Problem mit Zugriffen im IFS

[Fuerchau]

Benutzer mit *ALLOBJ können NICHT ausgeschlossen werden.
Schließlich besagt eben *ALLOBJ eben alle Objekte und nicht nur ein paar.

[69sky]

Können Sie auch nicht ausgeschlossen werden wenn Sie wie hier Ihr *allobj nur über ein Gruppenprofil bekommen?

Würde also heißen, wenn ich den Usern *allobj nicht wegnehmen könnte (aus welchen Gründen auch immer), ich jeden meiner 50 User die nicht auf das Verzeichniss zugreifen sollten in den Berechtigungen eintragen müsste und auf *exclude stellen?

Ufff…..

[Fuerchau]

Hat ein User *ALLOBJ kann er auch nicht explizit ausgeschlossen werden (was ja durch PUBLIC schon gewährleistet wäre).

Du kannst den Usern nur *ALLOBJ entziehen um dieses Problem zu lösen.

[Fuerchau]

Nachtrag:
*ALLOBJ unterläuft sämtliche Berechtigungskonzepte.

Wenn ich *ALLOBJ habe kann ich mir auch nachträglich noch *SECADM und alles andere selber berechtigen, da ich auch das Recht auf QSECOFR habe.

[69sky]

Vielen Dank für Deine Antwort Fuerchau... werden jetzt mal sehen was wir hier am besten machen!

[69sky]

Hat ein User *ALLOBJ kann er auch nicht explizit ausgeschlossen werden (was ja durch PUBLIC schon gewährleistet wäre).

Du kannst den Usern nur *ALLOBJ entziehen um dieses Problem zu lösen.

Hmm, das ist jetzt seltsam! Habe einen User explizit mit *exclude angegeben und schon kann dieser nicht mehr auf dieses Verzeichnis zugreifen (obwohl er auch Mitglied in einem Gruppenprofil ist das *allobj hat).

[Fuerchau]

Das mit dem Gruppenprofil habe ich nicht gelesen, sorry.

Insoweit stimmt es schon.
Aber wenn mein Gruppenprofil *ALLOBJ hat, kann ich mir (mit ein bisschen Aufwand) auch selber *ALLOBJ verpassen.

[pwrdwnsys]

Um das wirklich sauber zu lösen, müssten die Exit-Points des Betriebssystems bemüht werden. Dort wird bei jedem Zugriff dann ein (zu erstellendes!) Programm aufgerufen, welches den Zugriff auf diese Weise beschränkt.

Generell sollte - wie angemerkt - die Vergabe von *ALLOBJ restriktiv gehandhabt werden. Wenn das jeder User hat, kann man die Maschine eigentlich auch gleich mit Security Level 10 laufen lassen

Gruß Karsten

[Zerberus77]

Hallo 69sky,

hier findest du die Antwort, warum der User Zugriff hat, bis du ihn explizit auf *EXCLUDE setzt:

IBM System i Support: Software Technical Document : 4294150

MfG
Zerberus

[BenderD]

... wirklich sauber lösen lässt sich das nur durch den Entzug der ALLOBJ Berechtigung, da selbige es immer ermöglichen jeglichen Schutzmechanismus inklusive dieser Placebo Lösungen Marke - wasch mir den Pelz, aber mach mich nicht nass - auszuhebeln.
BTW: der Workaround mit den expliziten Exclude Berechtigungen auf der Benutzerebene ist ebenfalls nicht Wasserdicht und erzeugt das nächste Problem in Form von veritablem Overhead.

D*B

Um das wirklich sauber zu lösen, müssten die Exit-Points des Betriebssystems bemüht werden. Dort wird bei jedem Zugriff dann ein (zu erstellendes!) Programm aufgerufen, welches den Zugriff auf diese Weise beschränkt.

Generell sollte - wie angemerkt - die Vergabe von *ALLOBJ restriktiv gehandhabt werden. Wenn das jeder User hat, kann man die Maschine eigentlich auch gleich mit Security Level 10 laufen lassen

Gruß Karsten