Ordnerberechtigung IFS

[dino]

Habe einen IFS-Ordner in "\home\" angelegt, mit Operations Navigator nur einem bestimmten User alle Berechtigungen erteilt und Public ausgeschlossen. Trotzdem kann i c h diesen Ordner lesen und beschreiben, weil ich "Eigner" bin. Dies soll aber ausgeschlossen sein. Auch nach Entfernen meines Eintrages mit "wrkaut" habe ich Zugriff.

[kuempi von stein]

Hallo,
so grundsätzlich kann man ja mit CHGOBJOWN den Eigner ändern.
Wie das allerdings bei Ordnern geht, ist mir aktuell nicht klar.

Eine Workaround dazu wäre vermutlich:
- Ordner löschen
- Neuen User erstellen welcher die Berechtigung hat den Ordner anzulegen. Dann Ordner anlegen
- Wenn man diesen User nun wieder löscht, kommt doch m.E. eine Nachfrage, wer der neue Eigner für die letzten Objekte sein soll? Da dann bewussten User angeben.. fertig?

Geht aber bestimmt auch einfacher, ich komme nur gerade nicht drauf.

k.

[USDAVIS]

moin, moin,

versuch's mal mit

chgown newown(NeuerEigner) rvkoldaut(*yes)

[dino]

Danke, "chgown" hat schonmal den Eigner geändert. Trotzdem kann ich nach wir vor den Order per Explorer verbinden und beschreiben, obwohl, wie gesagt, "public *exclude" und "user *rwx" eingestellt ist bei wrkaut. Klappt das deshalb, weil ich der Qsecofr bin?

[USDAVIS]

QSECOFR hat die Sonderberechtigung *ALLOBJ.
Zumindest auf alle Objekte des QSYS.LIB-Systems hast Du damit unbeschränkten Zugriff. Dies kann auch nicht eingeschränkt werden.
Ob das auch für das IFS gilt
weiss ich leider nicht, scheint aber so zu sein.

gruss
ulli

[weidenhammer]

Hallo,

ein Auszug aus dem Hilfetext für SPCAUT(*ALLOBJ) liefert:

Dem Benutzer wird die Berechtigung für alle Objekte erteilt. Er kann auf alle Systemressourcen zugreifen, unabhängig davon, ob er über persönliche Berechtigungen verfügt oder nicht.

USRCLS(*SECOFR) hat unabhängig QSECURITY immer SPCAUT(*ALLOBJ)

Somit dürfte Deine Frage beantwortet dsein.

Gruss

Alexander

[dino]

Also, wenn das so ist: Wie kann unsere Geschäftsleitung sicher sein, daß niemand, auch nicht der QSECOFR, Zugriff auf sensible, schützungsgedürftige, geheime Objekte im IFS hat?
Welche Möglichkeit gibt es dann, einen Ordner nur vom Eigner bearbeiten zu lassen?

[KingofKning]

Warum nehmen die dann nicht truecrypt?

Einfach eine Container ins IFS stellen, und die Geschäftsführung kann den Container als Laufwerk mounten und gesichert wird das ganze auch noch.

GG

[Fuerchau]

User mit *ALLOBJ müssen eben als absolut vertrauenswürdig eingestuft werden oder eben die Objekte nicht ins IFS legen.

Auf einem Windowsserver kommt ein Admin auch an alles dran und wenn ihm die Berechtigung fehlt, kann er sie sich auch einfach vergeben.

Da sind schon verschlüsselte Verzeichnisse die einzige Möglichkeit.

[cbe]

Also, wenn das so ist: Wie kann unsere Geschäftsleitung sicher sein, daß niemand, auch nicht der QSECOFR, Zugriff auf sensible, schützungsgedürftige, geheime Objekte im IFS hat?
Welche Möglichkeit gibt es dann, einen Ordner nur vom Eigner bearbeiten zu lassen?

Ich weiß da nur 1 Möglichkeit:
Das Kennwort vom QSECOFR vom Geschäftsführer selbst ändern lassen, er kann es dann in seinen Tresor legen, und alle Mitarbeiter nur mit Rechten ohne *ALLOBJ arbeiten lassen.
Die Anwendungen müssen natürlich damit umgehen können, und die Arbeit für IT-ler wird holpriger, wobei das meiste aber auch ohne geht.

Bei Updates, wo der SECOFR benötigt wird, ist der Geschäftsführer dann sicher bereit, am Wochenende zu kommen und das Kennwort einzugeben.

[dino]

Danke für die Info's. Da ich ja dichter halte wir Fort Knox, überlasse ich die Entscheidung der GL. Ansonsten sollen die doch weiter ihre "Eigenen Dateien" ohne Sicherung beschreiben...