Fazit:
Man darf man ein LF nicht lesend benutzen, wenn das PF nicht gelesen werden darf.

@alle
Wo ist da die Logik?


Hallo Dietlinde

Ist doch logisch, wenn der Inhalt einer PF nicht gelesen werden darf, so darf er auch nicht über eine logische Datei gelesen werden.

Gruss

Berechtigung der View genauso.
der gtrant geht nicht.
Begründung du darfst das PF nicht lesen.


Weitere Nachrichteninformationen

Nachrichten-ID . . . . : SQL7027


Nachricht . . . : Angegebene Berechtigungen für Objekt VO1M1XX der Art *FILE
in XXLIB können nicht erteilt werden.

Ursache . . . . : Es wurde versucht, eine Operation GRANT für Sicht VO1M1XX
der Art *FILE in XXLIB durchzuführen. Diese Operation kann nicht
durchgeführt werden, da damit dem Benutzer die angegebenen zusätzlichen
Berechtigungen für die untergeordnete Datei VO1M1 in XXLIB erteilt würden.
Der Benutzer verfügt über die Systemberechtigung *OBJOPR oder *OBJMGT für
die untergeordnete Datei.

Hallo Dietlinde

Ist doch logisch, wenn der Inhalt einer PF nicht gelesen werden darf, so darf er auch nicht über eine logische Datei gelesen werden.

Gruss

Find ich nicht wirklich logisch.
Ich kann doch mit LF und View dem User nur best. Felder uder best. Sätze zeigen wollen. Nicht alle Daten des PF

Du meinst, eigentlich ist alles lesen verboten, aber ein bisschen möcht ich schon.... ;-)

Siehe hier aus IBM's Dokumentation:

"To read data in a physical file through a logical file, you need object operational and read authorities to the logical file and read authority to the physical file."

siehe auch hier: http://publib.boulder.ibm.com/infocenter/iseries/v7r1m0/index.jsp?topic=%2Frzarl%2Frzarllogical.htm

Ich habe nun dem User Leseberechtigung auf die Datei gegeben.
Gleichzeitig habe ich den User für die Lib auf exclude gesetzt.
(m.E. ein bisserl verrückt)

In einer anderen Lib hab ich ein LF erstellt und auch nur mit Leseberechtigung ausgestattet.
Der User darf nun das LF lesen, an das PF kommt er nicht ran.

So soll es sein

Danke an alle
Dietlinde Beck

So ist es auch gedacht.
Wenn die LIB geschützt ist, benötigen die untergeordneten Objekte keinen weiteren Schutz (wer den Schutz der Lib knackt kann auch den Schutz eines Objektes knacken).

Es reicht also, die Lib auf PUBLIC EXCLUDE zu setzen, alle Objekte auf PUBLIC USE.

Per Views in anderen Libs kann ich nun gezielt einzelne Zugriffe steuern (AUTL's, Einzeluser).

Beim GRANT auf die View setzt SQL auch die Berechtigung der Physischen Datei auf Lesen. Die Lib bleibt auf *EXCLUDE.
Zumindest bei einer SQL View.

P.S.: Eine SQL View ist auch ein LF ;)