.com<br />
zu erreichen. Er dankt Pat Botz<br />
von IBM und Tom Liotta von der<br />
PowerTech Group für Ihre Mithilfe<br />
bei der Beantwortung der ersten<br />
Frage dieser Security Patrol.<br />
Sekundärinformationsmaterial:<br />
• OS/400 Security Reference<br />
V4R4 (SC41-5302-03,<br />
CD-ROM QB3ALC03)