Hallo,

ich möchte einem Benutzer ermöglichen Benutzerprofile zu ändern; allerdings möchte ich dem Benutzer keine *SECADM Rechte geben -> er soll nur mit Benutzerprofilen arbeiten können und keine weiteren Systemaufgaben übernehmen.

Wie stelle ich das an?

Danke!!

Dies geht nur über eine eigene Oberfläche in der du die benötigten Funktionen bereitstellst.

Die Kommandos rufst du dann über ein CLP auf.

Dieses CLP muss unter einem Owner laufen (CHGPGM, CHGOBJOWN), der SECADM-Rechte besitzt.

Danke!

Ich habe das CL geschrieben, nun möchte ich noch alle mit Q-beginnenden Profile ausschließen - wie geht das?

Gruß,
Mädele

Tach Mädele,

wenn Du die ganze Sache richtig absichern willst, so dass der Benutzer z.B. nicht einfach den QSECOFR oder ein anderes mächtiges Benutzerprofil manipulieren kann, dann würde ich dir empfehlen, in deinem CL auf die Special Authorities abzufragen:

RTVUSRPRF USRPRF(xxxxxxxxxx) SPCAUT(&SPCAUT)

Dann scannst Du den String der in &SPCAUT steht nach *ALLOBJ, *SECADM usw., nach allem was von der Manipulation ausgeschlossen werden soll.

Falls das zu ändernde Benutzerprofil einer der aus eurer Sicht kritischen Special Authorities hat (und da gehören mindestens mal *ALLOBJ und *SECADM dazu) dann blockst Du ganz einfach die Änderung ab.

Griesse

Martin

Hallo Mädele,

wenn Du grundsätzlich alle Q* Benutzer von Änderungen ausschliessen willst, solltest Du für das Programm, das die Änderungen vornimmt einen eigenen Benutzer anlegen. Dieser Benutzer, unter dessen Berechtigung das Programm dann läuft kann explizit von der Änderung ausgeschlossen werden:

RVKOBJAUT Q* OBJTYPE(*USRPRF) AUT(*CHANGE)

Wenn Du die Variante wählst, die Martin vorgeschlagen hat, musst Du berücksichtige, dass die SPCAUT in dem String nicht immer in der gleichen Reihenfolge vorkommen. Jede SPCAUT belegt in dem String 10 Zeichen (ohne Stern).

Viel Erfolg

Hubert