Habe bei einem IFS-Ordner bei "public" "Ausschließen" eingestellt. Nur ein User darf Lesen, Schreiben usw.
Trotzdem kann ein anderer User diesen Ordner mappen.
Warum greift hier die (Nicht-)Berechtigung nicht?

Hat der andere User ggf. *ALLOBJ ?

Hallo Fuerchau, der User hatte *ALLOBJ. Nehme ich ihm diese weg, kommt er aber auch nicht mehr auf andere IFS-Ordner. Irgendwie unlogisch...

Er braucht auch eine Berechtigung für alle Verzeichnisse im kompletten Pfad.

Der Default für neue IFS-Ordner und Objekte ist grundsätzlich *PUBLIC *EXCLUDE.
Mittels *ALLOBJ darf ich eben an alles dran, im übrigen auch an alle Libs und Daten!
Hat ein User nicht *ALLOBJ muss er gerade im IFS für jedes einzelne Objekt berechtigt werden.
Dies kann man über Berechtigungslisten dann genauer steuern, da dann neue IFS-Objekte vom übergeordneten Ordner erben können, ansonsten wird nicht vererbt.

Was geb ich denn dann für eine Berechtigung in WRKUSRPRF an, wenn IFS-Zugriff auf bestimmte Ordner erlaubt sein soll? Hab testweise eine ALLOBJ-Ber. auf *SPLCTL zurückgedreht, schon klappte die Anmeldung am System nicht mehr (CWBSY1008=Sicherheitsfehler). Der User soll Zugriff auf "seine" IFS-Ordner haben (persönlich über Navigator eingestellt), nicht aber auf andere Ordner.

Ich fürchte, die Anforderung läßt sich nicht durch Änderungen am Benutzerprofil lösen, sondern nur durch Änderungen an den Verzeichnissen oder Dateien.

Grundsätzlich muß jeder Benutzer *X-Berechtigung (Execute) an allen Verzeichnissen von der Root bis zum Zielverzeichnis haben, um damit arbeiten zu können. *R (Read) ist nicht erforderlich, und nur das würde den Benutzer in die Lage versetzen, den Inhalt des Verzeichnisses auflisten zu können.

Wenn ich also möchte, daß jeder Benutzer ein eigenes Verzeichnis /home/<Benutzer> bekommt und nicht auf die anderen zugreifen darf, dann kann ich für die Root ('/') und '/home' jeweils *PUBLIC = *X vergeben, und bei '/home/<Benutzer>' setze ich dann *PUBLIC = *NONE und mache <Benutzer> zum Eigentümer des Verzeichnisses, der dann alle Rechte hat. Wenn ich mehrere Benutzer zusammenfassen möchte, kann ich entweder mit Gruppenprofilen arbeiten, oder mit Berechtigungslisten.

Mit freundlichen Grüßen,
Christian Bartels.

Hallo Christian, mit welchem Befehl ändere ich den Eigner-Namen?
Mit Berechtigung arbeiten

Objekt . . . . . . . . . . . . : /home/buchhaltung
Art . . . . . . . . . . . . . : DIR
Eigner . . . . . . . . . . . . : LUECKENO
Primärgruppe . . . . . . . . . : *NONE
Berechtigungsliste . . . . . . : *NONE

Auswahl eingeben und Eingabetaste drücken.
1=Benutzer hinzufügen 2=Benutzerberechtigung ändern
4=Benutzer entfernen

Daten- ----------Objektberechtigungen----------
Ausw Benutzer berecht. Existenz Verwaltung Änderung Referenz

*PUBLIC *EXCLUDE
LUECKENO *RWX X X X X
ENK *RWX X X X X

In obigem Fall soll statt "Lueckeno" "ENK" neuer Eigner sein und "LUECKENO" soll dann gelöscht werden. "ENK" soll dann Eigner und alleiniger Berechtigter dieses Ordners sein.
Muss *public auf *none gesetzt werden oder ist *exclude dasselbe?

... mit welchem Befehl ändere ich den Eigner-Namen?
Mit CHGOWN ;)

Aus der Anzeige WRKLNK -> 9 ("Mit Berechtigung arbeiten") kommt man mit F19 direkt in CHGOWN. Mann kann dann auch gleich den Eigentümer aller Unterverzeichnisse ändern (-> SUBTREE).

Mit freundlichen Grüßen,
Christian Bartels.