Spools vor Fremdzugriff schützen trotz *SPLCTL-Rechte

[Fertig]

Wir haben eine Standardsoftware, bei der alle User die dieses benutzen, ein bestimmtes Gruppenprofil im Benutzerprofil als Parameter GRPPRF brauchen.
Außerdem braucht dieses Gruppenprofil zwingend Spoolkontrollrechte *SPLCTL.
Wie kann ich nun verhindern, dass die User in der Funktion "Mit Druckausgabe arbeiten" (ESC Auswahl 1) einfach ihren Namen überschreiben und auf fremde Spools zugreifen?

[Edefauler]

m.E. leider überhaupt nicht.
Man möge mich korrigieren....

[Pikachu]

Vielleicht die Möglichkeit verstecken mittels "Unterstützungsstufe 2=Erweitert".

[jgv]

Users mit *splctl haben Zugriff zu allen Spools wie hier nachzulesen ist:


http://www.skyviewpartners.com/pdf/S...ooledFiles.pdf


Gruss

Jan

[Fuerchau]

Das Dokument beschreibt es sehr gut.
Allerdings wird vergessen zu erwähnen, dass eine User die Berechtigung des Gruppenprofiles erbt.

Es ist also entscheidend, die OUTQ korrekt zu definieren, damt zwar das Gruppenprofil *SPLCTL behält, die Spools der anderen Eigner jedoch nicht sehen oder verändern kann.

Allerdings entzieht sich mir, wieso ein Gruppenprofil *SPLCTL benötigt.
Der Eigener eines Spools ist ja immer der User und da kann dann ein Programm durchaus auch auf eigene Spools CHGSPLFA durchführen.

[Fertig]

Könnte man das DSPF von WRKSPLF in Unterstützungsstufe BASIC so modifizieren, dass der Benutzername nicht überschrieben werden kann?
Wie heißt das DSPF und wo ist die Source?

[BenderD]

... kannste vergessen, man könnte da zwar mit Validity checkern für die Spool Commands rumlaborieren (wenn man denn kann...), oder mit Command Exits über REGFAC, aber der korrekte Weg wäre den Software Vertreiber dieser "Standard Software" zu veranlassen diesen Bug zu beheben, denn darum handelt es sich, wenn die Lage tatsächlich wie geschildert ist.

D*B

Könnte man das DSPF von WRKSPLF in Unterstützungsstufe BASIC so modifizieren, dass der Benutzername nicht überschrieben werden kann?
Wie heißt das DSPF und wo ist die Source?

[Fuerchau]

WRKSPLF verwendet keine DSPF sondern PNLGRP und Sourcen der Systemprogramme wurden von IBM noch nie bereitgestellt.

*SPLCTL-Rechte am Gruppenprofil sind eigentlich vollkommen unnötig.

Was läuft denn dann nicht, wenn du das Recht entziehst ?

[Fertig]

Gute Frage.

Laut BRAIN braucht das Gruppenprofil *SPLCTL-Rechte. Ich denke das hat was zu tun mit Drucken im Batch bzw. über die Monitore.
Und jeder User braucht dieses Gruppenprofil, um mit der Anwendung arbeiten zu können.
Es gibt zwar eine Funktion in BRAIN, mit der man seine Druckausgabe sieht und man den Benutzer nicht ändern kann, aber diese Funktion kann man halt nicht über ESC und 1 aufrufen.
Aber ich denke mir bleibt nichts anderes übrig, als den Usern die Berechtigung für WRKSPLF zu entziehen und sie stattdessen diese Funktion benutzen zu lassen.

[Fuerchau]

Also bei uns hat das Gruppenprofil (*PGMR) nur *JOBCTL, obwohl das auch unnötig wäre.
Hast du es denn mal ohne *SPLCTL versucht ?

Ansonsten:
Per SETATNPGM kannst du ein eigenes Programm auf ESC legen und somit eigene Menüs drauflegen um WRKSPLF zu verhindern.

[BenderD]

... wenn du da mal nicht das Kind mit dem Bade ausschüttest (WRKSPLF verhindern???), wenn schon work arounds, dann per Validity Checker verhindern, dass andere User eingegeben werden können, dazu sind diese Dinger da!

D*B

Also bei uns hat das Gruppenprofil (*PGMR) nur *JOBCTL, obwohl das auch unnötig wäre.
Hast du es denn mal ohne *SPLCTL versucht ?

Ansonsten:
Per SETATNPGM kannst du ein eigenes Programm auf ESC legen und somit eigene Menüs drauflegen um WRKSPLF zu verhindern.

[Fuerchau]

Der Validity Checker zieht leider nur beim Command selber, bei F21 (Sicht umschalten) muss man die nicht ganz so einfachen und systemweit operierenden Exitspoints bemühen.

Da finde ich Workarounds manchmal erheblich einfacher.